Small nick 01

Jérôme BENBIHI

GDPR. Commerçants : comment traiter la data

 

commerçantq

Le Règlement général sur la protection des données est le résultat d’une prise de conscience globale des citoyens au sujet de leurs données personnelles (nom, prénom, adresse, numéro de téléphone ou de compte bancaire, plaque d’immatriculation, adresse IP, identifiants en ligne, etc.). La mise en place de ce règlement va entraîner de nombreuses répercussions sur la stratégie marketing des entreprises traitant des données européennes. Particulièrement concernés sont les e-commerçants puisqu’ils traitent beaucoup de données, notamment pour personnaliser la relation en ligne, à partir de l'historique de navigation, de la localisation, de l'adresse IP, du panier d'achat etc.

Voici un aperçu des grands changements introduits par le RGPD :

Premièrement, à la différence de l’ancienne Directive, le nouveau Règlement s’applique à toutes les entreprises qui traitent des données personnelles de personnes situées dans l’Union européenne, y compris les entreprises qui ne sont pas établies dans l’UE mais qui offrent des biens ou des services à des personnes situées dans l’UE, ou qui tracent leur comportement (par exemple, si vous êtes un réseau social). Bref, si vous vendez des produits ou proposez des services sur internet à des consommateurs situés dans l’UE et que dans ce cadre-là, vous récoltez des données personnelles, vous devez respecter le règlement.

Deuxièmement, vous devez obtenir le consentement des personnes concernés quant au traitement de leurs données. Puis, lorsque vous collectez des données personnelles, vous devez toujours le faire de manière transparente, c’est-à-dire que vous devez les informer dans un langage clair et compréhensible, tout en précisant quels types de données sont collectées, à quelles fins, pendant combien de temps elles seront conservées, à qui elles peuvent être transmises et quels sont les droits de vos clients par rapport à leurs données. Ces informations doivent figurer dans votre Charte Vie Privée (Privacy Statement), document disponible sur votre site internet qui peut être consulté et sauvegardé à tout moment par vos clients.

Vous êtes obligé d’assurer la sécurité et la légalité du traitement des données, ainsi que de tenir un registre des activités de traitement. Le registre concerne chaque entreprise qui traite régulièrement des données personnelles dans le cadre de son activité, ainsi que les entreprises qui emploient 250 personnes ou plus. Il permet de prouver à tout moment qu’elles respectent les nouvelles règles, c’est le principe d’Accountability (Responsabilisation).

Les commerçants doivent pouvoir prouver à posteriori la trace du consentement des clients, de l'accord jusqu'au retrait. Par exemple, vous avez un client qui accepte de recevoir des mails promotionnels. Vous devez noter la date, son nom, son prénom, son adresse IP. Après, si le client retire ce consentement, vous devez aussi en conserver cette trace. De plus, le règlement introduit deux nouveaux concepts : la protection des données dès la conception (Privacy By Design) et la protection des données par défaut (Privacy By Default). Aussi, les entreprises qui traitent des données personnelles à large échelle et qui tracent systématiquement le comportement des internautes doivent nommer un délégué à la protection des données (Data Protection Officer, DPO) qui a pour mission de vous conseiller et de contrôler votre conformité à la réglementation.

En cas de violation des données (fuite, perte, vol, destruction des données...) le responsable du traitement doit informer l’autorité de contrôle dans les 72 heures après avoir eu connaissance du problème, ainsi que les personnes concernées de la violation de leurs données.

Propriétaires de leurs données, vos clients ont des droits par rapport aux données qu’ils divulguent. Le nouveau règlement précise les droits existants (droit d’accès, droit de rectification, droit à la limitation du traitement…), et en crée de nouveaux : droit à l’effacement des données (ou Droit à l’oubli) et droit à la portabilité des données. 

Enfin, en cas de non-respect du GDPR les amendes peuvent atteindre :

- Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;

- Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Il est donc essentiel de bien comprendre le contenu du Règlement et de se plier aux nouvelles règles dans la mesure du possible. Vous pouvez vous y aider en faisant appel à des spécialistes en la matière, tant sur le plus juridique que technique.

Article publié sur LinkedIn

Laissez un commentaire