A moins d’être complètement déconnecté ou d’avoir vécu dans une grotte pendant les 6 derniers mois (ce qui revient à peu près au même), vous n’avez certainement échappé à la déferlante du moment : la RGPD ou Règlement Général sur la Protection des Données (in english GDPR – General Data Privacy Regulation). Qu’est ce que c’est donc que cette bête étrange qui s’impose à nous e-commerçant ou comme consultant marketing digital qui conseille les e-commerçants ?
RGPD d’où viens tu ?
C’est la transposition d’une directive européenne dans le droit français. En jargon bruxellois, c’est un règlement c’est à dire que ce dernier s’applique dans tous les pays de l’Union Européenne contrairement à une circulaire que chaque pays peut transposer (ou non) dans son code civil ou législatif. Toutes les formes juridiques (sociétés, associations et institutions) sont concernés par ce règlement européen.
En résumé, si vous êtes autre chose qu’un particulier et que vous collectez des informations sur des personnes (qu’ils soient clients, adhérents ou autres), vous êtes contraint de vous plier à ce règlement.
Et les sanctions peuvent être très lourdes : le plafond peut s’élever à 4% du CA mondial ou 20 millions d’euros, le chiffre le plus élevé étant choisi. La date butoir pour l’application de la RGPD est le 25 mai 2018.
RGPD qui es tu ?
En quoi consiste la RGPD ? Tout est dans le titre : la protection des données personnelles.
Mais qu’est ce qu’une donnée personnelle ?
C’est tout élément qui peut identifier un individu sans équivoque : un identifiant de connexion, une adresse mail, une photo, une adresse IP, une adresse postale, une empreinte, un numéro de sécurité sociale, un enregistrement vocal.
La RGPD est faite pour que toutes entreprises qui manipulent des données personnelles soient contraintes à respecter les règles de la RGPD à savoir :
- le consentement
- l’effacement des données personnelles
- la protection des données personnelles
- l’accès et la portabilité des données personnelles
- les impératifs en cas de fuite de données personnelles
La RGPD appliquée au e-commerce
On va simplement aborder le cas des e-commerçants déjà existants. La RGPD se décline sur deux volets : le double consentement (double optin) et informer le client sur les données que vous gérez.
Le plus lourd est le double optin : il consiste à renvoyer un e-mail à la personne qui vient de créer un compte sur votre site pour qu’elle confirme son autorisation accordé pour que vous le contactiez.
En résumé :
- Un formulaire de contact spécifique au RGPD si l’interlocuteur RGPD est différent du gestionnaire du site. Par exemple, si vous utilisez une solution e-commerce SAAS, assurez vous que votre prestataire soit « RGPD compliant ». Il n’y a pas d’obligation de nommer un DPO (Data Protection Officer) mais il faut un interlocuteur désigné.
- Des CGV / CGU qui expliquent clairement ce que vous faites avec les données personnelles (mail / date de naissance / numéro de téléphone / adresse postale)
- L’acceptation des cookies (fonctionnels / marketing) déposés sur le poste du visiteur doivent pouvoir être réalisés par les internautes. Deux axes doivent être développés : pas de cookie sur le poste utilisateur sans son consentement et possibilité de gérer l’acceptation pour les différents types de cookies à chaque utilisateur.
- Le consentement : un double consentement par traitement et par canal de communication. Vous souhaitez par exemple mettre en place une campagne Newsletter et SMS : il vous faut le double consentement pour les deux canaux. Il vous faut aussi gérer la possibilité pour les clients de retirer leur consentement. Et donc pour cela, il est impératif de conserver un enregistrement de chacun d’entre eux.
Mon avis sur la RGPD
Sur le fond, la RGPD est une excellente chose. On voit très bien que les services juridiques des GAFA ont mis le bleu de chauffe depuis un certain temps et ils n’arrêtent pas de vous interpeller pour obtenir votre acceptation de ces nouvelles règles. Toutefois, je mets au défi mes lecteurs d’avoir lu les nouvelles CGV / CGU de Facebook, Google Analytics ou Google Adwords.
Sur le fond, c’est un règlement qui va pénaliser les petits acteurs (PME / TPE) qui ne pourront se conformer totalement avec les indications de la RGPD. On espère que tout le monde va faire preuve de bon sens : la seule démonstration faite des efforts pour se mettre en conformité suffira à interrompre toutes velléités d’actions en justice.
Les meilleures choses que j’ai lues sur la RGPD
Le site de la CNIL : article et infographie sur le sujet
Un cabinet de consultants e-commerce : Skeelbox
La CNIL appelle à la vigilance à l’approche du jour J
Rôle du DPO
Avis de la CNIL sur les cookies