La dernière tentative : vérifiez si votre commerce électronique est prêt pour le RGPD

Publié: 2018-05-24

Plus que quelques heures avant l'entrée en vigueur des principes du Règlement général sur la protection des données. Cela signifie que vous avez encore peu de temps pour vérifier la conformité GDPR de votre entreprise de commerce électronique avec toutes les exigences de l'UE.

Dans cet article, nous essaierons de fournir en bref les informations les plus nécessaires sur la législation imminente sur le contrôle et le traitement des données personnelles de vos utilisateurs. En plus d'inclure des liens utiles où vous pouvez examiner en détail le fonctionnement du RGPD. Vous trouverez également une courte liste de contrôle GDPR au bas de cet article qui peut éventuellement vous aider à éviter d'énormes amendes après le 25 mai 2018.

RGPD : Racines et fruits

En 2010, la Commission européenne a défini une stratégie visant à renforcer les règles de l'UE en matière de protection des données et à réviser la directive européenne sur la protection des données de 1995 et la loi britannique sur la protection des données de 1998, qui sont toutes deux désormais obsolètes.

Ils ont mené une enquête auprès des citoyens de l'UE qui a révélé que 61 % des utilisateurs s'inquiètent de la confidentialité de leurs informations personnelles sur les sites Web de commerce électronique et que plus de la moitié de leurs préoccupations (55 %) concernent la fraude lors d'achats en ligne.
Selon l'enquête, 75 % des répondants aimeraient pouvoir demander et supprimer leurs informations personnelles en ligne quand ils le souhaitent. Et plus de 90 % des personnes souhaitaient avoir les mêmes droits en matière de protection des données dans toute l'Europe.

Abonnez-vous pour rester à l'écoute et obtenir des conseils marketing pratiques directement dans votre boîte de réception.

Pendant 6 ans, la Commission européenne a élaboré les principes de la protection des données des utilisateurs et les méthodes efficaces de leur mise en œuvre dans l'Internet mondial. Et enfin, en 2016, le GDPR a été adopté par le parlement européen. Considérons ces principes en général.

Principes du RGPD

  • Légalité, justice et transparence
    Tous les consentements que vous offrez à vos visiteurs doivent être écrits dans un langage simple et clair. Ainsi que votre politique de confidentialité et vos conditions d'utilisation. Tout type d'e-mails que vous envoyez à vos consommateurs ou potentiels doit inclure un bouton "se désinscrire" et consister en une explication de la raison pour laquelle ils ont reçu votre e-mail. L'Union européenne exige que vos clients aient le droit d'être informés des objectifs, des méthodes et du volume de leurs données que vous traitez.
  • Adéquation, pertinence et limitation
    Le RGPD cherche à minimiser les données personnelles non pertinentes et les données d'utilisateurs pseudonymisées que vous détenez. Vous ne devez collecter que les données que vous envisagez d'utiliser dans votre marketing par e-mail, vos e-mails à froid et vous débarrasser des contacts inutiles ou passifs.
  • Précision
    Les données personnelles que vous détenez doivent être exactes et à jour. Pour ce faire, vos clients doivent avoir la possibilité de modifier leurs informations personnelles quand ils le souhaitent. Ils peuvent également demander des informations sur leurs données personnelles traitées par votre entreprise et exercer le droit à l'oubli.
  • Limite de stockage
    Vous ne devez pas conserver les données personnelles plus longtemps que nécessaire à vos fins de traitement. Quoi qu'il en soit, les contrôleurs n'ont pas fixé de délais de conservation des données jusqu'à présent. Ce principe doit donc être considéré à la lumière du « droit à l'oubli ».
  • Intégrité et confidentialité
    Vous ne devez jamais partager ou vendre les données personnelles d'autres personnes ou sociétés de vos clients sans le consentement du propriétaire des données. Toutes les entreprises sont responsables de leurs bases de données et doivent prendre soin de leur sécurité.

Liste des données personnelles RGPD

Dans la loi, le terme « données personnelles » est défini comme « toute information relative à une personne physique vivante, identifiée ou identifiable ». Ces principes s'appliquent à toutes les autorités publiques qui détiennent et suivent les données de tout citoyen de l'UE.

Par conséquent, le RGPD vous concerne si :

  • Vos clients et potentiels sont citoyens de l'Union européenne
  • Vos abonnés par e-mail viennent de l'UE
  • Votre base de données pour le marketing par e-mail froid se compose de données personnelles de résidents de l'UE.

Peu importe que votre site Web de commerce électronique ait été créé à l'aide de WordPress, Magento, WooCommerce ou Joomla, ou que vous ayez développé le site dans votre propre CMS. Le RGPD ne concerne que vos utilisateurs et la sécurité de leurs données personnelles .

Qu'est-ce que les « données personnelles » dans le cadre du RGPD :

  • Un nom;
  • Un numéro d'identification ;
  • Données de localisation;
  • Identifiants des cookies ;
  • identifiants en ligne ;
  • Données biométriques ;
  • Revenu;
  • Un ou plusieurs facteurs propres à « l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » du sujet qui peuvent aider à identifier sa personne.

Frais RGPD

Les principes du GDPR ont généré beaucoup de buzz en raison des lourdes amendes en cas de non-conformité. L'amende la plus élevée peut aller jusqu'à 20 000 000 EUR, ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé. C'est pourquoi la majorité des grandes entreprises ont décidé de dépenser plus d'un million de dollars pour se conformer au RGPD.
Mais vous devez vous rappeler que chaque situation est unique, de sorte que le montant d'une amende sera estimé sur une base individuelle.
En règle générale, votre entreprise de vente au détail peut être condamnée à une amende pour deux raisons principales : une fuite massive de données personnelles et une violation de données personnelles sensibles.

Spécialistes de la protection des données

C'est une étape incontournable par laquelle vous devriez commencer (si vous ne l'avez pas déjà fait). Votre entreprise de commerce électronique devrait avoir un avocat qui connaît tous les détails du RGPD et qui s'occupera de la protection des données de vos clients. Si vous détenez et traitez des données sensibles présentant un risque élevé de divulgation, ou si vous vous attendez à une violation massive des données, vous devez engager un délégué à la protection des données.
Parmi leurs responsabilités, il y a la réponse aux plaintes des clients et la surveillance de la conformité GDPR de votre site Web de commerce électronique, en particulier si votre entreprise teste de nouvelles solutions, formulaires, e-mails marketing, développe une nouvelle interface ou application de site Web.
De plus, votre responsable de la protection des données (ou spécialiste) est tenu d'informer l'ICO de la notification de violation de données dans les 72 heures s'il s'agit d'une défaillance systémique, d'une attaque de piratage ou de tout autre problème pouvant entraîner de graves conséquences pour la sécurité de vos clients.

Le RGPD est-il une bonne chose pour le commerce électronique ?

Le règlement général sur la protection des données peut avoir et aura un effet positif sur le secteur de la vente au détail en ligne. Dans la mesure où cela peut renforcer la confiance et la fidélité des clients, ainsi que renforcer la confiance dans le processus de paiement. C'est pourquoi nous vous recommandons d'informer vos clients que vous veillerez au mieux à la confidentialité de leurs données personnelles.

Liste de contrôle du RGPD sur le commerce électronique

Il existe un grand nombre d'exigences et de détails dans le document principal du RGPD. Mais nous avons essayé d'inclure le plus nécessaire dans cette liste de contrôle. Regardez ceci pour savoir si vous n'avez rien oublié à mettre en œuvre dans votre site Web, vos e-mails, vos formulaires de contact et chaque formulaire de consentement.

Spécialiste de la protection des données

  • En tant que responsable du traitement des données, vous avez embauché un spécialiste de la protection des données ou un délégué à la protection des données si vous traitez des données sensibles.

Liste de vérification de la conformité du consentement

  • Vos consentements sont écrits simplement et clairement afin que vos clients puissent facilement comprendre quoi et pour quoi leurs informations personnelles seront traitées, ainsi qu'une compréhension claire de ce qu'ils ont également convenu.
  • Vos formulaires de consentement sont explicites. Ceux-ci ne contiennent pas de cases pré-cochées ou tout autre consentement par défaut.
  • Votre « bouton de réponse » avec un consentement positif n'est pas mis en évidence par une autre couleur.
  • Votre formulaire de consentement est visible et distinct de la section Termes et conditions.
  • Vous avez nommé votre organisation et les tiers au bas de votre formulaire.
  • Vous avez souligné que vos clients peuvent refuser ce consentement.
  • Vous avez expliqué comment vos clients peuvent retirer leur consentement.
  • Si vous pensez ou savez que vos clients en ligne pourraient être des enfants, votre formulaire de consentement contient une vérification de l'âge et une demande de consentement parental.

Vous pouvez également trouver plusieurs options pour créer un modèle de formulaire de consentement compatible avec le RGPD ici.
Pour obtenir des informations plus détaillées sur l'exigence de contenu, veuillez consulter le guide de consentement GDPR de l'ICO du Royaume-Uni.

Politique de confidentialité Liste de vérification de la conformité au RGPD

  • Vous avez déjà examiné vos conditions d'utilisation et votre politique de confidentialité. Et vous êtes sûr que ceux-ci sont écrits dans un langage clair pour vos clients. La politique de confidentialité comprend l'explication de la manière dont vous traitez les données des utilisateurs et la liste des services tiers que vous utilisez pour traiter les données des utilisateurs.
  • Vous avez indiqué sur votre site Web comment vos clients peuvent demander leurs informations que vous détenez, modifier ou retirer leurs données de votre site Web.
  • Vous avez ajouté l'instruction sur la manière dont vos clients pourraient vous signaler comme une violation des principes du RGPD qui les concernent.
  • Vous avez souligné que vous ne pénalisez pas vos clients pour le retrait de leur consentement.
  • Vous avez inclus une adresse e-mail de votre DPD dans votre politique de confidentialité.
  • Vous avez inclus le lien vers votre politique de confidentialité à l'endroit bien visible dans le pied de page de votre site Web.

Gestion du consentement

  • Vous gardez une trace du moment, du lieu et de la manière dont vous avez reçu le consentement de chacun de vos clients.
  • Vous gardez une trace des informations exactes que vos clients vous fournissent.
  • Vous avez déjà programmé quand vous allez appliquer une vérification régulière que la relation, le traitement et la finalité n'ont pas changé.
  • Vous avez déjà programmé dans quelle période vous allez actualiser vos données utilisateur.

Assurez-vous de ne pas envoyer les données personnelles de vos clients, y compris les adresses e-mail, les noms, les identifiants d'utilisateur, les données de localisation, les identifiants de transaction, les adresses IP, à Google Analytics au niveau du code. Lisez cet article de Google pour en savoir plus.

Les utilisateurs se sont habitués à cliquer positivement sur la plupart des consentements, malheureusement. C'est pourquoi nous vous recommandons de créer une fenêtre contextuelle de re-consentement supplémentaire pour vous assurer que vos clients comprennent quelles données ils laissent.

L'évaluation des risques

  • Votre équipe de spécialistes de la protection des données doit préparer une évaluation des risques - un document dans lequel ils doivent indiquer quelles données spécifiques l'entreprise collecte, comment et pour quoi elle les traite.
  • Vous avez analysé vos risques, trouvé des points faibles potentiels et prédit votre action en cas de problème.

Ce document n'a pas besoin d'être téléchargé sur votre site Web, mais cela pourrait être une base légitime solide pour vos actions lorsque vous recevez une plainte.

Compilons un résumé RGPD

Aujourd'hui, le RGPD en est encore à ses débuts et évoluera avec le temps. Néanmoins, c'est maintenant une courtoisie courante envers vos clients en termes de tendance mondiale à la transparence des entreprises.

  • Laissez vos clients décider du type d'informations personnelles qu'ils peuvent laisser.
  • Aidez-les à savoir pour quoi et pour quelle raison leurs données peuvent être traitées.
  • Faites-leur savoir comment ils pourraient demander leurs informations personnelles, retirer leurs consentements ou se désinscrire.
  • S'il vous plaît, utilisez un langage simple lorsque vous parlez à votre public - il n'est pas nécessaire de demander à vos rédacteurs d'utiliser des milliers de termes juridiques inutiles que personne ne comprend.
  • Repensez vos formulaires de consentement.
  • Ciblez soigneusement votre audience de marketing par e-mail.
  • Définissez les responsabilités de votre délégué à la protection des données. Activez leur adresse e-mail distincte.
  • Conservez une trace de toutes les informations utilisateur que vous avez reçues et traitées.
  • Mettez à jour vos fichiers de conditions d'utilisation et de politique de confidentialité.

Nous savons que cela nécessite du temps et des ressources, que nous espérons que vous avez déjà en place. Mais votre travail acharné et vos efforts pour vous mettre en conformité gagneront la confiance des clients.