La mise en conformité RGPD est une démarche globale qui permet de mettre en confiance ses clients et de réagir sereinement en cas de contrôle.
Les obligations du responsable de traitement de données personnelles
Dès lors que vous collectez et utilisez des données à caractère personnel dans le cadre de votre entreprise, vous avez la qualité de responsable de traitement au sens de l’article 4 du RGPD.
Cela signifie que vous devez mettre en place les moyens techniques et organisationnels adéquats pour traiter les données de manière conforme et sécurisée.
Vous devez respecter les grands principes posés par la réglementation en matière de traitement des données personnelles, notamment le principe de minimisation et de durée de conservation limitée.
Vous devez aussi informer les utilisateurs de l’usage qui est fait de leurs données, sur leurs droits et la manière de les exercer.
Enfin en cas de contrôle de la CNIL, vous devez être en mesure de prouver que vous avez tout mis en œuvre pour traiter les données de manière conforme et respecter les droits des personnes concernées.
Ainsi, la conformité au RGPD va plus loin que simplement ajouter une bannière “cookies” ou une politique de confidentialité standard sur votre site internet. Il s’agit d’une démarche globale concernant l’ensemble de l’entreprise.
La démarche de mise en conformité RGPD
Voici 5 questions essentielles à se poser pour entamer sa démarche de mise en conformité RGPD.
1/ Quelles sont les données que je collecte et pourquoi ?
Passez en revue toutes les activités de votre entreprise, même si vous êtes seul au début, et identifiez quelles données sont traitées. Une donnée personnelle est une donnée qui permet d’identifier une personne ou qui la rend identifiable. Il peut s’agir du nom, du prénom, du numéro de sécurité sociale ou d’une adresse e-mail, d’une photographie…
Demandez-vous ensuite dans quel but, quelle finalité, ces données sont traitées.
Lorsque vous constituez votre communauté, vous pouvez mettre en place une newsletter pour garder le contact et communiquer sur la création de votre collection. Vous utilisez les adresses e-mails de vos futurs clients ainsi que leur prénom et nom.
Vous avez par exemple besoin du nom, prénom, adresse e-mail et adresse postale de vos clients pour leur adresser leurs commandes. Le numéro de téléphone est parfois demandé pour faciliter la livraison.
Lorsque vous recrutez un stagiaire ou un alternant, vous recevez des candidatures contenant un nombre important de données à caractère personnel.
Si vous collectez plus de données que celles dont vous avez vraiment besoin, vous devriez revoir vos procédures afin de mettre en oeuvre le principe de minimisation.
Ce travail de base permet de réaliser le registre des traitements, qui est l’une des obligations de tout responsable de traitement.
2/ Ai-je le droit de traiter ces données personnelles au regard du RGPD ?
Le registre des traitements retrace les traitements de données effectués et indique sur quelle base légale il s’appuie. En effet, un traitement de données personnelles n’est autorisé que s’il repose sur l’une des bases légales définies à l’article 6 du RGPD.
L’une de ces bases légales est le consentement. C’est celle qui est utilisée pour la publicité, par exemple l’abonnement à une newsletter.
Pour que le consentement soit valable, il doit répondre à certaines caractéristiques définies dans le RGPD à l’article 7 :
- libre
- spécifique
- éclairé
- résulter d’un acte clair
Comment cela se manifeste-t-il en pratique ?
A chaque fois que vous recueillez un consentement , il faut veiller à ce que toutes les conditions de sa validité soient remplies. C’est le cas sur les formulaires, mais aussi pour l’utilisation de certains cookies.
Il est particulièrement important que l’utilisateur bénéficie d’une information complète sur l’utilisation qui sera faite de ses données et sur ses droits avant de communiquer ses données.
C’est pourquoi des mentions d’information RGPD figurent sur la plupart des formulaires à remplir en ligne, sur lesquels des données personnelles sont collectées. Cela ne concerne pas que les newsletters. Pensez à ajouter ces mention dès lors que des données personnelles sont collectées, par exemple sur des questionnaires diffusés dans le cadre d’une démarche de co-conception des vêtements. Cela est également valable pour un formulaire sur papier que vous feriez remplir en boutique, par exemple pour mettre en place un programme de fidélité ou participer à un jeu-concours.
A chaque fois que vous collectez des données personnelles dans le cadre de votre activité, l’information sur la protection des données personnelles doit devenir un réflexe.
3/ Au bout de combien de temps ai-je prévu d’effacer les données ?
Les durées de conservation sont un aspect important de la protection des données. Les données ne doivent pas être conservées plus longtemps que nécessaire pour atteindre la finalité indiquée lors de la collecte.
La CNIL propose des référentiels pour déterminer quelle durée est « nécessaire ».
Par exemple, en matière de prospection commerciale par e-mail, l’adresse e-mail peut être conservée jusqu’au retrait du consentement (désabonnement de la newsletter) ou pendant 3 ans à compter du dernier contact de la personne avec l’entreprise. Il peut s’agir de la date de la dernière ouverture de mail.
Les durées de conservation sont indiquées dans le registre. Il est possible de prévoir des données de conservation différentes de celles proposées par la CNIL, qui ne sont pas obligatoires. Cependant, il faudra alors justifier de cette divergence en cas de contrôle.
4/ Est-ce que mon site e-commerce respecte la réglementation des cookies ?
Les cookies sont de petits fichiers texte placés sur le terminal d’un utilisateur.
Sur un site e-commerce, ils sont utilisés notamment pour assurer le fonctionnement du site. Par exemple, c’est un cookie qui enregistre les produits placés par un utilisateur dans son panier. Les cookies permettent également de mesurer l’audience d’un site. Si vous avez accès dans le back-office de votre site e-commerce à des statistiques de visite de votre site, c’est sans doute parce qu’un cookie est déposé sur le terminal des visiteurs.
Pour les cookies n’étant pas absolument nécessaires au fonctionnement du site, le consentement de l’utilisateur est nécessaire avant que le cookie ne soit déposé sur son terminal. C’est pour cela que les bandeaux cookies apparaissent sur les sites web. Mais il ne suffit pas (plus) d’une simple information statique.
Ce consentement doit naturellement répondre aux critères envisagés au point numéro 2. Le bandeau doit permettre de moduler son consentement sur la base d’une information complète. Les décisions prises par l’utilisateur doivent par ailleurs se répercuter au niveau technique (aucun cookie ne doit être déposé si la personne n’a pas donné son consentement).
Il est donc plus facile de prendre en compte les aspects liés à la protection des données dès le début de l’entreprise, notamment lors de la création du site e-commerce.
Par la suite, lors de la mise en place de nouvelles fonctionnalités ou de nouveaux services, il faudra prendre le réflexe d’analyser l’impact en matière de protection des données, de mettre à jour le registre et de mettre en place les actions nécessaires pour la légalité du traitement de données.
5/ Est-ce que j’utilise Google Analytics ou un autre outil impliquant un transfert de données aux Etats-Unis ?
La mesure d’audience est incontournable en matière de e-commerce.
Pour votre marque de mode, l’étude des statistiques de visite de votre site peut vous révéler des informations précieuses sur votre clientèle. Quels sont les contenus et les modèles qui plaisent le plus ? Votre site est-il de plus en plus visible ? Le nombre de visites est-il en baisse ou en stagnation, ce qui pourrait indiquer un problème technique sur le site ?
Il existe divers outils pour réaliser un suivi de visites. Celui très couramment utilisé est Google Analytics. Cet outil gratuit est relativement facile à installer et à prendre en main. Mais attention : une décision récente de la CNIL vient de confirmer que l’usage de cet outil n’est, en l’état, pas conforme à la réglementation européenne de la protection des données personnelles.
L’usage de Google Analytics est problématique car les données des visiteurs des sites sont traitées aux USA. Or la réglementation de la protection des données aux USA n’est pas équivalente à celle qu’offre l’Europe. Un projet de cadre transatlantique de protection des données personnelles est en cours de négociation entre l’Europe et les USA.
Il est toujours plus simple de faire les bons choix lors de la création d’un site que de changer d’outils en cours de route.
Si vous faites appel à une agence ou un freelance pour créer votre site, assurez-vous de leur connaissance de cette décision de la CNIL. Demandez-leur de vous proposer des alternatives à Google Analytics. Si vous utilisez actuellement Google Analytics, ou un autre service transférant des données aux USA, mettez-vous à la recherche d’une alternative, en vous faisant accompagner si nécessaire.
Lorsque vous choisissez un prestataire, demandez-vous quelles données lui seront communiquées et où celles-ci seront stockées – par exemple pour choisir l’hébergeur de votre site internet ou votre outil d’envoi de newsletter.
Les contrôles de la conformité RGPD par la CNIL
L’organisme chargé de la mise en œuvre de la réglementation protectrice des données personnelles est la CNIL (Commission Nationale Informatique et Libertés). Cette autorité administrative indépendante a un pouvoir de contrôle et de sanction. Elle peut prononcer des mises en demeure, rendues publiques de manière anonyme ou non. En l’absence de mise en conformité, elle peut prononcer des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une entreprise.
Ceci n’est pas anecdotique, et notamment pour les sites e-commerce qui font régulièrement l’objet de contrôles. En 2021, la CNIL a prononcé plus de 80 décisions relatives à l’usage des cookies, dont 18 prononçant des sanctions. En 2022, la CNIL a annoncé des contrôles renforcés sur la thématique de la prospection commerciale. Depuis peu, la procédure pour prononcer des sanctions dans les dossiers de faible envergure a été simplifiée.
Accompagnement pour la mise en conformité RGPD
Je vous propose un accompagnement sur-mesure pour la mise en conformité RGPD de votre activité, avec un focus particulier sur le site e-commerce et les activités promotionnelles de votre marque de mode.
Vous avez démarré votre activité sans prendre en compte toutes les facettes de la protection des données personnelles ?
Voici comment se déroule un programme de mise en conformité :
- diagnostic de conformité et création du registre des traitements
- établissment du programme de mise en conformité
- suivi de la réalisation des actions nécessaires
- hotline RGPD – un point régulier pour suivre l’évolution de votre entreprise
Contactez-moi pour en savoir plus et obtenir un devis sur-mesure !
