Small nick 01

Jérôme BENBIHI

GDPR : quel impact pour les E-commerçants ?

 gdpr Ecommerce

Les données clients sont une mine d’or pour les e-commerçants souhaitant proposer des produits sur mesure. Pour chaque commerçant, connaître son client, ses goûts, ses besoins et son historique d’achats est indispensable pour fournir le niveau de service personnalisé. Mais, avec l’entrée en vigueur de la nouvelle Règlementation Générale sur la Protection des Données (RGPD), de profonds changements vont soulever de nouveaux défis pour les e-commerçants.

Quelles sont les nouvelles exigences qu'imposera cette réglementation sur la protection des données à caractère personnel ? Quel impact aura sa mise en application pour les e-commerçants ?

L’objectif de la RGPD (en anglais GDPR), qui entrera en vigueur en mai 2018, est de redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les règlementations relatives à la protection de la vie privée dans l’Union Européenne. Toutes les entreprises du monde traitant des données personnelles de citoyens européens sont impactées, et cela même si le siège de l’entreprise est basé en dehors du territoire de l’UE.

La RGPD va changer profondément les habitudes des e-commerçants, tout comme chaque entreprise, en ce qui concerne la collecte, le stockage et l’utilisation des données clients. La non-conformité de la RGPD est lourdement pénalisée, les amendes pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Cela étant dit, avant mai 2018, il vous faudra :

  • Obtenir de la part du client un consentement sans équivoque concernant le traitement de ses données personnelles.  Il ne s’agira plus de demander à l’internaute qui navigue sur un site d’e-commerce d’accepter, oui ou non. Il faudra lui permettre de définir ses préférences par rapport aux cookies (cookies obligatoires, fonctionnels et publicitaires) en expliquant clairement leur utilité. Le silence, les cases pré-cochées ou l’inactivité ne constituent pas une marque de consentement. Il est à noter que l’obtention d’un consentement n’a pas une durée illimitée. Les clients devront être réengagés et redonner leurs consentements.
  • Supprimer les données personnelles de votre base de données en cas de demande.

Les clients devront aussi disposer de la portabilité de leurs données. Par exemple, si un client a effectué plusieurs achats sur un site marchand, il pourra lui demander de récupérer ses données liées à ses habitudes de consommation pour les confier à un autre fournisseur de service. Grâce à cette information, le second site marchand sera en mesure de fournir un meilleur service à l'internaute que s'il ne disposait d'aucune donnée sur ses habitudes d'achat.

Les sites marchands ont recours à la prospection commerciale afin de développer et fidéliser leur clientèle, l’informant sur les offres promotionnelles ou des nouveautés. Toutefois cette pratique doit respecter un certain nombre de règles. Et les clients ont le droit de s’opposer au démarchage par courrier ou par téléphone sans avoir besoin de motiver la demande.

La publicité par e-mail n’est possible qu’après l’accord explicite du citoyen, sauf si le message publicitaire est à destination d’une adresse électronique professionnelle dans le cadre de rapports B2B ou s’il concerne des produits ou service semblables déjà acquis auprès de la même entreprise.

  • Désormais, les e-commerçants ne devront plus faire de déclaration à la Cnil, mais utiliser un logiciel Privacy by Design. Privacy by Design signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service. Les entreprises sont obligées à détailler/préciser les outils techniques de protection et les garanties qu’elles vont mettre en place dans leurs produits logiciels ou dans leurs plateformes Web ou Intranet pour que les principes de protection des données soient respectés.

L'e-commerçant ne devra collecter que les données nécessaires à son activité.

Il doit également conserver un registre de consentement de l'internaute pour garder la preuve de ce à quoi il consent ou non.

Enfin, en cas de violation ou de fuite de données, l'e-commerçant sera obligé de prévenir ses clients 72h au plus tard après avoir pris connaissance de cette fuite ou violation.

En cas de piratage de données personnelles, il faut notifier les violations de données auprès des autorités compétentes dans un délai de 72 heures.

  • Quant à la nomination d'un DPO (Data Protection Officer) celle-ci ne sera obligatoire que pour les sites réalisant un traitement systématique et répété des données.

Si vous commercialisez des produits dans des pays de l’UE, stockez, analysez ou surveillez des données de résidents de l’UE, vous êtes soumis aux lois de la GDPR. Toutes les entreprises de l’Union Européenne (UE) doivent se conformer à la RGPD. Cette règlementation permettra de rassurer les clients/les utilisateurs sur l’exploitation de leurs données. Bien préparées, les entreprises pourront faire de ces nouvelles contraintes un véritable avantage concurrentiel. A l’ère de la digitalisation, la confiance numérique est fondamentale pour la réputation et le succès des e-commerçants, comme de chaque entreprise.

Laissez un commentaire