e-commerce, RGPD et protection des données personnelles
Avant toute chose, qu’est-ce qu’une donnée personnelle sur internet ?
Toute information permettant de vous identifier est considérée en Europe comme une donnée à caractère personnel.
Sur internet, il peut donc s’agir de votre nom, prénom, adresse, email, numéro de téléphone ou tout autre identifiant (ex : n° de sécurité sociale).
D’un point de vue plus technique, l’adresse IP de votre ordinateur ou de votre smartphone rentre dans cette liste, de même qu’un identifiant de connexion.
Bien identifier les données personnelles
Pour bien comprendre le sujet de la protection des données personnelles sur internet, il faut distinguer les datas hébergées :
- hors du site visité, par des “services tiers”.
- sur le site visité, comme une fiche client.
Dans les deux cas, les informations collectées ne sont pas les mêmes et ne nécessitent pas les mêmes mesures de protection.
Pourquoi protéger les données personnelles ?
Il s’agit tout d’abord d’une obligation légale (comme pour la vente d’alcool sur internet).
En France, la loi Informatique et libertés protège depuis longtemps les droits des internautes. Et depuis 2018, le RGPD (Règlement Général de Protection des Données) a donné un tour de vis en forçant les agences web et leurs sous-traitants à faire preuve de plus de transparence.
De manière générale, la principale chose à retenir du RGDP est qu’un service web doit obtenir le consentement de l’utilisateur avant de récolter ses données. Cette demande d’autorisation s’accompagne d’une obligation d’information.
Nous allons voir ci-dessous comment gérer les différents cas de figure.
Gestion des services tiers : le consentement avant tout
Les services tiers sont généralement appelés “cookies” ou “traqueurs”. Il peut s’agir d’outils de statistiques, de modules de réseaux sociaux ou d’intégration de vidéos Youtube hébergés sur des serveurs extérieurs.
Nous n’avons que peu de visibilité sur la nature des informations collectées et l’usage qui en est fait par ces tiers. Et c’est tout le problème des cookies qui alimentent le marché du tracking publicitaire de manière pour le moins opaque.
S’il y a des cookies sur le site :
- Ils doivent (sauf exemption CNIL) être désactivés par défaut, jusqu’au moment où l’utilisateur donne son consentement.
- L’utilisateur doit avoir le moyen d’accorder ou non son consentement.
- Le choix doit être très clair entre 3 options : Tout autoriser, tout refuser et Personnaliser ses préférences.
Ceci explique la présence de ce type de “bandeaux cookies” sur de très nombreux sites internet. En l’absence de traqueur, cette fonctionnalité est tout simplement inutile.
A noter que le simple bouton "J’ai compris" ou le seul bouton "J’accepte" sont tout simplement illégaux.
Stockage des données : transparence et sécurisation
La gestion des données à caractère personnel est un autre sujet. Rien ne vous empêche de récolter des données personnelles par le biais de formulaires de contact ou d’inscription à une newsletter.
En revanche, un gestionnaire de site est tenu à plusieurs obligations légales :
- obtenir le consentement de l’utilisateur avant l’enregistrement,
- expliquer l’usage des données traitées et les finalités du traitement,
- respecter le cadre légal d’utilisation de ces informations,
- communiquer l’identité du destinataire et du responsable du traitement (DPO),
- préciser la durée de conservation et les coordonnées de l’hébergeur,
- indiquer les mesures de sécurité informatique prises pour la confidentialité et la protection contre le piratage,
- respecter les droits d’accès, d’opposition, d’interrogation et de rectification des utilisateurs.
Cette problématique est à prendre en considération dès la création d’un site internet, surtout pour un site e-commerce qui enregistre de nombreuses informations personnelles lors des passages de commande de champagne ou de bouteilles de vins.
Nos mesures de conformité RGPD et de protection
Notre agence web a fait le choix d’une conformité stricte vis-à-vis du RGPD et d’une protection active contre les risques de cybersécurité.
Cette stratégie se présente en 6 points-clés :
- Notre outil de suivi statistique, Matomo Analytics, est dispensé de la demande de consentement pour les cookies. Cet outil est explicitement recommandé par la CNIL (source : www.cnil.fr/fr/cookies-et-autres-traceurs...).
- Aucun autre cookie n’est utilisé, ce qui explique l’absence de bandeau cookie sur les boutiques.
- Le cadre d’utilisation des informations personnelles est clairement affiché dans des pages de mentions légales et de politique de confidentialité.
- Les clients des boutiques peuvent télécharger, en un clic, un document PDF détaillant toutes les informations stockées dans leur compte client.
- Nous faisons en sorte que les boutiques Shop&Champ’ bénéficient d’une sécurité accrue à tous les niveaux (serveurs, sauvegardes, monitoring...).
- Pour finir, nous ne transmettons aucune donnée à des tiers.