Votre site e-commerce respecte-t-il les exigences prévues par le RGPD ? 5 ans après son entrée en vigueur, la mise en conformité reste un enjeu majeur.
Politique de confidentialité, gestion des cookies, consentements, cybersécurité… Sans compter les autres documents légaux incontournables : mentions légales, CGV, CGU…
Pour ne rien oublier, Admeet s’est plongé pour vous dans le droit et vous propose une checklist pour votre site e-commerce pratique et simple à suivre.
Admeet a développé une solution tout-en-un pour les sites e-commerce, qui vous permet d’être conforme au RGPD.
Documents légaux pour optimiser votre mise en conformité au RGPD
Mentions légales, politique de confidentialité, politique de cookies, CGV, CGU… Tout n’est pas imposé par le RGPD, certains textes découlent d’autres textes législatifs.
Dans une optique de transparence, ces documents vous permettent d’informer votre audience sur votre société, les relations contractuelles que vous proposez ou la manière dont vous traitez des données à caractère personnel.
Admeet offre une solution complète comprenant tous les documents RGPD obligatoires à avoir sur votre site web.
Les mentions légales générales (hors RGPD)
Afin de satisfaire à vos obligations légales et de sécuriser votre activité, votre site a besoin de trois types de mentions légales :
- Les informations concernant le responsable du site : il s’agit de la dénomination ou raison sociale, de l’adresse du siège social, de la forme juridique de la société, mais également du montant du capital social et des noms du directeur ou du codirecteur, de celui du responsable de la rédaction, s’il y a lieu, comme l’indique la Direction de l’information légale et administrative.
- Les mentions légales concernant la propriété intellectuelle : toute œuvre créée appartient à celui qui la crée, d’après le code de la propriété intellectuelle. Les contenus présents sur votre site de e-commerce sont soumis à cette réglementation. Si vous utilisez des créations protégées par le droit d’auteur, vous devez le signaler et avoir obtenu l’autorisation de les insérer dans vos pages.
- Les mentions légales concernant la loi applicable et les juridictions compétentes : un certain formalisme est présent en France pour tout ce qui concerne les activités commerciales en ligne. Le problème est que la loi française n’est pas la seule à pouvoir être appliquée à un cybercommerçant. Cela complique la rédaction des mentions qui précisent la loi applicable et les juridictions compétentes. Une clause ciblant votre offre doit être ajoutée sur votre site, si vous désirez limiter le nombre de pays dans lesquels vous pouvez être engagé.
Nous vous invitons à consulter les mentions légales d’Admeet pour avoir un exemple.
Mentions d’information RGPD
Le Règlement Général sur la Protection des Données impose que les utilisateurs d’un site e-commerce bénéficient d’une information précise et complète sur la manière dont vous comptez utiliser leurs données personnelles. Ces mentions d’information sont essentielles et se retrouvent dans la politique de confidentialité / de vie privée, la politique des cookies et la gestion des préférences.
Vos Conditions Générales de Ventes et d’Utilisation du site e-commerce comporteront souvent une clause traitant de ces aspects. Il est néanmoins fortement recommandé que ces clauses renvoient à des documents distincts, par souci de clarté.
Politique de confidentialité / de vie privée
Tous les sites en ligne doivent avoir une politique de confidentialité clairement définie. Nous vous expliquons ici pourquoi il est important d’avoir une politique de confidentialité sur son site web.
Cette politique doit notamment répondre aux questions suivantes :
- Quelles sont les données personnelles collectées ?
- Comment les données personnelles sont-elles collectées ?
- Quelle est la base légale justifiant cette collecte ?
- Où vont les données personnelles collectées ?
- etc.
La politique de confidentialité / de vie privée est donc par essence différente pour chaque site.
Admeet vous permet de générer une politique de confidentialité sur mesure à votre organisation, en Legal Design.
Quels sont les éléments essentiels qui doivent obligatoirement être mentionnés clairement et lisiblement dedans ?
Pour nous, ils sont au nombre de huit :
- L’identité et les coordonnées du responsable de traitement et ses coordonnées de contact ;
- La désignation ou non d’un délégué à la protection des données (DPO) et, le cas échéant, ses coordonnées de contact ;
- Les catégories de données personnelles traitées et leurs sources ;
- La finalité des traitements et les bases légales utilisées ;
- Les destinataires des données personnelles ;
- Les durées de conservation ou au moins les critères permettant de les définir, le tout par finalité de traitement ;
- Les transferts de données hors de l’Espace Économique Européen (EEE) et les mesures de sécurité mise en place ;
- Les droits dont dispose chaque personne dont les données sont exploitées, la manière de les exercer.
Politique de cookies
Dès lors que votre site e-commerce nécessite le dépôt et l’utilisation de cookies ou autres types de traceurs (pixels invisibles, empreinte numérique…), une rubrique d’information sera mise à disposition de vos visiteurs.
Elle leur permet de comprendre quels types de cookies sont déposés, pour quelles raisons et comment les accepter et/ou les refuser.
Il est possible d’intégrer cette information dans votre politique de confidentialité, mais elle fera la plupart du temps l’objet d’un document séparé, par souci de clarté.
Les utilisateurs de sites internet le savent : dès qu’ils sont en ligne, ils peuvent être suivis et leurs actions et données, analysées par des cookies ou traceurs.
La société qui met en ligne un site e-commerce doit être très pointilleuse sur sa politique de cookies.
Pour tous les cookies non-essentiels, le consentement de l’utilisateur sera nécessaire avant même leurs dépôts.
Les cookies essentiels au bon fonctionnement du site du point de vue de l’internaute, comme par exemple les cookies de sécurité, sont uniquement soumis à une obligation d’information via une bannière cookies et la politique de cookies.
Admeet vous permet de générer une politique de cookies sur mesure à votre organisation, en Legal Design.
Comment savoir si un cookie ou autre traceur est soumis au consentement préalable de l’utilisateur ?
Il faut mettre en place une politique de cookies rigoureuse qui va permettre à l’utilisateur du site de connaître :
- L’identité du responsable de traitement des cookies ;
- La définition du cookie ou autre traceur : Qu’est-ce qu’un cookie d’après la CNIL ? À quoi sert-il ? … ;
- Les différentes catégories de cookies utilisés et leurs finalités. C’est le moment de voir quels sont les cookies essentiels, mais qui ne nécessitent pas de consentement (ceux du panier d’achat par exemple) et ceux non essentiels (les cookies marketing par exemple) ;
- La durée de vie des cookies. En effet les cookies doivent avoir une durée de fonctionnement limitée.
- La gestion des préférences. L’internaute doit pouvoir donner son consentement libre et éclairé pour chaque finalité de cookies avant tout placement de cookies non essentiels sur son terminal. Une bannière claire et précise doit pour cela être mise en place.
Les principales familles de cookies sont les suivantes :
- cookies essentiels / nécessaires : pour assurer le bon fonctionnement et la performance du service ;
- cookies fonctionnels : pour intégrer une vidéo ou un feed de réseau social ;
- cookies statistiques : pour analyser le trafic sur le site (ex. Google Analytics, Matomo, etc.) ;
- cookies marketing : par exemple pour personnaliser les publicités en ligne ou faire du re-targeting (ex: Criteo, Google Ads, etc.).
Conditions générales d’utilisation et de vente pour vos prospects et vos clients (hors RGPD)
Pour créer une relation contractuelle entre votre marque et vos clients, vous afficherez deux documents sur votre site e-commerce. Parfois, ces deux documents sont fusionnés en un seul.
- Les conditions générales d’utilisation (CGU). Elles encadrent l’utilisation des différentes fonctionnalités du site par les visiteurs de votre site, qu’ils se créent ou non un compte utilisateur. Elles ne sont en général pas obligatoires, sauf si le site Internet est une Marketplace ou s’il intègre un comparateur ou des avis clients.
- Les conditions générales de vente (CGV). Elles encadrent les transactions passées par votre client et en encadrent tous les aspects, y compris les politiques de livraison et de retour produits.
Ces documents sont relativement complexes à rédiger, ils doivent être adaptés aux spécificités de votre activité.
Pour plus de sécurité, vous en confierez donc la rédaction à un juriste ou un avocat.
Optimisez la conformité de vos cookies grâce à la bannière de consentement
Ce type de bannière est essentiel pour respecter les exigences légales telles que définies par le RGPD et la directive e-Privacy (dont on attend qu’elle soit remplacée par un règlement) d’un site e-commerce.
Attention, ce n’est pas simplement une image qui apparaît sur l’écran. Elle permet à vos utilisateurs d’interagir avec un véritable module qui assure deux fonctions :
- la collecte et le stockage des consentements et oppositions au dépôt des cookies ;
- la gestion du dépôt des cookies selon que le consentement est requis ou non et qu’il a été donné ou non.
Quels sont les risques en cas de contrôle de la CNIL ?
Si vous ne respectez pas vos obligations légales, votre société se retrouve exposée à des sanctions en cas de contrôle par la CNIL. Ces sanctions sont de deux ordres :
- Les petits manquements sont passibles d’une amende qui peut aller jusqu’à 10 millions d’euros ou qui représente 2 % du chiffre d’affaires mondial de l’entreprise ;
- Les gros manquements peuvent coûter beaucoup plus cher. L’amende peut monter jusqu’à 20 millions d’euros ou représenter 4 % du chiffre d’affaires mondial de l’entreprise.
Ces sommes qui étaient auparavant énoncées dans un but dissuasif sont devenues maintenant la réalité de ceux qui ratent leur mise en conformité RGPD. Et cela concerne les grandes comme les petites entreprises.
Se mettre en conformité RGPD est donc une nécessité. Nous avons préparé un guide complet pour vous aider à éviter les amendes RGPD.
Gestion du consentement au stockage des données bancaires et de paiement
Sur un site e-commerce, il est nécessaire de payer par carte bancaire, ce qui entraînera la collecte par le commerçant de divers types de données. Elles servent :
- Au paiement d’un service ou d’un bien proposé en ligne ;
- Au règlement d’un abonnement souscrit en ligne que ce soit en une ou plusieurs fois ;
- À la réservation d’un service ou d’un bien ;
- À la souscription de solutions de paiement pour la vente à distance réalisées par des sociétés prestataires de paiement.
Souvent, les sociétés de commerce en ligne choisissent de recueillir le consentement de leurs utilisateurs et clients afin de conserver leurs données bancaires au-delà de la simple transaction en cours et de simplifier leurs prochains achats.
Le RGPD précise bien que ce consentement ne doit pas être présumé. Il doit être clairement explicité et sera le résultat d’un acte volontaire, cocher une case par exemple. Attention, cette case ne peut pas être pré-cochée. Il est également à noter que l’acceptation des CGV et des CGU ne suffit pas. La CNIL recommande également à ceux qui pratiquent le e-commerce d’intégrer sur leur site un moyen simple de retirer le consentement donné.
Que faut-il retenir de ce que nous venons de dire ?
En France, il est impératif de demander le consentement à l’utilisateur avant de stocker ses données de paiement, l’intérêt légitime n’étant pas une base valide légale.
Obligation de sécurisation de méthode de paiement
Le paiement en ligne expose le consommateur à certains risques. C’est pour cette raison que la CNIL demande aux e-commerçants de signaler toutes les utilisations frauduleuses qui pourraient toucher la carte de leurs clients.
Elle préconise également la mise en place d’une sécurisation renforcée de la méthode de paiement en ligne.
Que peut proposer un site qui vend en ligne à ce sujet ?
La CNIL recommande notamment de masquer une partie du numéro de la carte bancaire, de remplacer ce numéro par un numéro sans signification ou de permettre une traçabilité impeccable de tout accès ou toute utilisation illégitime des données enregistrées.
La CNIL incite aussi les commerçants du web à éviter d’enregistrer les données de paiement bancaire sur des terminaux tels que les smartphones. Si le client souhaite se servir de son téléphone, la CNIL recommande alors la mise en place de mesures supplémentaires afin de sécuriser le paiement.
Obligation de sécurisation du site
Un site web doit impérativement garantir la confidentialité de toutes les données qu’il transmet. Pour cette raison, il est essentiel que le site soit sécurisé. La CNIL recommande la mise en place d’un protocole SSL/TLS récent.
Ce protocole doit être obligatoire sur toutes les pages du site et les ports de communication doivent être limités. C’est un bon moyen d’assurer la bonne sécurité du site.
Pour plus de détails sur les mesures de sécurité à appliquer vos sites web, vous pourrez vous référer à la checklist et au guide de sécurité fournis par la CNIL.
Obligation de sécurisation des comptes en ligne
Les sites d’e-commerce ont pour habitude de permettre à leurs clients de créer des comptes personnels. C’est une bonne idée à condition de bien respecter ce que dit la CNIL pour leur sécurisation.
Que recommande cet organisme pour assurer une bonne sécurisation d’un compte en ligne ?
- Il recommande une authentification basée sur un mot de passe complexe d’au moins 8 caractères mélangeant les chiffres, les majuscules, les minuscules et les signes spécifiques.
- Dans la mesure du possible, il préconise l’utilisation du « Captcha ».
- Il met en avant l’importance d’une temporisation d’accès au compte si l’utilisateur se trompe plusieurs fois de mot de passe et valide même un verrouillage dudit compte après 10 échecs d’authentification.
- Il conseille également de demander régulièrement le renouvellement du mot de passe.
- Il incite à ce que les mots de passe des clients soient conservés sur une base de données très sécurisée.
Pour faire bref, il existe deux règles principales auxquelles il ne faut pas déroger :
- le mot de passe doit être choisi avec soin, être difficile à trouver ;
- les comptes doivent bénéficier d’une double validation lors de la création (mot de passe + Captcha).
Conclusion : prêts à optimiser la mise en conformité RGPD de votre site e-commerce ?
La mise en conformité de votre site e-commerce implique d’appliquer diverses mesures légales, certaines étant imposées par le RGPD et d’autres par d’autres textes juridiques.
L’optimisation de la conformité RGPD de votre site e-commerce est essentielle pour le bon fonctionnement du site, son rayonnement et sa rentabilité.
La vigilance renforcée de l’autorité de régulation, des contrôles accrus, des prospects et clients davantage préoccupés par la protection de leurs données et plus enclins à faire valoir leurs droits…
Vous ne pouvez désormais plus faire l’impasse sur le règlement européen.
Heureusement, vous pourrez vous appuyer sur des solutions éprouvées qui prendront en charge certaines tâches spécifiques.
Admeet peut ainsi vous accompagner dans vos efforts de mise en conformité liés au RGPD, par exemple concernant la politique de confidentialité ou la gestion des cookies.
Nous serons présents au salon Digitalize à Namur le 31 janvier et 1er février 2024 pour vous présenter notre solution et commencer ce projet ensemble !