Un site marchand c’est une vraie cocotte-minute en termes de RGPD.
Même les plus petits sites peuvent avoir un fichier client avec plusieurs milliers de clients.
C’est un domaine où il y a pas mal d’innovation autour de la donnée pour fidéliser la clientèle : relancer les paniers abandonnés ou proposer des recommandations d’achats.
Les sites de vente en ligne doivent aussi gérer les données de paiement en toute sécurité.
Nous décryptons aujourd’hui les règles et comment mettre en place le RGPD d’un site e-commerce.
RGPD et e-commerce : les clients attentifs
Les clients e-commerce se sentent concernés par leurs données personnelles.
Ils ont parfois été échaudés par le dropshiping ou par des pratiques commerciales un peu trompeuses.
C’est pour cela qu’ils ont adoptés des réflexes avant de faire un achat :
- Ils ont appris à vérifier la présence d’un cadenas HTTPS dans le navigateur
- Ils jettent un coup d’œil pour voir s’il y a des mentions légales
- Ils jugent les petits détails qui donnent confiance avant de mettre leur CB
L’objectif de rendre son site conforme au rgpd, c’est de respecter la législation et de renforcer le niveau de confiance perçu par les clients.
Nous allons voir ce que les marchands doivent faire pour être conforme au RGPD.
Quels sont les impacts du RGPD sur votre site e-commerce ?
Si vous n’avez pas suivi en détail l’apparition du RGPD, vous avez peut-être du mal à comprendre ce que vous devez faire par rapport à cette législation sur la protection des données personnelles.
Les 4 lettres RGPD signifient : Règlement Général sur la Protection des Données.
C’est un règlement européen qui s’applique depuis le 25 Mai 2018.
Pour faire simple :
- Le RGPD donne un cadre aux acteurs qui manipulent des données personnelles. C’est le fichier client, la gestion du personnel et des recrutements, la prospection, le marketing et la fidélisation…
- Vous allez devoir documenter la manière dont vous traitez les données personnelles
- Vous allez devoir faire un certain nombre de vérification auprès des partenaires et sous-traitants avec qui vous travaillez. Ce peut être l’hébergeur de votre site (OVH, AWS, Ionos, Shopify), l’ensemble des outils avec qui vous travaillez (Facebook, Google Analytics, Mailchimp, Dropbox, Mirakl…) mais aussi les marketplaces avec qui vous échangez de la donnée (Amazon, Cdiscount, etc)
Finalement cela concerne tous les secteurs et peu importe la taille de l’entreprise.
Est-ce qu’un « petit » site e-commerce est concerné ?
Oui, il n’y a pas de distinction de taille.
Bien que généralement les sites les plus gros comportent plus de traitements aboutis et plus de volume de données.
Il est vrai qu’il y a beaucoup de site e-commerce gérés par des individuels ou des petites équipes, mais vous avez un vrai niveau de responsabilité vis-à-vis du RGPD.
Vous devez vous mettre en conformité le RGPD.
Quels sont les risques ?
On relèvera 3 risques principaux :
- Un risque d’amende
- Un risque de manque à gagner commercial : on connaitre l’importance des facteurs de réassurance dans le commerce en ligne. Les internautes ont pris des habitudes et interprètent comme des signaux faibles les anomalies visibles.
- Un risque de réputation
Est-ce que mon site marchand peut être contrôlé ?
En France, c’est la CNIL qui est habilitée à diligenter des contrôles RGPD et Loi informatique et liberté.
Les contrôles peuvent être menés sur place, sur pièce ou à distance.
Le contrôle en ligne : les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile ou un produit connecté) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt.
CNIL
Comment mettre en place le RGPD sur son site e-commerce
Nous allons voir dans cet article les 3 priorités pour conformer son site e-commerce au RGPD :
Je m’intéresserai à trois priorités :
Priorité 1 : Renforcer le niveau de sécurité
La première priorité est d’augmenter d’un cran le niveau global de sécurité du site e-commerce.
Avoir une version à jour du CMS
Je vois souvent des versions complètement obsolètes de Prestashop, Magento ou WooCommerce. C’est dommage car vous ne bénéficiez pas des dernières fonctions. Mais surtout c’est criminel car vous n’avez pas les mises à jour de sécurité, vous êtes une proie facile pour les hackers.
Vérifier les basiques de la sécurité
Avant de vous lancer plus profondément dans votre mise en conformité RGPD, je vous recommande de vérifier les basiques de la sécurité notamment :
- Votre site utilise un chiffrement HTTPS (cadenas en haut de page) (et pour les plus avancés d’entre vous vérifier si le htaccess renvoi la requête si vous cherchez à y accéder sans https)
- Chaque administrateur du site utilise un mode de passe fort
- Limitez les droits à votre équipe en fonction de ce qu’ils ont besoin dans leur mission
- Si c’est possible vous avez activé la double authentification (2FA) pour vous connecter
- Le site est mis à jour régulièrement dans une dernière version
- Le site e-commerce est sauvegardé à un rythme très régulier sur un hébergement externe
Priorité 2 : Documentation RGPD et transparence
La seconde priorité est de faire ce qu’il faut en termes de documentation rgpd et d’information des clients.
Afficher une politique de protection de la vie privée
Les sites qui collectent des données personnelles doivent avoir une page dédiée à la politique de confidentialité des données personnelles.
C’est généralement l’endroit où vous expliquez aux internautes les données que vous collectez, pourquoi et qui en sont les destinataires.
Astuce : Pendant que vous y êtes, j’en profiterai pour mettre à jour les mentions légales et les conditions générales de ventes (CGV). C’est particulièrement important en e-commerce. C’est le moment ou jamais de le prévoir car c’est le genre de mise à jour qu’on ne pense pas à faire au quotidien.
Avoir un bandeau d’acceptation des cookies
Le niveau d’exigence est notable vis-à-vis des cookies. Il a été renforcé en 2021.
Vous avez vu fleurir sur les sites des bandeaux qui s’affichent à l’arrivée sur le site. L’internaute doit désormais effectuer une action pour accepter, personnaliser ou refuser les cookies. Il doit pouvoir venir mettre à jour son choix ensuite.
Vous devez informer les internautes de la présence de cookies et demander le consentement.
Le bandeau cookie s’affiche au moment de la première connexion sur le site.
On distingue généralement les cookies qui servent à faire fonctionner le site et les cookies tiers. Quand vous utilisez des services tiers comme Facebook, Twitter, Google Analytics, ils placent sur votre site des cookies pour leurs fonctionnalités.
La CNIL a déterminé 5 catégories de finalité qui nécessitent obligatoirement un consentement préalable du cookie avant leur dépôt :
- La publicité personnalisée
- La mesure de la publicité (non ciblée)
- La publicité géolocalisée
- La personnalisation du contenu
- Le partage sur les réseaux sociaux
La bonne nouvelle c’est qu’il existe maintenant des plugins sur les principales plateformes de e-commerce. La plupart sont payants (quelques dizaines d’euros) mais ça permet de faire la modification rapidement.
Ajouter des cases de consentement sur ses formulaires
Revoir tous ses formulaires : Les cases à cocher ne doivent pas être obligatoires ou pré-cochées par avance.
Le visiteur doit pouvoir exprimer son consentement de manière libre et éclairée.
Je vous recommande de dissocier les données indispensables (fonctionnement du site, passation de la commande, logistique…), des données accessoires.
Permettre aux utilisateurs de modifier leur profil
Le RGPD instaure un droit de rectification des données.
A tout moment, l’utilisateur doit pouvoir vous demander de mettre à jour les données qui le concernent.
Selon votre logiciel e-commerce vous pouvez soit lui donner accès à un menu pour le faire, soit mettre en place une méthodologie rigoureuse selon laquelle il pourra vous contacter.
La meilleure solution est de proposer à votre client de venir éditer son profil directement depuis son compte. Il est autonome sur les modifications.
Si le logiciel que vous utilisez ne permet pas facilement de donner la possibilité à votre client d’éditer son profil vous devriez mettre en place une méthodologie pour expliquer à votre client comment vous contacter pour faire les modifications.
L’objectif est de permettre à votre client de maitriser ses données personnelles et qu’il puisse avoir un moyen de les rectifier ou les modifier.
Archiver et purger votre fichier client
Les données personnelles ne peuvent pas être conservées pour une durée indéfinie, celle-ci doit être définie en fonction des objectifs poursuivis par le traitement.
Pour cette raison, vous devez mettre en place une purge régulière de votre fichier client.
Vous allez venir supprimer vos prospects inactifs et vos clients inactifs de votre base.
La bonne nouvelle, c’est que si vous avez besoin de faire des statistiques vous allez pouvoir conserver certaines données de manière anonymes.
Priorité 3 : traitements annexes
La dernière priorité dont nous parlons aujourd’hui c’est d’être nickel sur les traitements annexes :
- Processus d’acquisition
- Retargeting
- Relance de panier abandonné
- Algorithme de recommandation
- Newsletter
- Marketplace
- …
