Connexion 

Le RGPD dans le commerce électronique : Comment une entreprise peut-elle rendre sa boutique en ligne conforme à la loi?

Checkout
Checkout

Stripe Checkout est un formulaire de paiement préconfiguré et pensé pour optimiser le taux de conversion. Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou des abonnements facilement et en toute sécurité.

En savoir plus 
  1. Introduction
  2. Pourquoi le RGPD a-t-il été introduit?
  3. Quelles sont les principales dispositions du RGPD?
    1. Principes du traitement des données
    2. Licéité du traitement
    3. Droits des personnes concernées
    4. Responsabilités du responsable du traitement
  4. Quelle est l’importance du RGPD dans le commerce électronique?
  5. Quelles sont les exigences auxquelles les entreprises de commerce électronique doivent répondre pour se conformer à la réglementation RGPD?
    1. Politique de confidentialité
    2. Politique en matière de témoins
    3. Mesures techniques et organisationnelles
    4. Consentement aux offres publicitaires et d’information
    5. Contrats de traitement des données
    6. Nomination de délégués à la protection des données
  6. Quelles sont les sanctions encourues par les entreprises si elles ne se conforment pas au RGPD?
  7. Premiers pas avec Stripe 

Depuis 2018, le règlement général sur la protection des données (RGPD) régit tous les aspects de la protection des données en Europe et au niveau national. En particulier, les entreprises de commerce électronique qui exploitent une boutique en ligne doivent s’assurer qu’elles respectent de nombreuses exigences lors du traitement des données personnelles.

Dans cet article, vous apprendrez pourquoi le RGPD a été introduit, quelles sont les principales dispositions du règlement et ce qu’il signifie pour les entreprises de commerce électronique. Nous expliquons également les exigences que les entreprises doivent respecter pour se conformer au RGPD et les sanctions qui peuvent s’appliquer si elles ne le font pas.

Qu’y a-t-il dans cet article?

  • Pourquoi le RGPD a-t-il été introduit?
  • Quelles sont les principales dispositions du RGPD?
  • Quelle est l’importance du RGPD dans le commerce électronique?
  • À quelles exigences les entreprises de commerce électronique doivent-elles répondre pour se conformer à la réglementation RGPD?
  • Quelles sont les sanctions encourues par les entreprises en cas de non-respect du RGPD?

Pourquoi le RGPD a-t-il été introduit?

Le RGPD a été introduit pour normaliser la protection des données dans l’ensemble de l’Union européenne (UE) et pour améliorer la protection des données personnelles dans un monde de plus en plus numérique. Avant l’entrée en vigueur du RGPD, les États membres de l’UE disposaient de lois différentes en matière de protection des données. Il en résultait des différences significatives dans le niveau de protection et représentait un défi pour les entreprises opérant dans plusieurs pays. Le RGPD établit un cadre juridique unique qui s’applique à tous les pays de l’UE.

L’objectif premier du RGPD est de protéger les individus vis-à-vis du traitement des données personnelles. Le règlement vise à promouvoir la confiance des citoyens dans le traitement de leurs données. Le RGPD permet aux entreprises de l’UE de fonctionner plus efficacement, car elles peuvent respecter des normes uniformes en matière de protection des données.

En Allemagne, la protection des données était régie par la loi fédérale sur la protection des données (BDSG) jusqu’à l’introduction du RGPD. Cette loi a été adaptée et est considérée comme un complément au RGPD, en particulier dans les domaines où le RGPD laisse une certaine marge de manœuvre aux États membres.

Quelles sont les principales dispositions du RGPD?

Le RGPD contient plusieurs dispositions clés dans 11 chapitres et 99 articles. Voici un aperçu des plus importants :

Principes du traitement des données

L’article 5 du RGPD réglemente les principes régissant le traitement des données à caractère personnel. Entre autres exigences, les données doivent être :

  • Traitées de manière licite et transparente pour la personne concernée
  • Collectées et traitées à des fins déterminées, explicites et légitimes
  • Traitées uniquement dans la mesure nécessaire à la finalité respective
  • À jour et correctes
  • Supprimées si elles ne sont plus nécessaires aux fins du traitement
  • Protégées par des mesures techniques et organisationnelles visant à empêcher tout accès non autorisé, toute perte ou toute destruction

Licéité du traitement

L’article 6 du RGPD stipule que les données ne peuvent être traitées que si l’une des bases juridiques suivantes s’applique :

  • Le consentement de la personne concernée
  • Un contrat avec la personne concernée
  • Le traitement est nécessaire au respect d’une obligation légale
  • Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public
  • Le traitement est nécessaire à la sauvegarde des intérêts légitimes du responsable du traitement ou d’un tiers, à moins que les intérêts ou les droits fondamentaux de la personne concernée ne soient prépondérés.

Droits des personnes concernées

Le chapitre 3 du RGPD réglemente les différents droits des personnes concernées concernant le traitement de leurs données.

  • Les personnes concernées ont le droit de savoir quelles données personnelles sont stockées à leur sujet, comment elles sont traitées et avec qui elles sont partagées (article 15 du RGPD).
  • Les données à caractère personnel incorrectes ou incomplètes doivent être corrigées à la demande de la personne concernée (article 16 du RGPD).
  • Les personnes concernées peuvent, sous certaines conditions, demander la suppression de leurs données (article 17 du RGPD).
  • Les personnes concernées ont le droit de recevoir leurs données du responsable du traitement dans un format structuré, courant et lisible par machine (article 20 du RGPD).
  • Les personnes concernées peuvent s’opposer au traitement de leurs données pour certaines raisons, en particulier le traitement à des fins de marketing direct (article 21 du RGPD).

Responsabilités du responsable du traitement

Le chapitre 4 énumère les obligations des responsables du traitement et des sous-traitants. Il s’agit, entre autres, des obligations suivantes :

  • Les responsables du traitement doivent veiller à ce que les personnes qui traitent des données à caractère personnel en leur nom respectent également les exigences du RGPD (article 28 du RGPD).
  • Les violations de données doivent être signalées par les responsables à l’autorité de contrôle compétente dans les 72 heures si elles entraînent un risque pour les droits et libertés des personnes (article 33 RGPD).
  • Pour certains types de traitements de données qui présentent un risque élevé pour les droits et libertés des personnes concernées, les responsables du traitement doivent procéder à une analyse d’impact sur la protection des données (article 35 du RGPD).

Quelle est l’importance du RGPD dans le commerce électronique?

Le RGPD est essentiel pour les entreprises de commerce électronique, car elles traitent de grandes quantités de données personnelles. Les informations sur les clients telles que le nom, l’adresse, les détails de paiement et l’historique des commandes sont essentielles au fonctionnement d’une boutique en ligne. Cela signifie que le RGPD a une incidence significative sur la conception et le cadre juridique des modèles économiques du commerce électronique.

Une gestion négligente des données personnelles dans les boutiques en ligne peut entraîner une violation de la protection des données, entraînant des litiges juridiques, des sanctions réglementaires et une atteinte à l’image de l’entreprise. C’est pourquoi les exploitants de boutiques en ligne, en particulier, doivent se familiariser avec le RGPD et les obligations qu’il impose.

Par exemple, une entreprise n’est pas autorisée à collecter un numéro de téléphone s’il n’est pas nécessaire pour la commande et la livraison. Seules les données nécessaires à la livraison et au paiement des marchandises commandées peuvent être collectées.

De même, les informations marketing, telles que les adresses courriel pour les bulletins, ne peuvent être collectées et utilisées qu’avec le consentement exprès du client. De plus, les informations relatives à la carte de crédit ne doivent être conservées que le temps nécessaire à la finalisation du processus de paiement. Des informations telles que la date de naissance ne peuvent être collectées que si elles sont nécessaires à la vérification de l’âge, par exemple lors de la vente de biens soumis à des restrictions d’âge. En savoir plus sur les paiements en ligne.

Quelles sont les exigences auxquelles les entreprises de commerce électronique doivent répondre pour se conformer à la réglementation RGPD?

Pour se conformer à la réglementation RGPD, les entreprises de commerce électronique doivent répondre à diverses exigences. Celles-ci découlent en grande partie des droits susmentionnés des personnes concernées (Chapitre 3 du RGPD) et des obligations des responsables du traitement (Chapitre 4 du RGPD).

Politique de confidentialité

Les entreprises de commerce en ligne doivent fournir une politique de confidentialité complète. Elle doit expliquer de manière transparente et exhaustive quelles données à caractère personnel sont collectées, dans quel but, comment les données sont traitées et quels sont les droits des personnes concernées. La politique de confidentialité doit être facile à trouver (par exemple, dans le pied de page du site Web ou sous forme de lien direct lorsque vous accédez à la page). Article 13 du RGPD répertorie toutes les informations requises dans une déclaration de protection des données conforme au RGPD. Il s’agit notamment de :

  • Le nom et les coordonnées du responsable du traitement
  • Le cas échéant, le nom et les coordonnées du délégué à la protection des données
  • La base juridique et les finalités du traitement des données à caractère personnel
  • Une indication des intérêts légitimes du responsable du traitement, si le traitement des données est fondé sur ceux-ci (voir article 1er, paragraphe 1, point f) du RGPD)
  • Les destinataires des données à caractère personnel en cas de divulgation
  • La durée de conservation des données à caractère personnel
  • Les droits des personnes concernées, y compris les droits d’accès, de rectification, d’effacement, d’opposition, de révocation et de limitation du traitement
  • La description des conséquences de la non-communication des données personnelles

Politique en matière de témoins

Le traitement des données à caractère personnel qui n’est pas nécessaire à l’exécution du contrat nécessite le consentement éclairé de l’utilisateur. Cela s’applique en particulier à l’utilisation de témoins, qui sont des fichiers texte qui sont stockés temporairement dans le navigateur de l’utilisateur. Les témoins techniquement nécessaires sont utilisés, par exemple, pour afficher la langue appropriée du site Web pour l’utilisateur ou pour stocker le contenu du panier.

Les témoins sont essentiels au bon fonctionnement des sites Web, et ils sont utilisés pour créer des profils d’utilisateurs pour des publicités personnalisées. Cela peut être critique dans certains cas, car des données statistiques et personnelles sont stockées. Pour cette raison, les utilisateurs doivent avoir la possibilité de consentir au stockage et au traitement des témoins. Une simple « bannière de témoins » n’est suffisante que si elle offre la possibilité de refuser ou d’ajuster les paramètres des témoins.

Mesures techniques et organisationnelles

Afin de protéger les données personnelles contre l’accès de tiers, les boutiques en ligne doivent notamment prendre des mesures de sécurité techniques. Il s’agit notamment du chiffrement de la transmission des données, par exemple par le biais du protocole de transfert hypertexte sécurisé (HTTPS) (article 32 du RGPD). Cela nécessite un certificat SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Les boutiques en ligne doivent également veiller à ce que les données personnelles soient stockées en toute sécurité (par exemple, dans des bases de données chiffrées). Les sauvegardes de données sont également obligatoires.

Consentement aux offres publicitaires et d’information

Les adresses courriel des clients ne peuvent pas être utilisées automatiquement pour envoyer des bulletins, de la publicité ou des offres d’information. Cela nécessite le consentement actif des clients. Avec l’entrée en vigueur du RGPD, la procédure de double acceptation est requise sur la base de l’article 7 et de l’article 8 du règlement. L’« acceptation » peut être traduite approximativement par « décider de quelque chose » ou « choisir ». La double acceptation nécessite que les clients confirment deux fois. Il faut d’abord leur demander s’ils souhaitent recevoir un bulletin, par exemple. Si cela est confirmé par l’inscription et la transmission de l’adresse courriel associée, une deuxième étape s’ensuit : les entreprises doivent envoyer un lien de confirmation sur lequel elles doivent cliquer pour activer l’offre.

Contrats de traitement des données

Si des prestataires de services externes traitent des données à caractère personnel provenant d’une boutique en ligne, des accords de traitement des données doivent être conclus. Il s’agit de la condition obligatoire pour le transfert de données à des tiers. Les accords de protection des données garantissent que les tiers se conforment également au RGPD. Les prestataires de services typiques pour les boutiques en ligne sont les prestataires de services de paiement ou les fournisseurs de services infonuagiques et de solutions de logiciels-servies.

C’est là que Stripe Checkout peut vous aider : un formulaire de paiement prêt à l’emploi qui permet un processus de paiement fluide. Checkout peut être intégré à votre site Web ou rediriger les clients vers une page hébergée par Stripe. Les paiements ou abonnements peuvent y être acceptés facilement, en toute sécurité et conformément au RGPD.

Nomination de délégués à la protection des données

Selon l’article 37 du RGPD, la désignation de délégués à la protection des données pour une boutique en ligne est obligatoire sous certaines conditions. Ils veillent au respect du RGPD et agissent en tant qu’interlocuteurs pour les autorités de contrôle et les personnes concernées.

Quelles sont les sanctions encourues par les entreprises si elles ne se conforment pas au RGPD?

Selon l’article 83 du RGPD, les entreprises peuvent être passibles de lourdes amendes si elles enfreignent les règles de protection des données. Ceux-ci vont jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial de l’entreprise. Par exemple, le fait de dissimuler intentionnellement, sciemment ou par négligence l’expéditeur ou la nature commerciale d’un message constitue une infraction administrative. Il en va de même pour la collecte, le traitement ou le stockage de données à caractère personnel en violation de la loi. En outre, les personnes concernées doivent toujours être informées de la collecte des données.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Checkout

Checkout

Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou d'abonnements facilement et en toute sécurité.

Documentation Checkout

Créez un formulaire de paiement nécessitant peu d'écriture de code et intégrez-le à votre site ou hébergez-le sur Stripe.