Connexion 

Le RGPD dans l'e-commerce : comment une entreprise peut-elle mettre sa boutique en ligne en règle ?

Checkout
Checkout

Stripe Checkout est un formulaire de paiement préconfiguré et pensé pour optimiser le taux de conversion. Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou des abonnements facilement et en toute sécurité.

En savoir plus 
  1. Introduction
  2. Pourquoi le RGPD a-t-il été introduit ?
  3. Quelles sont les principales dispositions du RGPD ?
    1. Principes du traitement des données
    2. Licéité du traitement
    3. Droits des personnes concernées
    4. Obligations du responsable du traitement
  4. Quelle est l’importance du RGPD dans l’e-commerce ?
  5. Quelles obligations les entreprises d’e-commerce doivent-elles respecter pour se conformer au RGPD ?
    1. Politique de confidentialité
    2. Politique sur l’utilisation des cookies
    3. Mesures techniques et organisationnelles
    4. Consentement aux offres publicitaires et d’information
    5. Accords relatifs au traitement des données
    6. Désignation de délégués à la protection des données
  6. Quelles sanctions les entreprises encourent-elles en cas de non-respect du RGPD ?
  7. Démarrer avec Stripe 

Depuis 2018, le règlement général sur la protection des données (RGPD) régit tous les aspects de la protection des données en Europe et au niveau national. En particulier, les entreprises d'e-commerce qui exploitent une boutique en ligne doivent s'assurer qu'elles respectent de nombreuses exigences lors du traitement des données à caractère personnel.

Dans cet article, vous apprendrez pourquoi le RGPD a été introduit, quelles sont ses principales dispositions et ses répercussions pour les entreprises d'e-commerce. Nous expliquons également les exigences que les entreprises doivent respecter pour se conformer au RGPD et les sanctions auxquelles elles s'exposent en cas de non-respect.

Sommaire

  • Pourquoi le RGPD a-t-il été introduit ?
  • Quelles sont les principales dispositions du RGPD ?
  • Quelle est l'importance du RGPD dans l'e-commerce ?
  • Quelles obligations les entreprises d'e-commerce doivent-elles respecter pour se conformer au RGPD ?
  • Quelles sanctions les entreprises encourent-elles en cas de non-respect du RGPD ?

Pourquoi le RGPD a-t-il été introduit ?

Le RGPD a été introduit pour normaliser la protection des données dans l'ensemble de l'Union européenne (UE) et pour améliorer la protection des données à caractère personnel dans un monde de plus en plus numérique. Avant l'entrée en vigueur du RGPD, les États membres de l'UE disposaient de lois différentes en matière de protection des données. Par conséquent, le niveau de protection variait significativement d'un pays à l'autre, ce qui était problématique pour les entreprises présentes dans plusieurs pays. Le RGPD établit un cadre juridique unique qui s'applique à tous les pays de l'UE.

L'objectif premier du RGPD est de protéger les personnes physiques à l'égard du traitement des données à caractère personnel. Le règlement vise à renforcer la confiance des citoyens dans le traitement de leurs données. Le RGPD permet aux entreprises de l'UE de fonctionner plus efficacement, car elles peuvent respecter des normes uniformes en matière de protection des données.

En Allemagne, la protection des données était régie par la loi fédérale sur la protection des données (BDSG) jusqu'à l'introduction du RGPD. Cette loi a été adaptée et est considérée comme un complément au RGPD, en particulier dans les domaines où le RGPD laisse une certaine marge de manœuvre aux États membres.

Quelles sont les principales dispositions du RGPD ?

Le RGPD contient plusieurs dispositions clés réparties dans ses 11 chapitres et 99 articles. Voici un aperçu des plus importantes :

Principes du traitement des données

L'article 5 du RGPD établit les principes régissant le traitement des données à caractère personnel. Entre autres exigences, les données doivent être :

  • traitées de manière licite et transparente pour la personne concernée
  • collectées et traitées pour des finalités déterminées, explicites et légitimes
  • traitées uniquement dans la mesure nécessaire pour atteindre la finalité en question
  • tenues à jour et correctes
  • supprimées si elles ne sont plus nécessaires pour la finalité du traitement
  • protégées par des mesures techniques et organisationnelles visant à empêcher tout accès non autorisé, toute perte ou toute destruction

Licéité du traitement

L'article 6 du RGPD stipule que les données ne peuvent être traitées que si au moins une des conditions suivantes est remplie :

  • le consentement de la personne concernée a été obtenu
  • un contrat a été conclu avec la personne concernée
  • Le traitement est nécessaire au respect d'une obligation légale
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique
  • Le traitement est nécessaire à l'exécution d'une mission d'intérêt public
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Droits des personnes concernées

Le chapitre 3 du RGPD régit les différents droits des personnes concernées concernant le traitement de leurs données.

  • Les personnes concernées ont le droit de savoir quelles données à caractère personnel sont conservées à leur sujet, les modalités de leur traitement et les personnes avec lesquelles elles sont partagées (article 15 du RGPD).
  • Les données à caractère personnel inexactes ou incomplètes doivent être corrigées à la demande de la personne concernée (article 16 du RGPD).
  • Les personnes concernées peuvent, sous certaines conditions, demander l'effacement de leurs données (article 17 du RGPD).
  • Les personnes concernées ont le droit de demander au responsable du traitement de leur fournir leurs données dans un format structuré, couramment utilisé et lisible par machine (article 20 du RGPD).
  • Les personnes concernées peuvent s'opposer au traitement de leurs données pour certaines raisons, en particulier le traitement à des fins de prospection (article 21 du RGPD).

Obligations du responsable du traitement

Le chapitre 4 énonce les obligations des responsables du traitement et des sous-traitants. Voici quelques-unes de ces obligations :

  • Les responsables du traitement doivent veiller à ce que les personnes qui traitent des données à caractère personnel en leur nom respectent également les exigences du RGPD (article 28 du RGPD).
  • Les violations de données doivent être notifiées par les responsables à l'autorité de contrôle compétente dans un délai de 72 heures si elles engendrent un risque pour les droits et libertés des personnes physiques (article 33 RGPD).
  • Pour certains types de traitements de données qui présentent un risque élevé pour les droits et libertés des personnes concernées, les responsables du traitement doivent procéder à une analyse d'impact relative la protection des données (article 35 du RGPD).

Quelle est l'importance du RGPD dans l'e-commerce ?

Le RGPD est essentiel pour les entreprises d'e-commerce, car elles traitent de grandes quantités de données à caractère personnel. Les informations sur les clients comme le nom, l'adresse, les détails de paiement et l'historique des commandes sont essentielles au fonctionnement d'une boutique en ligne. Par conséquent, le RGPD a un impact significatif sur la conception et le cadre juridique des modèles économiques de l'e-commerce.

Une mauvaise gestion des données à caractère personnel dans les boutiques en ligne peut entraîner une violation de la protection des données et aboutir à des poursuites judiciaires, à des sanctions réglementaires et une atteinte à l'image de l'entreprise. C'est pourquoi les exploitants de boutiques en ligne, en particulier, doivent se familiariser avec le RGPD et les obligations qu'il impose.

Par exemple, une entreprise n'est pas autorisée à collecter un numéro de téléphone s'il n'est pas nécessaire pour la commande et la livraison. Seules les données nécessaires à la livraison et au paiement des marchandises commandées peuvent être collectées.

Par ailleurs, les informations liées à des opérations marketing, p. ex. les adresses e-mail pour les newsletters, ne peuvent être collectées et utilisées qu'avec le consentement exprès du client. Les informations de carte bancaire doivent quant à elles être conservées uniquement le temps nécessaire à la finalisation du processus de paiement. Des informations telles que la date de naissance ne peuvent être collectées que si elles sont nécessaires à la vérification de l'âge, par exemple lors de la vente de biens soumis à des restrictions d'âge. En savoir plus sur les paiements e-commerce.

Quelles obligations les entreprises d'e-commerce doivent-elles respecter pour se conformer au RGPD ?

Pour se conformer au RGPD, les entreprises d'e-commerce doivent répondre à diverses exigences. Celles-ci découlent en grande partie des droits des personnes concernées (Chapitre 3 du RGPD) et des obligations des responsables du traitement (Chapitre 4 du RGPD), mentionnés ci-dessus.

Politique de confidentialité

Les entreprises d’e-commerce doivent publier une politique de confidentialité exhaustive. Elle doit expliquer de manière transparente et exhaustive quelles données à caractère personnel sont collectées, pour quelles finalités, leurs modalités de traitement et les droits des personnes concernées. La politique de confidentialité doit être facile à trouver (par exemple, dans le pied de page du site Web ou sous forme de lien direct lorsque vous accédez à la page). L'article 13 du RGPD énonce toutes les informations à inclure dans une déclaration relative à la protection des données conforme au RGPD. Voici quelques-unes de ces informations :

  • Le nom et les coordonnées du responsable du traitement
  • Le cas échéant, le nom et les coordonnées du délégué à la protection des données
  • La base juridique et les finalités du traitement des données à caractère personnel
  • Une indication des intérêts légitimes du responsable du traitement, si le traitement des données est fondé sur ceux-ci (voir article 1er, paragraphe 1, point f) du RGPD)
  • Les destinataires des données à caractère personnel en cas de divulgation
  • La durée de conservation des données à caractère personnel
  • Les droits des personnes concernées, y compris le droit d'accès, le droit de rectification, le droit à l'effacement, le droit d'opposition, le droit de révocation et le droit de limitation du traitement
  • La description des conséquences d'une non-communication des données à caractère personnel

Politique sur l’utilisation des cookies

Le traitement des données à caractère personnel qui n'est pas nécessaire à l'exécution du contrat nécessite le consentement éclairé de l'utilisateur. Cela s'applique en particulier à l'utilisation des cookies, des fichiers texte qui sont stockés temporairement dans le navigateur de l'utilisateur. Les cookies techniquement nécessaires sont utilisés, par exemple, pour afficher la langue appropriée du site Web pour l'utilisateur ou pour stocker le contenu du panier.

Les cookies sont essentiels au bon fonctionnement des sites Web, et sont utilisés pour créer des profils d'utilisateurs pour des publicités personnalisées. C'est un sujet délicat dans certains cas, car des données statistiques et personnelles sont stockées. Pour cette raison, les utilisateurs doivent avoir la possibilité de consentir au stockage et au traitement des cookies. Une simple « bannière de cookies » n'est suffisante que si elle offre la possibilité de refuser ou de modifier les paramètres des cookies.

Mesures techniques et organisationnelles

Afin de protéger les données à caractère personnel contre l'accès de tiers, les boutiques en ligne doivent notamment prendre des mesures de sécurité techniques. Il s'agit notamment du chiffrement de la transmission des données, par exemple par le biais du protocole Hypertext Transfer Protocol Secure (HTTPS) (article 32 du RGPD). Cela nécessite un certificat SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Les boutiques en ligne doivent également veiller à ce que les données à caractère personnel soient stockées en toute sécurité (par exemple, dans des bases de données chiffrées). Les sauvegardes de données sont également obligatoires.

Consentement aux offres publicitaires et d'information

Les adresses e-mail des clients ne peuvent pas être utilisées automatiquement pour envoyer des newsletters, de la publicité ou des offres d'information. Le consentement actif des clients est obligatoire à cet effet. Avec l'entrée en vigueur du RGPD, la procédure de double opt-in est obligatoire sur le fondement de l'article 7 et de l'article 8 du règlement. « Opt-in » se traduit plus ou moins par « décider de quelque chose » ou « choisir ». Le double opt-in consiste à obtenir une double confirmation de la part d'un client. Il faut d'abord lui demander s'il souhaite recevoir une newsletter, par exemple. Si ce choix est confirmé par l'inscription et la transmission de l'adresse e-mail associée, une deuxième étape s'ensuit : les entreprises doivent envoyer un lien de confirmation sur lequel le client doit cliquer pour activer l'offre.

Accords relatifs au traitement des données

Si des prestataires de services externes traitent des données à caractère personnel provenant d'une boutique en ligne, des accords relatifs au traitement des données doivent être conclus. Il s'agit de la condition sine qua non pour le transfert de données à des tiers. Les accords relatifs à la protection des données garantissent que les tiers se conforment également au RGPD. Les prestataires de services habituels des boutiques en ligne sont les prestataires de services de paiement ou les fournisseurs de services cloud et de solutions SaaS.

C'est là que Stripe Checkout peut vous aider : un formulaire de paiement prêt à l'emploi qui permet de proposer un processus de paiement fluide. Checkout peut être intégré à votre site Web ou rediriger les clients vers une page hébergée par Stripe. Les paiements ou abonnements peuvent y être acceptés facilement, en toute sécurité et conformément au RGPD.

Désignation de délégués à la protection des données

Selon l'article 37 du RGPD, la désignation de délégués à la protection des données pour une boutique en ligne est obligatoire sous certaines conditions. Ils veillent au respect du RGPD et agissent en qualité d'interlocuteurs avec les autorités de contrôle et les personnes concernées.

Quelles sanctions les entreprises encourent-elles en cas de non-respect du RGPD ?

Selon l'article 83 du RGPD, les entreprises s'exposent à de lourdes amendes si elles enfreignent les règles de protection des données. Ces amendes peuvent s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise. Par exemple, le fait de dissimuler intentionnellement, sciemment ou par négligence l'expéditeur ou la nature commerciale d'un message constitue une infraction administrative. Il en va de même pour la collecte, le traitement ou le stockage de données à caractère personnel en violation de la loi. En outre, les personnes concernées doivent toujours être informées de la collecte des données.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Checkout

Checkout

Intégrez directement Checkout à votre site ou dirigez les clients vers une page hébergée par Stripe pour accepter des paiements ponctuels ou d'abonnements facilement et en toute sécurité.

Documentation Checkout

Créez un formulaire de paiement nécessitant peu d'écriture de code et intégrez-le à votre site ou hébergez-le sur Stripe.