Devant le nombre d'articles sur le RGPD, nous avons décidé de faire un recueil pour répondre aux principales questions que vous vous posez. Il vous permettra de rendre votre boutique Prestashop conforme aux recommandations de la CNIL.
Cette foire aux questions n'est pas exhaustive et sera complété en fonction de vos questions et de vos retours.
Dans cet article tutoriel, nous allons voir :
Les généralités :
1 - Que signifie RGPD et pourquoi le mettre en place sur ma boutique ?
R.G.P.D. signifie : " Règlement Général sur la Protection des Données " ou GDPR en anglais " General Data Protection Regulation ".
Le but principal est de vous inciter à plus de transparence envers vos prospects et vos clients, en leur faisant comprendre comment vous utilisez leurs données personnelles et pourquoi. En leur donnant aussi la possibilité de les voir, les modifier ou les supprimer, vous accentuez la confiance qu'ils ont envers vous.
2 - Ou pouvons-nous trouver le Règlement Général sur la Protection des Données ?
Sur le site de la CNIL.
3 - Ma boutique est situé hors de l'Union Européenne est ce que je suis concerné par le RGPD ?
Si vous avez un site de e-commerce en français livrant des produits en France vous devez respecter le Règlement Général sur la Protection des Données.
4 - Mon site est en France mais je travaille uniquement avec des clients étrangers situés en dehors de l'Union Européenne, est-ce que je dois respecter le R.G.P.D. ?
Oui, vous devez le respecter, si votre Société est situé sur le territoire Européen.
5 - A partir de quand mon site doit être conforme R.G.P.D. ?
A partir du 25 mai 2018.
6 - Qu'est-ce qui est considéré comme une donnée personnelle ?
Dans votre boutique Prestashop, vous allez avoir en fonction de votre formulaire d'inscription : le nom, le prénom, l'adresse mail, l'adresse postale, le téléphone, la date de naissance, la fonction, le sexe mais aussi l'adresse ip du client, un ID skype si vous le demandez. Mais aussi les éléments liés au comportement comme par exemple les préférences de navigation, les likes, la fréquence d'achat...
Il faut aussi considérer l'historique sur le site, ainsi que les devis et commandes passées, .
Le profilage est également considéré comme une donnée personnelle. Si vous avez par exemple prévus des côches pour choisir des catégories ou des centres d'intérêt lors de l'inscription de votre client, pour lui envoyer ensuite des mailings personnalisés.
7 - Mon fichier ne comporte que des données d'entreprises, est-ce que c'est considéré comme données personnelles et dois-je appliquer le RGPD ?
Non, si votre fichier ne comporte que des données d'entreprises : comme le nom de l'entreprise, son email, son adresse, ce n'est pas considéré comme des données personnelles.
Par contre si en plus vous avez le nom du responsable ou de votre contact chez eux, ou si vous avez un email personnel comme nom_de_mon_contact@entreprise.fr, c'est considéré comme données personnelles et vous devez appliquer la procédure.
8 - Est ce que je dois nommer un délégué à la protection des données (DPO) pour mon e-commerce ?
Le DPO est la personne à contacter en interne ou en externe en cas de soucis. C'est aussi la personne qui est chargé de la mise en œuvre et de faire respecter le R.G.P.D., au sein de votre organisme.
Sa nomination est obligatoire pour les grandes structures, mais ce n'est pas le cas pour les petits e-commerces (Voir comment devenir délégué à la protection des données). Il peut par contre être intéressant dans votre cas de mettre en place une adresse dpo@monsite.com. Cela montrera votre implication et donc donnera confiance à vos clients.
Ma boutique Prestashop et le RGPD. :
9 - Je mets en place un site de e-commerce sous Prestashop, est ce que je dois déclarer mes fichiers à la CNIL ?
Non, il n'est plus nécessaire de déclarer ses fichiers à la CNIL, il suffit de mettre en place le Règlement Général sur la Protection des Données.
10 - Un client me demande de rendre anonyme ses données, est-ce que je dois accéder à sa demande ?
Si c'est un prospect, et que vous n'avez pas de procédure automatique, vous avez un mois pour faire ce qu'il vous demande.
Si c'est un client, vous ne pouvez rendre anonyme ou supprimer ses données que lorsque le délai de prescription est dépassé. Car normalement, vous avez au moins une facture qui a été faite pour lui. Vous devez donc garder la trace de la facture pendant au moins 10 ans pour le code du commerce (article L123-22 du code de commerce), un complément sur le site de la CNIL.
Une solution consiste à imprimer les différentes factures du client que vous devrez garder pendant 10 ans pour respecter le code du commerce et de rendre ensuite le compte client anonyme, pour accéder à sa demande.
11 - Que faire pour sécuriser mon site ?
- Mettre en place le HTTPS sur ma boutique.
- Utiliser un nom de dossier complexe pour le dossier admin de votre site.
- Mettre en place une double protection avec un htaccess pour l'accès à l'admin.
- Faire la liste des personnes ayant accès à l'admin de votre boutique, supprimer tous les comptes inutiles.
- Pour les comptes restants, demander à leurs propriétaires de remplacer leur mot de passe par un mot de passe sécurisé. Celui-ci sera constitué de lettres (majuscules & minuscules), de chiffres et de caractères spéciaux et aura un nombre de caractères au moins égale à 10.
- Mettre en place un bandeau prévenant vos clients que vous utilisez des cookies sur votre site avec une page d'information expliquant tout cela.
- Ne pas utiliser un module de paiement qui stock les n° de cartes bancaires de vos clients dans votre base de données.
- Ajouter un texte au niveau de la création du compte client, pour la partie mot de passe. Celui-ci demandera au client d'utiliser des mots de passes sécurisés (majuscules & minuscules, chiffres et caractères spéciaux). L'idéale étant que le formulaire de création de compte, ne valide pas celui-ci si ces critères ne sont pas respectés.
12 - Je suis un petit e-commerçant, le 25 mai 2018 est passé et je ne suis pas encore prêt pour le RGPD ?
La date du 25 mai, n'est pas un couperet et la CNIL a prévu une période d'adaptation et d'accompagnement, vous n'allez pas avoir demain un contrôle de la CNIL.
Par contre il faut montrer votre bonne volonté en commençant à mettre un certain nombre de points, voir la question suivante.
13 - Quels sont les points à mettre en place pour essayer d'être conforme au R.G.P.D. ?
- Mettre en place le HTTPS sur votre boutique Prestashop.
- Éventuellement, mettre en place un registre des traitements et le compléter.
- Créer une adresse dpo@monsite.com.
- Ajouter dans la page Compte client de votre boutique Prestashop deux boutons : un pour permettre à vos clients de demander l'anonymisation de leurs comptes et un autre leurs permettant d'exporter leurs données personnels stockées sur votre boutique.
- Étudier vos formulaires et éliminer les champs inutiles pour la gestion de votre e-commerce, par exemple si je n'ai pas besoin de la date de naissance de mes clients, je supprime cette demande dans la création du compte client.
- Reprenez tous vos formulaires et vérifier que vous n'avez pas de cases de consentement qui soient cochées par défaut.
- Faire le tour de vos formulaires et ajouter le ou les cases demandant le consentement de vos clients pour le traitement de leurs données, avec un lien vers votre page "Politique de Confidentialité".
- Pour les formulaires demandant des mots de passes ajuter un texte expliquant à vos clients comment saisir un mot de passe sécurisé, ou mettez en place un système de validation de formulaire prenant en compte ce paramètre.
- Allez sur ma liste des employés de votre boutique Presatshop, pour chacun vérifiez leurs accès admin boutique, supprimer ceux qui sont inutiles et limiter les droits des autres aux seuls fonctions nécessaires pour l'accès aux données à caractère personnel. Par exemple pour la personne s'occupant de l'expédition, vous limiter ses accès à la génération d'étiquettes et de bons de livraisons et vous supprimez ses accès au fichier clients.
- Il peut être intéressant de mettre en place des profils si ce n'est déjà fait et d'assigner ceux-ci aux différents employés de votre organisation, en fonction du rôle de chacun.
Préciser dans vos Conditions Générales de Vente, sur votre bandeau Cookies ainsi que sur une page dédiée "Politique de Confidentialité", toutes les informations relatives au traitement des données.
14 - Comment faire ou modifier un formulaire de contact pour qu'il soit compatible RGPD ?
Vérifier que toutes les cases de consentement soient décochées par défaut et que les formulations des cases à choix ne soient pas trompeuses.
Ajouter une case à cocher avec un petit texte comme celui-ci : Cochez cette case si vous donnez votre accord pour que notre Société recueille vos données afin de traiter votre demande de contact. Les données recueillie à travers ce formulaire sont réservées à notre usage exclusif et ne seront en aucun cas communiquées à des tiers. Conformément à la loi Informatique et libertés, vous bénéficiez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. Il vous suffit pour cela de vous rendre dans votre compte et de cliquer sur Nom du bouton. Ou de vous rendre sur notre page Protection des données (mettre le lien vers la page) pour connaitre la manière dont nous traitons vos données.
La mise en place d'un bouton pour permettre la suppression des données est plus pratique et plus simple pour l'administrateur de la boutique. Vous pouvez aussi proposer au client d'envoyer un message à une adresse particulière comme dpo@ma_societe.com (dans ce cas vous devez traiter la demande du client dans le mois qui suit la demande).
Vous pouvez éventuellement remplacer votre bouton d'envoi du formulaire par un bouton plus explicite comme "Envoyer ma demande de contact".
15 - Que doit contenir la page présentant les informations collectées sur les données personnelles ?
Cette page doit être dédié à cela et doit avoir un nom explicite comme " Politique en matière de données personnelles ".
Elle doit préciser l'endroit où sont stockée les données (France ou UE, étranger).
Il vaut mieux privilégier un hébergeur français ou dans l'union européenne, qui respecte le RGPD, si les données sont stockées à l'étranger il faudra indiquer ou et pourquoi elles sont transférées à l'étranger.
Quelles sont les données que vous conservez. Exemple de données personnelles : nom, prénom, adresses, email, téléphone, âge, sexe, date de naissance, commandes, commentaires. Mais aussi : adresse IP, cookies, types d'appareils, données de tracking, durées de visites, segmentations, etc...
Comment les données sont traités et dans quels buts (marketing, comptabilité, rapports de ventes, UX, etc...)
Qui a accès aux données personnelles (vous, Google, Facebook, Twitter, MailChimp, etc...)
La durée de stockage des données.
Le droit d'accès à ses données et comment y accéder.
Que votre client a droit à la modification ou à l'effacement de ses données et comment y accéder.
Ce qui a été fait sur le site pour renforcer la sécurité.
Il faut aussi expliquer tout cela dans des termes clairs et explicites, attention au charabia juridique des avocats.
16 - Je suis un petit e-commerçant est-ce que je dois tenir un registre de traitement des données ?
Vous ne devez mettre à jour ce registre que pour les cas de traitements non occasionnels pour la gestion de vos prospects, comme un évènement exceptionnel, ou pour les traitements à risques pour les droits et libertés des personnes : géolocalisation, données de santé... ( Source)
En fait pour vous en tant que petit e-commerçant, on peut dire que vous n'aurez que très rarement voir jamais besoin de remplir ce registre.
Si vous devez le faire, vous pouvez utiliser la version simplifié de ce registre disponible sur le site de la CNIL.
17 - Que mettre dans mon registre RGPD de traitements des données ?
Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :
* L'objectif poursuivi, la finalité, par exemple la fidélisation client.
* Les données utilisées par exemple : le nom, le prénom, la date de naissance, etc...
* Qui a accès aux données par exemple : le service livraison, les prestataires, l'hébergeur, etc...
* La durée de conservation des données (durée durant laquelle elles sont utilisées et durée de conservation en archive).
Le registre est placé sous la responsabilité du dirigeant de l'entreprise.
Vous n'avez pas en revanche à mentionner au registre les traitements purement occasionnels comme un fichier constitué pour une opération ponctuelle comme l'inauguration d'une boutique. Ce point sera à confirmer par la CNIL, car suivant les documents que vous lisez, elle indique qu'ils doivent être consignés ou non.
Vous pouvez utiliser le modèle de registre simplifié proposé par la Cnil.
18 - Que faire en cas d'attaque ou de piratage sur ma boutique ?
Vous devez prévenir la CNIL en envoyant le document : Notification de violation de données à caractère personnel et vos clients dans un délai maximal de 72h.
Mes campagnes d'e-mailing et mes newsletters Prestashop :
19 - Comment doit se faire l'inscription à ma newsletter ?
Lorsque le client souhaite l'abonnement à votre newsletter il est conseillé d'utiliser la technique du double accord (Double opt-in).
Vous lui présentez l'inscription à votre newsletter et il doit cocher les options si il y en a (pas de cases près cochées).
Si il valide son inscription, il ne peut pas encore recevoir votre newsletter.
Vous lui envoyez ensuite un mail récapitulant à ce qu'il a souscrit et détaillant les conditions commerciales d'utilisation de son adresse email, avec un lien pour confirmer son inscription. Une fois qu'il a cliqué sur ce lien, il est correctement inscrit selon les recommandations de la CNIL et il peut recevoir votre lettre d'information.
Lorsque j'envoie ensuite mes newsletters il faut que le prospect puisse voir facilement votre lien de désabonnement, il ne faut pas le cacher.
20 - Comment faire ou modifier un formulaire de demande d'inscription à une newsletter pour qu'il soit compatible RGPD ?
Vérifier que toutes les cases de consentement soient décochées par défaut et que les formulations des cases à choix ne soient pas trompeuses.
Ajouter une case à cocher avec un petit texte comme celui-ci : En validant ce formulaire vous acceptez de recevoir chaque semaine / mois nos nouveaux produits et vous validez notre politique de confidentialité (en faisant un lien vers votre page Politique de confidentialité).
Vous pouvez ne plus recevoir nos lettres d'informations à tout moment en cliquant sur un lien de désinscription en bas de celles-ci ou en allant dans votre compte client et en cliquant sur le bouton... (si vous n'avez pas mis en place de bouton, vous pouvez aussi proposer à vos clients d'envoyer un mail à dpo@mon_site.com)
Si lors de l'inscription à vos lettres d'informations, vous souhaitez que vos clients puissent aussi recevoir les nouveaux articles de votre blog ou des informations de vos partenaires, vous devez mettre des cases à cocher pour chacun des cas. Cela permettra au client de savoir précisément lorsqu'il coche une case quelle lettre d'information il recevra en retour.
21 - Si je ne travaille qu'avec des prospects en B2B (professionnels) est-ce que je dois aussi utiliser le double opt-in pour mes lettres d'informations ?
Il y aura plus de tolérance au niveau du B2B, mais c'est conseillé.
22 - J'ai déjà le consentement de mes prospects pour recevoir mes newsletters, dois-je le redemander ?
Si vous avez déjà le consentement, il n'est pas nécessaire de le redemander, si vous n'avez pas le consentement, la CNIL conseille de le redemander.
23 - Qu'est-ce qui qui change pour mes campagnes d'e-mailing ?
Maintenant le RGPD s'applique aussi aux B2B qu'aux B2C sans distinction.
Donc après le 25 avant de faire un mailing à vos prospect, vous devrez leur faire un mail pour leur demander leur consentement.
L'adresse pro devient donc une donnée personnelle, si elle concerne une personne d'une entreprise, par exemple jean.dupond@societe.com. Les adresses génériques ne sont pas concernées, par exemple contact@societe.com.
Il faut que le prospect ou le client puisse retirer son consentement aussi simplement que pour son inscription, par exemple en ajoutant un lien de désinscription en bas de votre newsletter.
Je ne dois pas pénaliser les individus retirant leur consentement (par exemple, je ne dois pas livrer moins vite un individu ayant retiré son consentement)
Dans mes campagnes de mailing, mon prospect devra avoir accès à la possibilité de se désabonner pour cette campagne, pour toutes les campagnes, avoir la possibilité de contacter une adresse de retour. Si vous envoyer votre mailing à partir d'une adresse que vous ne consultez jamais, il faut fournir à votre prospect une autre adresse pour pouvoir vous contacter.
Bien entendu si des clients de ma newsletter demandent à être désinscrit, je dois obligatoirement respecter leur décision et ne plus leur envoyer de lettre d'informations.
24 - Je souhaite faire un mailing a des clients de ma boutique, est-ce que j'ai le droit ?
Oui si votre lettre d'information concerne des produits analogues à ceux que vous avez déjà fournis à vos clients . ( Source). En fait, vous avez déjà vendu des produits de beautés à vos clients, vous pouvez faire une lettre d'information ou vous leurs proposez de nouveaux produits de beautés, mais pas des habits par exemple.
25 - Je souhaite faire un mailing d'information a des adresses B2B (professionnels) que j'ai récupéré, est-ce que j'ai le droit ?
Oui les adresses professionnelles génériques comme par exemple contact@societe.com, ne sont pas soumises aux principes de consentement et au droit d'opposition.
Par contre pour les adresses personnels des employés de cette société par exemple jean.dupond@societe.com, je dois recueillir un consentement avant de pouvoir envoyer mon mailing. ( Source).
26 - J'ai besoin de remonter une sauvegarde de ma base de données quelles précautions je dois prendre ?
Une fois les données de votre sauvegarde de BDD remontées, vous devez pouvoir reproduire les demandes d'anonymisations qui ont été demandées par vos clients après la date de la sauvegarde, car sinon vous ne respectez pas les demandes des personnes.
Si vous utilisez un module pour gérer le RGPD sur votre boutique Prestashop, il faut donc que celui-ci stock les différentes demandes de vos clients dans un fichier de log ou dans une liste pour que vous puissiez reproduire celles-ci. Une autre solution est que celui-ci, vous permette de reproduire ces demandes de suppressions de comptes de vos clients après la date de restauration.
Conclusion :
Les informations contenus dans ce document, pourrons évoluer en fonction des retours des clients auprès de la CNIL. Nous pourrons aussi rajouter des points en fonction de vos commentaires ou vos questions.
Prestashop a intégré les différentes parties concernant le Règlement Général sur la Protection des Données à sa version 1.7, mais pour la version 1.6, il faut passer par un module payant, qui semble poser beaucoup de problèmes au niveau des règles à respecter et de son utilisation.
Vous trouverez sur notre boutique un module Prestashop pour le RGPD, qui fonctionne sur la version 1.6 et qui vous simplifiera sa mise ne place
Si vous avez besoin d'aide pour le mettre en place sur votre boutique de e-commerce, n'hésitez pas à nous contacter.