Données personnelles : les obligations des sites e-commerce

|
EWAG

Avec la multiplication des applications numériques, la question du traitement des données personnelles est de plus en plus prégnante.  – Texte Nicolas Mollet

Nicolas Mollet - avocat cabinet DFM - Guadeloupe
Nicolas Mollet, avocat

Qu’est-ce qu’une donnée personnelle ?

Constitue une donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable.

Cela peut être par exemple : nom, prénom, date de naissance, coordonnées bancaires, adresse IP, adresse mail… L’identification d’une personne peut s’effectuer à partir d’une seule donnée ou par le croisement de plusieurs données.

Le RGPD, pour protéger les données personnelles

Il existe en France une tradition très forte de protection des utilisateurs, matérialisée d’abord par la loi nationale « Informatique et Libertés » de 1978, puis par le dispositif européen instaurant en 2018 le RGPD (Règlement général sur la protection des données).

Aujourd’hui, tout site Internet collecteur de données, qu’il soit gratuit ou payant, et quelque soit la taille de l’entreprise qui exploite le site, est soumis au RGPD.

Sites e-commerce : quelles sont les obligations quant au RGPD ?

Les boutiques en ligne, surtout lorsqu’elles s’adressent à des consommateurs (B to C), ne font pas exception puisque la collecte des données est recueillie pour passer une commande.

Lorsque l’on décide de créer un site e-commerce, il ne faut pas faire l’économie de la rédaction de CGU, mais également d’une politique de confidentialité, lesquelles seront consultables sur le site.

Que sont les CGU ?

Les CGU (Conditions générales d’utilisation), qui s’apparentent à des CGV (Conditions Générales de Vente), permettront de donner un cadre aux relations contractuelles, et devront respecter le droit de la consommation, en prévoyant notamment un délai de réflexion et un formulaire de rétractation.

Qu’est-ce que la politique de confidentialité ?

La politique de confidentialité (Privacy Policy), appelée aussi déclaration de protection des données, doit rappeler toutes les mesures que doit prendre l’entreprise afin de garantir à ses clients un niveau de sécurité et une utilisation appropriée des données personnelles recueillies dans le cadre de la relation commerciale.

Ainsi, l’opérateur du site devra informer ses utilisateurs de la collecte, du traitement et de la protection de leurs données, et ce, dès le début du processus d’utilisation, en rendant accessibles ces informations en même temps que la collecte.

La déclaration de protection des données

La déclaration de protection des données doit être facilement compréhensible, et en pratique, sera consultable à tout moment depuis chaque page, par le biais d’un lien, en créant une sous-page séparée.

Un autre point important est de justifier que le traitement et la collecte des données personnelles de l’utilisateur sont nécessaires à l’exécution de la relation contractuelle, et que l’utilisateur a donné son consentement, en mettant en place un process initial de recueil du consentement, comme pour celui des applications mobiles (par notification).

Sur le même sujet
Devenez expert.e en protection des données avec l’Agence RGPD
Le guide de la transformation digitale des entreprises antillaises

Que risque t-on en cas de non-respect de ces obligations ?

Rappelons que le non-respect des obligations sur la protection des données personnelles est passible de sanctions administratives et/ou pénales. Et pour des raisons évidentes tenant aux moyens techniques et humains, le risque est plus élevé pour les TPE, PME ou associations, que pour les grands groupes.

Il est donc important de ne pas négliger cet aspect puisqu’au-delà de la sécurité procurée sur le plan juridique, c’est également un gage de sérieux qui renforcera la confiance de l’entreprise auprès de sa clientèle.

Société d’avocats DFM « SELARL
DERUSSY – FUSENIG – MOLLET »
58 rue Achille René Boisneuf
97110 POINTE-A-PITRE
0590 21 19 33
www.dfmavocat.fr
contact@dfmavocat.fr