E-commerce : informations RGPD et légales obligatoires

RGPD, cet acronyme est désormais au cœur de nombreuses préoccupations des entreprises qui s’interrogent quant à leur mise en conformité. Les exigences réglementaires du RGPD sont certes élevées, mais elles sont loin d’être insurmontables avec une bonne documentation, des conseils adaptés, mais également les bons partenaires auxquels s’entourer pour affronter la transformation numérique. Manae Business fait le point. 

Qu’est-ce que le RGPD ? 

Le RGPD est la contraction du Règlement Général sur la Protection des Données. Ce règlement européen, entré en vigueur en 2018, encadre le traitement des données personnelles sur l’ensemble du territoire de l’Union Européenne, offrant ainsi des garanties de sécurité aux consommateurs et utilisateurs. 

Responsabilité, transparence et confiance sont les maîtres mots de cette norme. En effet, le règlement a pour objectif de renforcer les droits notamment d’information des personnes visées et de responsabiliser les entreprises traitant de ces données. 

Ce règlement s’inscrit dans la continuité de la loi française bien connue Informatique et Liberté en date du 6 janvier 1978. A ce titre, son respect est assuré par la CNIL, la Commission Nationale de l’Informatique et des Libertés. Cet organisme public est chargé de veiller à la protection des données personnelles. Son rôle de contrôle se double d’un rôle d’alerte, de conseil et d’information, notamment au service des entreprises. 

Qu’est-ce qu’une donnée personnelle ? Quel est le champ d’application du RGPD ? 

Le champ d’application du RGPD est particulièrement étendu. En effet, le règlement défini comme une donnée personnelle nécessitant une protection particulière “toute information se rapportant à une personne physique identifiée ou identifiable” : nom, numéro de téléphone, e-mail, âge, goûts, numéro client, caractéristiques physiques, identifiant, etc. 

Le RGPD s’applique à tous les organismes traitant de données personnelles dont toutes les entreprises qu’elles soient établies au sein de l’Union Européenne ou qu’elle vise avec son activité des résidents de l’Union.

Quelles sont les exigences imposées par le RGPD d’un e-commerce ? 

Les mentions légales d’un e-commerce doivent préciser les droits afférents au RGPD, à savoir : 

  • Le droit d’accès à ses données personnelles ;
  • Le droit à la rectification de ses données personnelles ;
  • Le droit à la limitation du traitement de ses données personnelles ;
  • Le droit à l’opposition du traitement de ses données personnelles ;
  • Le droit à la portabilité de ses données personnelles ;
  • Le droit pour l’utilisateur d’adresser une plainte auprès de la CNIL. 

Certaines mentions légales doivent être adaptées au traitement des données personnelles spécifiques à l’entreprise en cause :

  • L’identité et les coordonnées de l’entreprise de e-commerce ;
  • Les finalités du traitement, à savoir les raisons avancées à la collecte des données personnelles (inscription à une newsletter, développement et amélioration des services, etc);
  • Les personnes auxquelles les données personnelles feront l’objet d’une communication ;
  • La durée de conservation des données personnelles ;
  • La base légale du traitement de données ;
  • L’identité du délégué à la protection des données, le cas-échéant.

Afin d’aider les entreprises, la CNIL met à disposition des entreprises des modèles de mentions légales conformes aux exigences du RGPD. 

Attention, lorsque les données personnelles sont récoltées à partir d’un formulaire, les mentions légales du RGPD doivent faire l’objet d’un rappel. Il est, en outre, conseillé de centraliser les mentions légales spécifiques au RGPD au sein d’une charte portant sur le respect de la vie privée ou de créer une politique de confidentialité. 

Quelles sanctions encourt un e-commerce en cas de non-conformité de ses mentions légales au RGPD ? 

Dans un premier temps, la non-conformité porte atteinte à l’image de l’entreprise dont la fiabilité est un gage de confiance pour ses partenaires. Par ailleurs, l’entreprise s’expose à de lourdes amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. 

Attention, le dirigeant peut voir sa responsabilité pénale personnelle engagée en cas de défaut de conformité au titre de garant de l’application du RGPD au sein de son entreprise.