Ces derniers jours / semaines, nous avons tous reçu de nombreux messages à propos de l’entrée en vigueur du RGPD le 25 mai 2018, mais pas toujours simple de s’y retrouver. Aussi, nous vous proposons une synthèse efficace et pratique de ce qu’un marchand PrestaShop doit mettre en place.
Attention, ce billet n’est pas un conseil juridique, pour une information complète rendez-vous sur le site de la CNIL ou renseignez-vous auprès d’un conseil juridique.
A – Contexte
1 – Suis-je concerné ?
Oui : toutes les sociétés traitant des données personnelles d’Européens et/ou stockées en Europe sont concernés. On entend par données personnelles, une donnée permettant d’identifier une personne, y compris une adresse IP ou un identifiant unique … donc quiconque possède un site internet !
2 – Quelle amende / quel risque ?
Bien que les amendes promises soient dissuasives, la bonne nouvelle est que le législateur a prévu une réponse très progressive :
- Etape 1 : Avertissement documenté,
- Etape 2 : Injonction de correction,
- Etape 3 : Si applicable : interdiction,
- Etape 4 : Amende pouvant aller jusqu’à 4% du CA annuel / 20 millions d’euro.
3 – Esprit du texte
A notre sens, l’esprit du texte est d’assurer le développement de l’économie digitale au travers de bases saines pour les données personnelles, plus que mettre en place un arsenal répressif.
– Sensibiliser les acteurs sur la nécessité de prendre le sujet au sérieux,
Le digital est aujourd’hui présent dans toutes les activités commerciales, mais le niveau d’attention à la sécurité est trop faible car n’impactant pas directement l’activité. Laisseriez-vous votre entrepôt rempli de marchandise non verrouillé / non surveillé ?
– Mettre la pression sur les pratiques limites
Une partie de l’économie numérique s’est construite sur l’exploitation des données personnelles, est-ce réellement souhaitable pour nous tous ? La lourde amende annoncée semble plutôt là pour faire pression sur acteurs qui surfent sur la limite (GAFAs ?).
B – Que faire quand je suis marchand PrestaShop ?
3 domaines d’action :
1 – Outil technique = ajout du Module RGPD Officiel by PrestaShop
Deux obligations contenues dans le RGPD nécessitent des fonctionnalités non présentes nativement dans PrestaShop :
- Suppression de toutes les données personnelles sur demande du concerné,
- Possibilité de voir / exporter toutes les données personnelles d’une personne.
De plus, deux obligations contenues dans le RGPD seraient très fastidieuses à faire à la main :
- Lister les utilisations de chaque données,
- S’assurer que l’internaute a donné son accord pour chaque utilisation de chaque donnée (consentement).
Gratuit pour PrestaShop 1.7, le module est payant (79,99 €HT actuellement) pour 1.6 et non dispo pour les versions antérieures. A votre portefeuille !
Note : ce module ne gère pas l’affichage du bandeau « cookies », module à acheter indépendamment.
2 – Administratif & informations à afficher sur votre site
– RGPD oblige à établir la liste de données personnelles que vous collectez, ce que vous en faites, la durée de conservation, etc… dans un registre, et conseille fortement de nommer un délégué à la protection des données personnelles. Voir le site de la CNIL pour plus d’infos, et notamment le modèle de registre à télécharger.
– RGPD oblige à informer sur les données personnelles que vous collectez, ce que vous en faites , la durée de conservation, si elles sont stockés à l’extérieur de l’Union Européenne. Le plus simple est de créer une page CMS « Données personnelles » en y reprenant les éléments du registre. Par exemple : la page ASOS dédiée à la confidentialité, à partir du paragraphe « Comment nous utilisons vos informations ».
Attention 1 : vous êtes responsable des données collectées par vos sous-traitants. Exemple : outil d’analytics, outil de marketing, solution de livraison, solution de paiement… Toutes les données collectées par vos sous-traitants et l’utilisation qu’ils en font doivent figurer dans cette page !
Attention 2 : si des données personnelles collectées avant RGPD n’ont pas reçu de consentement explicite pour une utilisation donnée, vous devez informer ces personnes. Exemple : vous avez collecté des données personnelles sans préciser à l’époque que vous pourriez faire du croisement de données à des fins marketing, vous devez prévenir les personnes concernées … ou les exclure de votre traitement.
3 – Processus internes
– L’entreprise doit s’assurer que les données personnelles qu’elle détient sont protégées correctement (ie : conforme aux bonnes pratiques du secteur).
- Qui a accès à l’interface d’administration de votre boutique ? Un rédacteur de fiche produit doit-il avoir accès aux emails de vos clients ? Un salarié qui a quitté votre entreprise a-t-il toujours accès ?
- Qui a accès aux outils techniques (FTP / MySQL / admin hébergement) ? Un mot de passe FTP a-t-il été envoyé par email à différents sous traitants ?
– L’entreprise est responsable de maintenir les logiciels à jour. Même si PrestaShop n’a pas fait l’objet de faille de sécurité significative jusqu’à aujourd’hui, vous serez maintenant responsable si vous utilisez une version non supportée d’un logiciel. Terminé PrestaShop 1.5 & prédécesseurs !
– Pour tous les intervenants, l’entreprise est responsable de changer les mots de passe régulièrement, ainsi que de l’utilisation de mots de passe sérieux.
– Enfin, si vous savez que vous avez été victime d’un piratage de données personnelles et que « cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées », vous avez l’obligation de le déclarer auprès de la CNIL.
Même si la mise en place du RGPD est fastidieuse et chronophage, nous pensons qu’elle est nécessaire pour assurer la continuité du développement économique du secteur du numérique, et plus particulièrement la vente en ligne.
Pour commencer la partie administrative et processus interne, nous vous recommandons : CNIL > RGPD : par où commencer.
Bon courage !
Bibliographie / sources
Journal du net : interview « RGPD » de Jean Lessi, secrétaire général de la Cnil
Legalplace > Sanctions RGPD
Wpbeginner.com > The Ultimate Guide to WordPress and GDPR Compliance – Everything You Need to Know