Le 14 Avril 2016, le Parlement Européen adoptait le Règlement Général sur la Protection des Données au sein de l’Union Européenne, aussi connu sous l’abréviation RGPD. Ce texte de loi, fera figure, à partir de son entrée en vigueur définitive le 25 Mai prochain, de texte de référence du droit européen en matière de protection de données à caractères personnelles sur le web.
Au vu de l’enjeu majeur que constitue aujourd’hui la collecte de données, le RGPD impactera l’ensemble des secteurs économiques liés au numérique, et le Ecommerce n’échappera pas à la règle.
Ainsi, plusieurs interrogations subsistent quant aux conséquences de son instauration :
- Quel impact le RGPD aura-t-il à terme sur l’évolution du Ecommerce ?
- Comment les e-commerçants peuvent ils s’y préparer ?
Le RGPD : mais c’est quoi concrètement ?
Le RGPD est un texte de loi visant à contraindre l’ensemble des sociétés issues de pays de l’Union Européenne, ou extra-européennes actives au sein de ce territoire, à se conformer à de nouvelles règles relatives à la collecte, le stockage et l’exploitation des données des consommateurs.
Publications sur les réseaux sociaux, photos, adresses IP, coordonnées bancaires, numéro de sécurité sociale… Toutes ces données sont mises au même niveau et devront désormais être traitées de manière similaire. Elles doivent être sélectionnées indépendamment de leur origine, stockées et exploitées de façon sécurisée, à la seule et unique condition d’obtenir l’accord du consommateur.
Un impact direct sur le Ecommerce
Le RGPD s’applique à l’ensemble des bases de données de marketing, ventes, ressources humaines ou comptabilité. Quelle que soit la manière dont les données personnelles sont actuellement enregistrées et exploitées, celles-ci seront sujettes à une nouvelle législation. Les utilisateurs devront donner leur accord tacite préalablement à tout éventuel stockage et utilisation de leurs données sous n’importe quelle forme.
Parmi les principales innovation juridiques introduites par le RGPD, figurent les suivantes : le consentement éclairé, le droit à l’oubli, l’introduction d’un DPO (Data Protection Officer), et les pénalités financières calculées en fonction du chiffre d’affaires des sociétés.
Le consentement éclairé des consommateurs, comme nouveau pré-requis aux responsables marketing
Comme indiqué précédemment, les sujets de droit (clients, employés, utilisateurs) devront au préalable choisir de participer activement aux activités marketing. Les agences et départements marketing des entreprises devront désormais lister et indiquer l’ensemble des tiers pouvant potentiellement avoir accès aux données personnelles. Tout ceci va profondément bouleverser le secteur du marketing, notamment en matière de personnalisation de produits, de ciblage clientèle et de toute autre activité impliquant le traitement de données à grande échelle.
L’affirmation du droit à l’oubli et à l’effacement
L’article 17 du RGPD, insiste sur la nécessité de rendre plus facile la création et la suppression de contenus liés aux activités de marketing des clients, mais aussi la suppression complète et définitive de l’ensemble de leurs comptes et toute trace de leur existence sur le système. Tandis que de nombreuses entreprises proposent déjà cette option, cette procédure pourra désormais être étendue et devra être facilement maniable, documentée et accessible aux internautes souhaitant supprimer leur compte.
Un contrôle accru des pratiques managériales grâce au DPO
Le RGPD prévoit, pour les entreprises de grande taille, la nomination par leur direction d’un DPO (data protection officer), ayant le rôle d’inspecteur chargé de la protection des données. Ce dernier devra transmettre à la CNIL (Commission Nationale Informatique et Libertés) un rapport faisant état des violations de données et fautes managériales commises par ces entreprises.
Les grands acteurs du numérique devront donc suivre une procédure rigoureuse lorsqu’une violation ou une fuite de données aura été détecté, en le signalant à la CNIL et aux propriétaires de ces données dans un délai de 72 heures. La nomination du DPO ne concerne donc pas les petites et moyennes entreprises de Ecommerce, dans la mesure où la quantité journalière de données traitées par celles-ci reste moindre.
Les sanctions prévues en cas de manquements au règlement
Si les TPE et PME échappent à l’obligation de nomination de DPO, elles ne pourront pas s’affranchir des sanctions imposées en cas de manquements au règlement. Les pénalités financières pouvant monter jusqu’à 20 millions d’euros, et 4% du chiffre d’affaires annuel global, les PME et TPE (constituant la majeure partie des web-marchands en France), n’auront désormais plus le droit à l’erreur. La moindre sanction pourrait en effet les contraindre à mettre la clé sous la porte. Les données doivent être traitées de façon sécurisée. Plusieurs dispositions dont l’article 83, renforcent la responsabilité (et donc la responsabilisation) des sociétés dans leur manière de stocker et de choisir le lieu de stockage des données. Et ces endroits pourraient être nombreux à la fois chez les e-commerçants et chez les prestataires tiers tels que Shopify. Le cryptage des contenus est fortement recommandé et des règles strictes doivent être mises en oeuvre quant à leur accès.
Un transition juridique difficile à mettre en oeuvre
A l’heure à laquelle nous rédigeons cet article, il ne reste que 70 jours avant l’entrée en vigueur définitive du RGPD, et plusieurs géants du web, tels que Facebook, Twitter ou Instagram, commencent – tardivement – à publier leur déclaration de conformité avec la future réglementation européenne. En coulisses, ces sociétés se démènent depuis plusieurs mois pour retraiter les données utilisateurs en leur possession selon les nouvelles règles, afin de se mettre à temps en conformité avec la loi européenne, avant la date butoir du 25 Mai.
La transition juridique sera sans doute moins compliquée pour les entreprises de Ecommerce opérant sur le cloud ou en mode SaaS à l’instar d’Oxatis. Les grandes sociétés disposeront de ressources suffisantes afin de pouvoir respecter les nouvelles réglementations. Des sociétés telles que Shopify et Dotmailer ont planifié un an à l’avance leurs méthodes de réorganisation et de réaménagement de données au sein de leur système informatique. Les sociétés dont les activités reposent sur des serveurs hébergés en interne ou des logiciels personnalisés (sur-mesure) devront faire appel à des équipes techniques. Ces dernières seront chargées de réaliser des audits et tests de sécurité afin de déceler des failles, et ainsi d’installer de nouveaux systèmes de protection des données, de leur intégration à leur suppression.
Auteur : Studio 131
Ne nous y trompons pas les grands gagnants du RGPD ne seront pas forcément les consommateurs mais les cabinets d’avocats qui factureront des honoraires amplement justifiés afin que leurs clients soient en conformité avec la nouvelle réglementation.