Retour
E-commerce

Préparation au RGPD : Un Résumé des Informations Essentielles pour les Propriétaires de Boutiques en Ligne

Qu’est-ce que le RGPD (GDPR) ?

Le nouveau Règlement Général sur la Protection des Données remplacera le package législatif et les directives de l’UE en vigueur depuis 1995. Les directives qui sont supérieures à la loi nationale de chaque pays et obligatoires pour chaque responsable du traitement des données des citoyens de l’UE sont entrées en vigueur le 25 mai 2018.

Le Règlement Général sur la Protection des Données (RGPD) est pertinent pour toutes les entreprises qui possèdent des bases de données clients et pratiquent le marketing direct, ainsi que pour les entités qui traitent ou gèrent les données des citoyens de l’UE. Avant l’entrée en vigueur du règlement, les entreprises doivent se préparer adéquatement, c’est pourquoi nous avons sélectionné les points pertinents du règlement pour les propriétaires de boutiques en ligne.

Il convient de souligner que la majorité des lois ou obligations, telles que la nécessité d’être enregistré dans le registre des responsables du traitement des données, cessent d’être valides à partir du même jour, de sorte que les petites et moyennes entreprises en Lituanie se préparent de manière inadéquate à la mise en œuvre de ces lois en raison de rumeurs circulantes et d’autres informations inexactes. Le but de cette entrée et description est de familiariser les propriétaires de commerce électronique avec les pratiques correctes et nécessaires et de fournir des informations concises et spécifiques.

Pourquoi est-il nécessaire de se préparer au RGPD ?

Les violations sont catégorisées en violations mineures et majeures. Pour les violations mineures, des amendes administratives pouvant aller jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel, selon le montant le plus élevé, sont imposées. Pour les violations majeures, des amendes doublées sont imposées : jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel (encore une fois, cela se réfère au montant le plus élevé).

Violations mineures :

Violation de la procédure d’exercice des droits des personnes concernées

Refus de coopérer avec l’autorité de contrôle

Engagement incorrect de sous-traitants de données ou formalisation incorrecte des relations avec eux

Traitement des données effectué par le sous-traitant sans les instructions du responsable du traitement des données

Manquement à l’obligation d’informer sur les violations de la sécurité des données

Violations majeures :

Violations du principe de limitation de la finalité et toutes les autres violations des principes fondamentaux (exactitude, durée de conservation, etc.)

Traitement de catégories spéciales sans exception le permettant

Mise en œuvre des droits des personnes concernées

Transfert illégal de données à un destinataire de données dans un pays tiers

Jusqu’à présent, il existe des rumeurs théoriques selon lesquelles les entreprises seront d’abord consultées lors de l’identification des violations ; cependant, il convient de noter que le règlement lui-même ne prévoit aucune mise en garde et stipule immédiatement l’application de sanctions et de pénalités administratives.

Êtes-vous intéressé par l’intégration de PrestaShop ? Vous trouverez plus d’informations en cliquant sur ce lien.

Concepts clés

Données personnelles – toute information relative à une personne physique identifiée ou identifiable, c’est-à-dire des informations sur une personne dont l’identité est claire ou peut être établie au moins en obtenant des données supplémentaires.

Dans ce cas, il convient de noter que la protection des données s’applique aux personnes physiques, tandis que toutes les nouvelles règles et lois du RGPD ne s’appliquent pas aux personnes morales. Cependant, l’adresse e-mail d’un employé d’une personne morale, qui inclut son prénom et son nom de famille, est déjà protégée par ladite loi sur le RGPD. Par exemple, richard.smaizys@prestarock.com est considéré comme une information protégée, tandis que info@prestarock.com ne l’est pas.

Les propriétaires de commerce électronique devraient également se préoccuper de détails tels que la pointure de chaussures ou la taille de vêtements, qui, lorsqu’ils sont liés à un individu spécifique et à son identité, sont déjà considérés comme des informations privées protégées et réglementées. Il en va de même pour les adresses IP, les prénoms, les noms de famille, les informations d’adresse et autres éléments évidents.

Un autre exemple fondamentalement intéressant : stocker un numéro de téléphone avec un prénom et un nom de famille dans un téléphone lors de la préparation, par exemple, d’une offre. En principe, cela constitue également des données réglementées dans les exemples décrits ultérieurement. Essentiellement, sans continuer à travailler avec le client (ayant soumis une proposition mais ne l’ayant pas remportée), vous devriez supprimer ces données. En d’autres termes, cet exemple visait à montrer que théoriquement, les données réglementées incluent même celles que vous saisissez dans le répertoire téléphonique de votre téléphone portable (le prénom, le nom de famille et le numéro de téléphone de l’employé du client).

Le traitement des données personnelles signifie ‘toute opération ou ensemble d’opérations effectuées sur des données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l’enregistrement, l’organisation, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition, l’alignement, la combinaison, le blocage, l’effacement ou la destruction.’ Il convient également de mentionner que le terme ‘traitement’ englobe les actions par lesquelles les données personnelles d’un responsable du traitement sont transférées à la responsabilité d’un autre responsable du traitement.

Le responsable du traitement des données est essentiellement celui qui obtient d’abord l’autorisation de collecter et de traiter ces données et les stocke.

Le sous-traitant des données est celui qui a l’autorisation du responsable du traitement des données, et l’individu est informé que ce sous-traitant spécifique peut traiter les données, ce qu’il fait selon le concept précédemment décrit.

Dans un cas spécifique de commerce électronique, le responsable du traitement des données serait le propriétaire de la boutique en ligne, tandis que le sous-traitant serait l’entreprise fournissant le service, qui collecte les adresses des individus et les stocke, traite et utilise ensuite pour fournir le service. À notre compréhension, un sous-traitant des données inclut également l’entreprise d’hébergement fournissant l’hébergement de serveur physique, les programmeurs qui ont la capacité d’accéder, de gérer, de filtrer, de traiter, de collecter et de manipuler autrement des données personnelles, etc.

Le délégué à la protection des données (un concept pertinent uniquement pour les grandes entreprises avec de nombreux employés et collectant de grandes quantités de données) est un intermédiaire entre les autorités de contrôle et les départements des ressources humaines de l’entreprise, les divisions, les individus dont les données sont collectées (utilisateurs, clients, partenaires, visiteurs de sites Web, et informations capturées par des caméras de surveillance, etc.).

Dans les entreprises dont l’activité principale est le traitement des données, où des opérations continues avec les données sont effectuées (par exemple, un cabinet comptable) en raison de leur ampleur ou de leur impact, ainsi que dans les entreprises de catégorie spéciale (santé, etc.), un délégué à la protection des données doit être nommé par les autorités.

Ce responsable dans l’entreprise doit être impliqué dans tous les processus de traitement des données, indépendamment des autres postes et employés, doit disposer des ressources nécessaires, doit être constamment accessible (surtout en cas de violation, pour réagir théoriquement immédiatement ou dans les 24 heures), et il est pratiquement le coordinateur de la conformité à la réglementation des données.

Violation de la sécurité des données – une violation de la sécurité qui entraîne la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux données de manière accidentelle ou illégale. Nous recommandons aux entreprises d’avoir une procédure prédéfinie en cas de violation de la sécurité des données, ce qui vous permettra d’évaluer l’ampleur et l’étendue du risque émergent, car cela déterminera si vous devez informer en outre les autorités de contrôle et la personne concernée dans les 72 heures suivant la survenue de la violation. En tout état de cause, chaque entreprise doit tenir un registre des violations de la sécurité des données, quelle que soit la taille de la vulnérabilité.

L’évaluation de l’impact sur la protection des données personnelles (une nouvelle évaluation requise uniquement pour les nouveaux systèmes ou processus, non applicable aux processus approuvés existants de l’entreprise) – est un processus conçu pour décrire, évaluer la nécessité et la proportionnalité, et aider à gérer les risques qui peuvent découler des droits et libertés des individus lors du traitement des données personnelles. Une évaluation correctement menée peut aider à prouver plus facilement votre cas en cas d’incident ou de conformité aux exigences du RGPD. Une évaluation doit être effectuée lorsqu’il s’agit de catégories spécialisées (secteur de la santé, etc.), de surveillance et de collecte à grande échelle de données, d’opérations spécifiées au niveau national nécessitant une évaluation, etc.

Les principes de protection des données discutés dans le RGPD

Le principe de légalité, de loyauté et de transparence – le client est informé des données collectées sur une base d’opt-in, plutôt que d’opt-out

Le principe de limitation de la finalité – chaque ensemble de données ou traitement de données personnelles nécessite un objectif clairement défini. Les mêmes données collectées ne peuvent pas être utilisées à d’autres fins si l’individu dont les données sont traitées n’a pas donné son consentement pour cette fin.

Le principe de minimisation des données – les données inutiles et non utilisées devraient théoriquement être supprimées immédiatement et non conservées. Un exemple intéressant décrit précédemment : stocker un numéro de téléphone avec un prénom et un nom de famille dans un téléphone lors de la préparation, par exemple, d’une offre. En principe, il s’agit également de données réglementées et décrites dans les exemples. Essentiellement, sans continuer à travailler avec le client (ayant soumis une proposition mais ne l’ayant pas remportée), vous devriez supprimer ces données.

Le principe d’exactitude – les données ne sont utilisées que pour les finalités pour lesquelles il a été permis de les utiliser.

Le principe de limitation de la conservation – le responsable du traitement des données définit clairement et informe l’individu de la durée pendant laquelle il conservera les données dans ses systèmes, et ensuite – comment et quand il les supprimera.

Le principe d’intégrité et de confidentialité

Bases légales du traitement des données (quand les données peuvent être traitées)

L’exécution du contrat – il est recommandé de s’appuyer sur cela lorsqu’il est nécessaire de traiter des données pour remplir des obligations contractuelles.

Le consentement – il est recommandé de s’appuyer sur cela lorsque la personne concernée a donné son consentement pour que ses données personnelles soient traitées pour un ou plusieurs objectifs spécifiques. Le consentement doit être démontrable (opt-in, pas opt-out), révocable par l’utilisateur lui-même, et cela ne doit pas être plus compliqué que ce qui est convenu, et le consentement doit être volontaire et distinct de l’objectif.

Les intérêts légitimes – il est recommandé de s’appuyer sur cela lorsque le traitement des données est nécessaire pour les intérêts légitimes du responsable du traitement des données ou d’un tiers, sauf lorsque ces intérêts, droits et libertés de la personne concernée, qui nécessitent la protection des données personnelles, sont supérieurs, par exemple, dans le cas des mineurs, etc.

Les motifs de traitement des catégories spéciales de données sont également spécifiquement identifiés : consentement, obligation légale, intérêts de défense, traitement de données publiquement disponibles, dossiers médicaux, etc.

Que devez-vous savoir si vous transférez des données en dehors de l’EEE ?

Si vous transférez des données en dehors de l’EEE, au moins l’un des motifs spéciaux est requis :

Décision d’adéquation de la CE

Règles obligatoires pour les entreprises

Clauses standard de protection des données