Attention cet article a été écrit avant 2020, certaines des technologies citées pourraient avoir évolué entre temps.

Comment le RGPD va-t-il impacter le secteur du e-commerce ?

Le RGPD désigne communément le Règlement général sur la protection des données au sein de l’Union Européenne. Adopté par le parlement européen en Avril 2016, il entrera définitivement en vigueur le 25 Mai 2018. Toutefois, ce dispositif législatif suscite de nombreuses interrogations. Quel impact aura t-il à terme sur l’évolution du e-commerce, et plus spécifiquement sur les utilisateurs de solutions SaaS telles que Shopify ?

Cet article s'inscrit dans le cadre d’un guide de mise en application du RGPD destiné aux web-marchands Shopify. Ce guide se décompose en trois parties, chacune disponible depuis notre blog :

  1. Comment le RGPD va t-il impacter le secteur du e-commerce ?
  2. RGPD sur Shopify : s'assurer de la conformité de votre boutique avec la loi
  3. Nos conseils RGPD pour développeurs et web-marchands Shopify

Qu’est-ce que le RGPD ?

Le RGPD va contraindre toutes les entreprises issues de pays de l’Union Européenne, et celles actives au sein de cet espace, de se conformer aux nouvelles règles relatives à la collecte, le stockage et l’utilisation de des données des consommateurs.

Le RGPD traite sur un pied d’égalité toutes les formes de données personnelles des consommateurs : photos, publications sur les réseaux sociaux, adresses IP, coordonnées bancaires et tout numéro d’identifiant important tel que le numéro national d’identité ou de sécurité sociale. Toutes les données utilisateurs indépendamment de leur origine doivent être sélectionnées, stockées et exploitées de façon sécurisée, à la seule et unique condition d’obtenir l’accord du consommateur.

Toutefois, toutes les règles édictées par le dispositif ne sont pas figées. Elles doivent être appliquer par souci de garantir un niveau “raisonnable” de sécurité, ce qui tend à laisser un vide juridique dans de nombreuses situations : par exemple, il est difficile de déterminer si les données issues de réseaux sociaux doivent être traitées de la même manière que celles de relevés de comptes bancaires. Une chose est sûre, les utilisateurs doivent donner leur accord tacite préalablement à tout éventuel stockage et utilisation de leurs données sous n’importe quelle forme. Les interminables pages de conditions générales d’utilisation à signer ou cocher, et permettant de masquer toute mention de l’usage de données privées, seront bientôt de l’histoire ancienne.

RGPD - Règles de protection personnelle pour le digital

Le RGPD distingue trois types de profils impliqués dans le processus de gestion de données :

  1. Le sujet de droit : le consommateur, l’utilisateur, l’employé, - soit toute personne fournissant ses données personnelles identifiables.
  2. Le contrôleur des données : l’entreprise proposant des biens ou des services et qui précisera comment et à quelle fin ces données personnelles seront utilisées, et qui sera responsable de leur stockage et de leur utilisation.
  3. Le processeur des données : ce sont ce qu’on pourrait appeler des tiers au contrat ou des fournisseurs tels que Shopify, les systèmes ERP, MailChimp, UPS ainsi que toutes les équipes techniques chargées d’assurer ce type de travail, dans le cadre de la gestion interne de vos comptes.

Comment le RGPD va impacter le e-commerce ?

Le RGPD s’applique à l’ensemble des bases de données de marketing, ventes, ressources humaines ou comptabilité. Quelle que soit la manière dont les données personnelles sont actuellement enregistrées et exploitées, celles-ci seront sujettes à une nouvelle législation.

Voici plusieurs conclusions importantes que l’on peut tirer à la lecture des règles du RGPD :

Le consentement tacite aux activités de marketing

Comme indiqué précédemment, les sujets de droit (clients, employés, utilisateurs) devront au préalable choisir de participer activement aux activités marketing. Ainsi, fini les formules de consentement pré-remplis et cases à cocher ! Ce qui était alors jusqu’ici sujet à des pratiques exemplaires de la part de nombreux marketers, “l'utilisation des données par les tiers” à cocher dans une case aura un impact déterminant. Les agences et départements marketing des entreprises devront désormais lister et indiquer l’ensemble des tiers pouvant potentiellement avoir accès aux données personnelles. Tout ceci va profondément bouleverser l’industrie marketing, notamment en matière de personnalisation, ciblage et toute autre activité impliquant le traitement de grandes quantités de données.

Le droit à l’oubli

La réglementation insiste sur la nécessité de rendre plus facile la création et la suppression de contenus liés aux activités de marketing des clients, mais aussi la suppression complète et définitive de l’ensemble de leurs comptes et toute trace de leur existence sur le système. Tandis que de nombreuses entreprises proposent déjà cette option, cette procédure pourra désormais être étendu et devra être facilement maniable, documenté et accessible aux internautes souhaitant supprimer leur compte.

Un plan d’intervention en cas d’atteinte à la vie privée

A partir de Mai 2018, contrôleurs et processeurs des données clients devront se conformer aux règles du RGPD. Pour les entreprises de grande taille, un inspecteur chargé de la protection des données devra être nommé. Sa première tâche sera de transmettre à la CNIL un rapport faisant état des violations de données et fautes managériales commises. Les acteurs du secteur du digital devront donc suivre une procédure rigoureuse lorsqu’une violation ou une fuite de données aura été détecté, en le signalant à la CNIL et aux propriétaires de ces données dans un délai de 72 heures.

Une hausse des pénalités pour non-respect des règles, violations et défaillances internes

Avec des pénalités financières pouvant monter jusqu’à 20 millions d’euros, et 4% du chiffre d’affaires annuel global, les entreprises, et plus particulièrement les PME et TPE, n’auront désormais plus le droit à l’erreur. Les données doivent être traitées de façon sécurisée. Les entreprises ont l’obligation d’être responsables de la manière et de l’endroit où elles stockent des données. Et ces endroits pourraient être nombreux à la fois chez les e-commerçants et chez les prestataires tiers au contrat. Le cryptage des contenus est fortement recommandé et des règles strictes doivent être mises en oeuvre quant à leur accès.

Au moment où nous écrivons ces lignes, il ne reste que deux mois avant l’entrée en vigueur définitive du RGPD, et plusieurs géants du web, tels que Facebook, Twitter ou Instagram, commencent - tardivement - à publier leur déclaration de conformité avec la future réglementation européenne. En coulisses, ces sociétés se démènent depuis plusieurs mois pour retraiter les données utilisateurs en leur possession selon les nouvelles règles, afin de se mettre à temps, en conformité avec avec la loi européenne.

Le transition juridique sera sans doute moins complexe pour les entreprises de e-commerce opérant sur le cloud. Les grandes firmes disposeront de ressources suffisantes pour pouvoir respecter les nouvelles réglementations. Des sociétés comme Shopify et Dotmailer ont planifié un an à l’avance leurs méthodes de réorganisation et de réaménagement de données dans leur système. Les sociétés dont les activités reposent sur des serveurs hébergés en interne ou des logiciels personnalisés (sur-mesure) devront faire appel à des équipes techniques. Ces dernières seront chargées de réaliser des audits et tests de sécurité afin de déceler des failles, et ainsi d’installer de nouveaux systèmes de protection des données, de leur intégration à leur suppression.

Le RGPD et Shopify

Shopify n’a toujours pas, à l’heure actuelle, publier l’intégralité de sa déclaration de conformité avec le RGPD. En attendant, les utilisateurs de Shopify peuvent déjà consulter les quelques pages de la plateforme dédiées au RGPD, et plus spécifiquement leur plan sur la façon dont ils se conformeront à la réglementation.