Attention cet article a été écrit avant 2020, certaines des technologies citées pourraient avoir évolué entre temps.

RGPD sur Shopify : s'assurer de la conformité de votre boutique avec la loi

Le 25 mai 2018 est désormais une date fatidique pour l'ensemble de l'économie numérique. C'est en effet la date qui correspond à l'entrée en vigueur du règlement général sur la protection des données (RGPD) est définitivement en vigueur. Le RGPD est la nouvelle loi de l'Union européenne sur la confidentialité des données qui a une incidence sur la manière dont toutes les entreprises (grandes et petites) collectent et traitent les données personnelles concernant leurs clients européens. 

RGPD

Shopify a annoncé très tôt la série de mesures prises afin de s'assurer de bien respecter les nouvelles règles de protection des données utilisateurs.

Cet article s'inscrit dans le cadre d’un guide de mise en application du RGPD destiné aux web-marchands Shopify. Ce guide se décompose en trois parties, chacune disponible depuis notre blog :

  1. Comment le RGPD va t-il impacter le secteur du e-commerce ?
  2. RGPD sur Shopify : s'assurer de la conformité de votre boutique avec la loi
  3. Nos conseils RGPD pour développeurs et web-marchands Shopify

1. Les modifications à apporter au niveau de la politique de confidentialité et aux cookies publiés dans sa boutique en ligne

La politique de confidentialité doit absolument être modifiée. Le RGPD définit de nouvelles obligations d'information pour votre boutique en ligne, parmi lesquelles se trouvent :

    1. La période de conservation des données personnelles ou, le cas échéant, les critères utilisés pour déterminer cette période
    2. Les utilisateurs bénéficient du droit à la portabilité des données (c'est-à-dire le droit de récupérer et transmettre leurs données personnelles)
    3. Les utilisateurs ont le droit de déposer plainte auprès d'une autorité de surveillance
    4. Les utilisateurs doivent pouvoir retirer leur consentemet à tout moment sans compromettre la légalité du traitement qui serait fondé sur le consentement avant ledit retrait
    5. La logique utilisée pour profiler les utilisateurs, ainsi que l'importance et les conséquences de ce traitement.

Le « profilage » signifie « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » (voir l'article 4, paragraphe I, numéro 4 du RGPD).

Dans le domaine de l'e-commerce, si vous envoyez des messages publicitaires personnalisés à vos clients sur votre site (par exemple, si vous envoyez des publicités pour promouvoir vos t-shirts colorés aux clients qui vous ont déjà acheté ce type d'article), alors vous « profilez » vos clients étant donné que vous les regroupez sur la base de certaines caractéristiques communes telles que : l'achat de t-shirts, les paniers abandonnés avec une promotions spécifique, le genre, entre autres.

Dans ce cas, vous devez indiquer dans la politique de confidentialité la logique qui sous-tend cette forme particulière de traitement des données personnelles. Par exemple, vous devez informer vos utilisateurs que la logique de profilage dépend des achats effectués précédemment dans votre boutique.

2. En tant que propriétaire d'un site d'e-commerce, ai-je l'obligation de désigner l'agence web qui gère mon site comme processeur de données ?

Le « processeur de données » est une personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite les données à caractère personnel au nom du contôleur de données.

En ce qui concerne l'e-commerce, la personne physique ou morale qui traite les données personnelles au nom du contrôleur de données (le propriétaire de la boutique en ligne) est avant tout l'agence qui administre le site, le cas échéant.

En effet, l'agence web qui a créé le site d'e-commerce offre également au propriétaire du site le service de gestion de la plateforme et, par conséquent, traite les données personnelles des utilisateurs du site (par exemple : informations générales, adresse e-mail, adresse de livraison).

Dans ce cas, le propriétaire du site doit désigner, avec un contrat spécifique, l'agence web comme « processeur » conformément à l'article 28 du RGPD.

La nomination en tant que processeur doit être rédigée conformément aux dispositions de l'article 28 du RGPD qui établit notamment qu'avec la nomination, le responsable (dans ce cas, de l'agence web) s'engage à :

  1. Traiter les données personnelles des utilisateurs du site conformément aux instructions documentées du contrôleur de données (le propriétaire du site)
  2. Adopter les mesures de sécurité spécifiques prévues par l'article 32 du RGPD
  3. Supprimer ou renvoyer toutes les données personnelles des utilisateurs (au choix du propriétaire du site) à la fin du contrat de gestion du site web et s'engager à supprimer les copies existantes, sauf si la législation de l'Union ou des États membres prévoient la conservation des données
  4. Garantir que les personnes autorisées à traiter les données personnelles soient liées par une obligation de confidentialité.

En outre, la nomination en tant que processeur de données doit indiquer spécifiquement quelles données personnelles seront traitées par la personne ou l'entreprise responsable, ainsi que la durée et l'objet du traitement.

3. Les sanctions encourues en cas de non-respect du RGPD

Le non-respect des règles établies par le RGPD peut s'avérer très coûteux en termes d'amendes : jusqu'à 10 000 000 € ou, pour les entreprises, jusqu'à 4 % du chiffres d'affaires annuel total de l'année précédente, si celui-ci est plus élevé.

Il est évident que la sanction sera proportionnelle à certains facteurs, notamment la gravité et la durée de la violation. Et ce n'est pas tout. Le garant de la protection des données personnelles est titulaire de pouvoirs de corrections particulièrement invasifs qui prévoient, entre autres, la possibilité de restreindre ou d'interdire le traitement illégal.

Selon cette hypothèse, les conséquences économiques peuvent s'avérer encore plus graves que celles qui découlent d'une sanction administrative. L'impossibilité d'effectuer un traitement pourrait impliquer, par exemple, la suspension d'une prestation de service aux clients, avec les conséquences juridiques qui découlent de celle-ci.

En outre, les sanctions du garant sont rendues publiques et elles sont visibles sur le site web de celui-ci. Vous devez donc également prendre en compte les conséquences sur votre réputation dans le cas où des tiers auraient connaissance de vos sanctions.

avocate

4. Doit-on se conformer au RGPD même si notre site n'est pas européen et qu'il s'adresse à une clientèle principalement extra-européenne ?

L'article 3 du RGPD établit que le règlement s'applique aussi aux entreprises qui ne sont pas basées au sein de l'Union européenn, mais qui traitent des données à caractère personnel liées à l'offre de biens ou de services destinés à des utilisateurs résidant dans l'Union européenne.

Le RGPD nous aide à comprendre ce qu'on entend par « offre de biens et services », en précisant par exemple que l'utilisation d'une langue ou d'une devise utilisée dans un ou plusieurs États membres, avec la possibilité de commander des biens et services dans cette autre langue, peut mettre en évidence l'intention qu'a une entreprise d'offrir des biens ou services à des consommateurs résidant au sein de l'Union européenne.

Par conséquent, même si le site est administré par une entreprise hors Union européenne et possède une extension « .us », si les utilisateurs européens peuvent utiiser leur langue et leur devise pour commander des biens et des services, l'entreprise devra se conformer au RGPD. Ceci a pour objectif principal d'éviter que les utilisateurs européens ne se trouvent privés de la législation qui protège leur vie privée.

En résumé : oui, vous devez vous conformer aux nouvelles règles du RGPD même si votre site n'est pas basé dans l'Union européenne et qu'il s'adresse à une clientèle qui ne réside pas forcément dans l'Union européenne.

5. Pourquoi devrais-je consacrer autant de temps et d'argent pour que mon site soit conforme au RGPD si le risque de sanctions est quasi inexistant ?

La première réponse à cette question est la suivante : la conformité au RGPD est une obligation légale qui, en tant que telle, doit être respectée.

Dans tous les cas, nous vous conseillons d'essayer de respecter les obligations du RGPD pour plusieurs raisons :

  1. Le garant de la vie privée effectue (toujours) des enquêtes par sondage efficaces qui, tous les six mois, sont traduites en rapports et requêtes. À la suite de ces enquêtes, le garant peut décider d'engager des procédures de sanctions indépendantes contre les sites qui ne respectent pas la législation sur la protection de la vie privée
  2. E-commerce signifie visibilité : il suffit qu'un utilisateur se plaigne de la violation de ses droits à la vie privée pour que le garant engage une procédure
  3. La conformité au RGPD peut également représenter un avantage compétitif par rapport aux entreprises qui négligent la vie privée de leurs utilisateurs. Les entreprises qui prennent au sérieux la vie privée de leurs utilisateurs seront alors mieux vues (par exemple : politique de confidentialité du site écrite, absence de spamming, etc.)

En résumé : c'est la loi et il est essentiel de s'y conformer.

Wall roadmap

6. Dois-je quand même conserver un registre de traitements même si je gère une entreprise de petite taille ?

L'article 30 du RGPD stipule que

"Chaque contrôleur de données doit maintenir « un registre des activités de traitement » effectuées sous sa responsabilité."

Ce registre doit contenir des informations importantes telles que :

  1. Le nom et les coordonnées du processeur de données
  2. L'objet du traitement
  3. Une description des catégories des sujets concernés et des catégories de données personnelles
  4. Les catégories de destinataires auxquels les données personnelles ont été communiquées, y compris les destinataires de pays tiers ou d'organismes internationaux.

L'obligation de maintenir un registre ne s'applique pas aux entreprises de moins de 250 salariés, sauf si :

  1. Le traitement effectué peut présenter un risque pour les droits et libertés de l'intéressé
  2. Le traitement n'est pas occasionnel ou comprend le traitement de données confidentielles (données révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'affiliation syndicale, les données génétiques, les données biométriques destinées à identifier sans équivoque une personne physique, les données liées à la santé, la vie sexuelle ou l'orientation sexuelle d'une personne)
  3. Les données personnelles sont liées à des condamnations pénales.

À l'exception des entreprises de plus de 250 salariés (qui, comme nous venons de le voir, sont obligées de maintenir un registre), dans la pratique, il est difficile de dériver de l'activité d'un site d'e-commerce un risque pour les droits et les libertés des utilisateurs, ou si un site d'e-commerce traite des données confidentielles (même s'il existe des exeptions : pensez aux sites qui vendent des médicaments en ligne), ou des données liées à des condamnations pénales.

Toutefois, cela ne signifie pas qu'un site d'e-commerce « classique » (avec moins de 250 salariés, qui ne traite pas de données confidentielles ou judiciaires dont l'activité ne présente aucun risque pour les droits et les libertés de l'intéressé) est exempté de l'obligation de maintenir un « registre de traitement ». En effet, l'un des piliers du RGPD est le principe de « responsabilité » selon lequel le contrôleur doit établir (ainsi que réviser et mettre à jour) les mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que les opérations de traitement sont effectuées selon le nouveau cadre.

On peut raisonnablement supposer que la tenue d'un « registre » se situe parmi ces « mesures organisationnelles » pour indiquer le traitement des données personnelles effectué par le titulaire. Le conseil que nous prodiguons aux propriétaires de boutiques Shopify est donc le suivant : bien que vous ne soyez pas obligé de conserver un registre dans le cadre de votre activité, mieux vaut vous préparer et garder à jour un document contenant l'ensemble des informations mentionnées dans l'article 30 du RGPD (résumé ci-dessus).

Quelle est l'utilité d'une telle conformité ?

  • Vous serez toujours au courant de votre activité de traitement des données personnelles
  • Vous pouvez montrer à vos clients que votre entreprise est un opérateur « vertueux » dans le domaine de la confidentialité
  • Dans l'hypothèse où le garant de la vie privée vous soumet à un contrôle, il sera facile de prouver que votre entreprise s'est montrée respectueuse des obligations imposées par le règlement sur la protection des données personnelles.

7. La mise en application opérationnelle du RGPD

Droit à l'oubli

L'administrateur de la boutique dispose désormais de la possibilité de transmettre au client l'ensemble de ses informations personnelles stockées sur le site, lorsque celui-ci en fait la demande. Si vous êtes administrateur d'une boutique Shopify, suivez les instructions suivantes :
  • Depuis la page admin, cliquez sur la rubrique Customers en haut à gauche de l'écran
  • La liste de vos clients s'affiche alors. Cliquez sur l'un d'entre eux
  • Vous tombez alors sur la page profil du client. Dans l'encadré à droite de l'écran, cliquez sur Send Customer Data. Le client recevra alors par mail un fichier comportant l'ensemble de ses infos personnelles.
Droit à l'oubli Option Boutique Shopify
Si le client souhaite que vous procédiez à la suppression de ces données, vous avez juste à cliquer sur le bouton Remove personal data juste en bas.
Par ailleurs, ces deux options ne sont disponibles que pour les administrateurs et non pour les autres personnes tierces disposant d'un simple droit d'accès à votre store. Ainsi, avant d'accorder l'accès du store à un tiers (logisticien, responsable marketing, etc), il est indispensable de s'interroger sur la nécessité ou non de lui accorder telle ou telle prérogative de gestion de données clients.

Mailing

L'emailing faisant partie des domaines encadrés par le RGPD, Shopify vous donne la possibilité de configurer de plusieurs manières l'envoi d'emails de relance de paniers abandonnés. Trois possibilités s'offrent à vous :

  • Envoyer des mails de relance automatiquement à toute personne n'ayant pas finalisé sa commande
  • Envoyer ces mails de relance manuellement à toute personne n'ayant pas finalisé sa commande
  • Envoyer ces mails de relance uniquement aux clients étant abonnés à la newsletter du site
Email relance panier abandonné

Adresse IP

Bien que le tracking des informations clients doive au préalable faire l'objet de l'accord tacite du client, tout marchand Shopify est dans l'obligation d'enregistrer l'adresse IP du client. En effet, bien que l'IP soit une donnée privée de l'internaute, le stockage de cette information sur le store est indispensable afin d'assurer le suivi et la mesure des audiences, visites mensuelles de votre site ainsi que des autres KPI's clés. Ainsi, il ne sera pas possible de supprimer le process localisation et de stockage automatiques d'adresse IP du client, même si ce dernier en fait la demande.
Détails options app Shopify

Apps Shopify

Les web-marchands doivent faire attention aux applications qu'ils installent sur leur boutique. En effet, une large part des modules disponibles dans le Shopify App Store sont développés par des éditeurs de logiciel nord-américains, qui ne sont donc pas soumis aux mêmes règles de protection des données sur leur sol. On ne peut donc pas déterminer facilement laquelle de ces apps est conforme au RGPD.
Cependant, certaines apps doivent faire l'objet d'une plus grande vigilance. C'est le cas par exemple des applications de Chat qui collectent et stockent les adresses IP et données de géolocalisation des clients afin de faciliter le tracking, et l'analyse de leur parcours client lors de leurs futures visites. Idem pour les apps d'email marketing telles que Klaviyo ou JustUno qui, certes, respectent le RGPD, mais dont il faut tout de même vérifier les notices d'utilisation.
Guides conformité RGPD
Nous recommandons de consulter les documents traitant de privacy policy et expliquant exactement le mode de configuration des cookies et tags que l'on utilise sur le site. Il est important de donner au client la possibilité de procéder à l'opt-out de tracking (cookies). Dans ce cas, plusieurs options s'offrent à vous :
  • Développement sur mesure : cela pourrait être difficile pour une boutique gérée par plusieurs agences afin de travailler sur ses différents aspects marketing (marketing d'affiliation, Google, Facebook,...).
  • On peut installer une application chargée de réaliser un audit régulier du site afin déterminer quels cookies de votre site web respectent les règles du RGPD. Cookiebot est un outil idéal pour contrôler les cookies propriétaires et tiers présents sur votre site avec un simple API en Javascript.