Cela fera 5 ans en mai que le Règlement Général sur la Protection des Données personnelles (RGPD) est entré en vigueur. Sur les sites e-commerce, des efforts importants ont été réalisés, notamment pour l’information des personnes concernées, mais il est encore très courant de constater des manquements aux principes de la protection des données. Voici donc 5 points à respecter pour un site conforme.
Paramétrage des cookies
Les sites e-commerce proposent tous désormais des options pour accepter, paramétrer ou refuser les cookies, disponibles dans le bandeau d’information. Cependant, ceux qui n’offrent que le choix entre « Tout accepter » et « Paramétrer mes choix » ne respectent pas les directives de la CNIL, à savoir permettre à l’utilisateur d’exercer ses choix avec le même degré de simplicité : le choix entre « Tout accepter » et « Tout refuser » est donc à privilégier, avec éventuellement une option complémentaire « Paramétrer mes choix ».
Minimisation des données
Seules les données strictement nécessaires au traitement de la commande doivent être collectées : ainsi, la date de naissance du client est-elle réellement nécessaire ? Et, alors que les questions de genre sont un sujet d’actualité, on peut s’interroger aussi sur la pertinence de la civilité : le nom et le prénom sont en effet suffisants pour qu’un colis arrive au bon destinataire.
Finalité des traitements de données
L’objectif de la collecte des données doit être clairement annoncé au client. Celui-ci ne s’attend pas à ce que les données transmises au moment de la commande soient utilisées pour lui envoyer des newsletters, encore moins par d’autres sites ou marques, surtout s’il a pris soin de ne pas cocher la case autorisant ces usages (qui doit être décochée par défaut).
Il doit être très facile pour le client de définir ses préférences de communication et de se désabonner de tout.
Modification des données personnelles
Les clients ayant transmis leurs données personnelles ont un droit de rectification de leurs données. Or, s’il est en général possible de modifier facilement son adresse ou encore son numéro de téléphone, tous les sites e-commerce ne permettent pas encore de modifier son adresse e-mail, qui sert souvent d’identifiant unique pour le compte client. La seule solution pour le client est alors de créer un nouveau compte avec sa nouvelle adresse, en renonçant à son historique de commande.
Suppression des comptes inactifs
Les utilisateurs d’un site e-commerce doivent pouvoir supprimer facilement leur compte et leurs données personnelles (droit à l’effacement), mais l’entreprise a également une obligation de supprimer les données des comptes utilisateurs au bout de deux ans d’inactivité (obligation réaffirmée par la CNIL dans sa délibération du 10 novembre 2022 sanctionnant la société Discord). Cela passe par une information à l’utilisateur de la suppression prochaine de son compte, qu’il peut annuler en s’y reconnectant.
Si vous gérez un site e-commerce, c’est le moment de vérifier que ces 5 points sont pris en compte. Et si vous êtes client et que vous constatez que le site n’est pas conforme, vous pouvez le signaler au service client ou … changer de vendeur !
Commentaires récents