Comment appliquer le RGPD à votre activité e-commerce ?

5'

Le 25 mai 2018, le Règlement Général sur la Protection des Données (ou RGPD) entrera en vigueur. Destiné à protéger les données personnelles des résidents de l’Union européenne, ce texte vise à harmoniser la régulation des données personnelles dans tous les pays de l’Union européenne.

A partir de mai 2018, la plupart des acteurs du marché devront revoir leur système de collecte de données personnelles, pour se conformer avec ce nouveau règlement européen. Font partie des données personnelles, “toute information se rapportant à une personne physique identifiée ou identifiable” comme son Nom/Prénom, son adresse IP, les données sur la localisation…

Que vous soyez de petite, moyenne ou grande taille, le RGPD s’applique à l’ensemble des entreprises qui traitent des données et quel que soit le secteur dans lequel elles évoluent. A quelques mois de l’échéance, nous avons sélectionné 5 changements (non exhaustifs) à prendre en compte pour être en conformité avec ce nouveau règlement.

Mettre en place un double opt-in

Dès mai 2018, les entreprises n’auront plus le droit d’envoyer des e-mails non sollicités aux internautes. Elles devront mettre en place une procédure de double opt-in pour leurs campagnes d’e-mailings, de manière à informer clairement et explicitement les internautes sur la finalité des données collectées et ainsi obtenir leur consentement.

Le premier opt-in est à mettre en place lorsque l’individu remplit le formulaire où vous allez l’informer sur la raison de la collecte de leur e-mail. Une fois qu’il a validé cette étape en cochant, le deuxième opt-in intervient avec l’e-mail de confirmation dans lequel la personne accepte de recevoir les informations qu’ils ont acceptées dans le premier opt-in. C’est à ce moment-là qu’elle sera ajoutée dans votre base de données.

Pour les clients déjà présents dans votre base de données, il faudra leur envoyer des e-mails personnalisés (avec relance) pour avoir leur accord afin de pouvoir continuer à les contacter.

Si pour certains le double opt-in va ralentir l’acquisition de nouveaux clients, cette mise en place va tout de même permettre aux entreprises d’avoir une base de données plus qualitative, ce qui engendrera un assainissement du marché.

2. Ajuster les cookies

En tant que propriétaire de site, vous avez déjà l’obligation de notifier aux internautes la mise en place de cookies pour collecter des informations sur leur navigation (ex : “Ce site web utilise des cookies tiers afin d’obtenir des informations statistiques concernant la navigation. Si vous continuez à naviguer sur ce site, nous considérerons que vous en acceptez l’utilisation.”). Cependant, à l’heure actuelle, si les internautes ne cliquent pas sur “Ok” ou “J’ai compris” et qu’ils consultent une autre page du site, les cookies se mettent automatiquement en place.

Avec cette nouvelle réglementation, la procédure des cookies sera renforcée avec la mise en place de niveaux d’acceptation plus détaillés. Ainsi, les internautes pourront moduler l’intégralité de leurs cookies et ne pourront plus accéder au site sans avoir au préalable accepté les cookies en cliquant sur un bouton “Autoriser ou “Refuser”.

cookies_salesforce
Pop-up cookies de Salesforce

3. Gérer les données

Pour les utilisateurs qui ne souhaitent pas que l’on récolte leurs données, les entreprises seront dans l’obligation de les crypter. Cette pseudonymisation consiste à remplacer un identifiant par un pseudonyme, de manière à ce que les informations d’un individu restent secrètes.

Par ailleurs, si les visiteurs de votre site acceptent que l’on récolte leurs données, ils devront également avoir le droit à l’effacement. Ce qui signifie qu’ils auront, le cas échéant, la possibilité de demander la suppression complète de leurs données clients récoltées sur votre plateforme de manière à garder le contrôle sur leurs données.

4. Prospecter par e-mail sous certaines conditions

Avec le RGPD, les entreprises n’auront plus le droit de prospecter leurs clients (en BtoB ou BtoC) par e-mail si elles n’ont pas obtenu explicitement une acceptation de leur part. Cet opt-in explicite vaut également pour les mailing list ou encore les cartes de visites récupérées lors de salon.

5. Collaborer avec des entreprises “compliant”

Cette réglementation ne se limite pas à votre propre entreprise. Vous serez également responsable de la mauvaise utilisation de vos données par les prestataires avec qui vous collaborez. Il est donc important de vous entourer de partenaires “compliants” pour assurer la bonne application du RGPD.

Par ailleurs, pour superviser cette réglementation, il est fortement recommandé de nommer un délégué à la protection des données (Data Protection Officer) qui devra informer et conseiller l’entreprise et ses collaborateurs. Pour prouver votre démarche de mise en conformité, vous devrez mettre un certain nombre d’actions (comme celles listées ci-dessus) et prouver par écrit que vous assurez la protection des données.

En cas de plainte pour non respect de cette réglementation, votre entreprise s’expose à une amende s’élevant à 4% de son chiffre d’affaires annuel mondial ou à 20 millions d’euros. Le montant le plus élevé qui sera pris en compte.

Si vous souhaitez en savoir plus sur la gestion du RGPD chez Lengow, découvrez les sujets sur lesquels nous travaillons activement pour notre mise en conformité avec le RGPD : https://www.lengow.com/fr/rgpd/

Image : pixel2013

Maud Leuenberger

Editorial Project Leader @lengow