Protection des données : les acteurs européens du e-commerce ont tout à gagner du GDPR
Avec le GDPR, les entreprises d’e-commerce peuvent s’engager dans un processus de transformation qui leur permettra de renouer avec la confiance des internautes au même titre que le commerce équitable ou l’éco-responsabilité.
Que ce soit pour la prospection, la gestion des commandes ou des transactions, le suivi des internautes à des fins de profilage ou de publicité comportementale, la lutte contre la fraude ou la gestion des risques d’impayés, les acteurs du e-commerce traitent une grande quantité de données personnelles. Ils sont donc particulièrement concernés par la réforme de la protection des données dont la violation des dispositions est passible de sanctions de l’ordre de 4% du CA global d'un groupe.
Cette date buttoir du 25 mai 2018 est l’occasion de reconsidérer ce qui pour certains est vu comme une contrainte, mais qui pourrait à moyen terme se révéler comme étant une véritable opportunité sur un plan compétitif.
Avec le GDPR, les entreprises d’e-commerce peuvent s’engager dans un processus de transformation qui leur permettra de renouer avec la confiance des internautes au même titre que le commerce équitable ou l’éco-responsabilité.
La protection des données personnelles, nouveau composant de l’UX
Désormais, outre les responsables de traitement ayant un établissement ou des moyens de traitement sur le territoire de l’Union Européenne, le règlement sera aussi applicable aux organisations établies en dehors de l’Union qui proposent des biens ou des services à des personnes se trouvant dans l’UE ou qui assurent un suivi des comportements en ligne de ces personnes.
D’autre part, le règlement vient préciser que les identifiants en ligne sont des données à caractère personnel dont le traitement ne saurait par conséquent répondre aux critères de l’anonymisation permettant de s’affranchir des règles de protection des données.
La confiance et la réputation sont essentielles au développement et à la pérennisation du e-commerce, particulièrement sensible au phénomène de churn[1]; la protection des données et de la vie privée pourrait devenir un élément clé de l’expérience utilisateur, contribuant à leur fidélisation.
Les acteurs du e-commerce ont l’occasion d’optimiser la conception de leurs sites afin de rendre transparente l’utilisation qui est faite des données, de permettre aux individus de garder la maitrise des informations les concernant et de garantir le respect du droit à la portabilité des données consacré à l’article 20 du règlement.
Le Privacy by Design concernera aussi les sites de e-commerce
Conformément à l’article 25 du GDPR, les sites devront intégrer les principes de protection des données dans leur conception. Ainsi, les personnes devraient pouvoir exercer leurs droits d’accès, de rectification et d’opposition, directement en ligne. L’information des personnes sera plus détaillée notamment en cas de profilage ; de plus, l’information devrait être facilitée au moyen d’icônes lisibles par les systèmes.
Les e-commerçants devront respecter un principe de minimisation de la collecte en ayant notamment recours à des techniques de pseudonymisation et garantir la sécurité des données par défaut. Ils devront être en mesure de respecter le droit à la portabilité évoqué ci-dessus et notamment le droit pour la personne d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
Le DPO : acteur de la conformité, facteur de confiance
La loi française permet déjà aux e-commerçants de désigner un « Correspondant Informatique et Libertés » afin de veiller à la conformité des traitements de données personnelles et d’éviter d’être sanctionné par la CNIL.
Rappelons que BrandAlley a été sanctionnée en juillet dernier[2] pour des manquements relatifs à la sécurité et à la durée de conservation des données, à l’absence de formalités préalables, à l’encadrement insuffisant des transferts et à l’utilisation non conforme de cookies.
Le règlement européen prévoit la possibilité de
désigner un DPO ou Délégué à la Protection des Données interne ou externe dont
les missions vont au-delà de celles du CIL[3]. Le DPO devrait être le garant
d’une bonne gouvernance de la protection des données au sein de l’organisation
qui l’aura désigné et la meilleure façon de s’y préparer reste de désigner un
CIL sans plus attendre.
(Article co-écrit avec Valérian BONNARD)
[1] Ou phénomène d’attrition
[2] Délibération n° 2016-204 prononçant une sanction pécuniaire à l'encontre de la société BRANDALLEY
[3] Source