Le règlement général sur la protection des données (RGPD) qui est entré en application le 25 mai 2018 vient compléter l’arsenal juridique français qui comportait jusqu’à présent : la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 ; la directive européenne de 1995 sur la protection des données personnelles, transposée en 2004 ; la loi pour la confiance dans l’économie numérique (LCEN) du 22 juin 2004 et le projet de loi “Pour une République numérique” adopté par l’Assemblée nationale le 26 janvier 2016. Très attendu, ce règlement a fait l’objet de quatre années de travail.
Que retenir sur le RGPD
Les principales dispositions du RGPD sont les suivantes :
- le droit à l’effacement des données ;
- le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles ;
- le droit de transférer ses données vers un autre fournisseur de services (portabilité des données) ;
- le droit d’être informé en cas de piratage des données ;
- la garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible ;
- une mise en œuvre plus stricte et des amendes allant jusqu’à 4% du chiffre d’affaires mondial total d’une entreprise, dans le but de décourager la violation des règles.
Quel va être l’impact de ce nouveau règlement sur le commerce électronique ?
Ce nouveau règlement impose certaines obligations pour les cybercommerçants :
- une obligation de transparence qui est définie par les articles 12, 13 et 14 du RGPD. Ainsi, les cybercommerçants doivent informer leurs clients du traitement de leurs données et recueillir leur consentement pour les différentes utilisations qui en seront faites ;
- un renforcement des dispositions relatives au consentement. L’article 4 du règlement définit le consentement comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement” ;
- un impératif pour les cybercommerçants de répondre aux demandes d’exercice du droit d’accès des personnes dont les données sont collectées, à des fins de consultation, rectification et suppression ;
- la garantie pour les clients de bénéficier du droit à la portabilité des données personnelles conformément à l’article 20 du RGPD. Ce droit donne le droit aux personnes concernées, de recevoir leurs propres données à caractère personnel, pour leurs propres besoins, ainsi que le droit d’obtenir directement le transfert de leurs données à un autre prestataire.
- un renforcement de la sécurisation des données : en d’autres termes, nécessité absolue de sécuriser son site de commerce électronique pour renforcer la relation client et garantir la sécurité des données, c’est-à-dire leur intégrité et leur confidentialité.
En France, selon la FEVAD, la carte de crédit est utilisée pour plus de 80 % des transactions. Concernant ces transactions sur internet par carte bancaire, les statistiques révèlent que le ce type de paiement est particulièrement touché par la fraude. Dès lors, un renforcement de la sécurisation des données sur internet est indispensable pour rétablir la confiance de la clientèle.
La mise en conformité : pour être en conformité avec le RGPD, les cybercommerçants devront présenter plusieurs documentations portant sur les contrats qui définissent les rôles et les responsabilités des acteurs et sur l’information des personnes.
Pour le cabinet Caprioli, la démarche vers la conformité passe par les 5 étapes suivantes :
- a. la désignation d’un pilote du projet de mise en conformité ;
- b. l’élaboration d’une cartographie des traitements de données personnelles ;
- c. la rédaction d’une cartographie des responsabilités respectives des parties prenantes ;
- d. l’évaluation de la conformité légale ;
- e. la présentation des recommandations et plan d’action stratégique pour la mise en conformité légale.