Le Règlement Général sur la Protection des Données (RGPD) est la nouvelle loi européenne de protection des données qui s’appliquera à partir du 25 mai 2018. Elle impacte les façons de procéder des entreprises pour la collecte et l’utilisation des données.
LE RGPD – CONTEXTE
La réglementation s’applique à toutes les entreprises basées dans l’Union Européenne ou ailleurs, qui traitent des données en Europe. C’est le cas de Magento qui est localisé aux Etats-Unis mais qui possède des plateformes en Europe.
Le RGPD applique des normes strictes et détaillées sur la collecte, la manipulation, l’utilisation et la revente des données.
Une étude réalisée par Boston Consulting Group montre qu’aujourd’hui, les consommateurs se méfient énormément de la collecte et de l’utilisation de leurs données, et plus particulièrement en ligne. Les consommateurs sont méfiants et les sociétés doivent s’adapter. Avec le RGPD, les entreprises peuvent garder et utiliser les datas de leurs clients uniquement si ce dernier donne son accord explicitement. La raison de la collecte de données devra être expliquée et le client donnera son consentement via un opt-in, qui pourra par exemple être formulé ainsi : “J’accepte que mes données soient utilisées pour un envoi de newsletter”.
Le RGPD implique aussi la transparence, c’est-à-dire que l’utilisateur peut à tout moment accéder à ses données et demander de les modifier ou de les supprimer. Si tel est le cas, la société se voit dans l’obligation d’effectuer la demande du client. En cas de faille de sécurité, l’entreprise à 72 heures pour prévenir l’autorité de contrôle compétente, soit la CNIL pour la France.
Cette loi de protection concerne toutes les données qui permettent d’identifier directement l’individu :
- les données personnelles : prénom, nom, civilité, date de naissance, adresse physique, adresse mail, adresse IP, photo, posts sur les réseaux sociaux, cookies.
- les données dites “sensibles” et les données biométriques : données de santé, origines raciales, ethniques, sexualité, opinions politiques, croyances religieuses, ADN, empreinte digitale, identité mentale, économique, culturelle ou sociale.
LE RGPD & MAGENTO
Les clients de Magento sont appelés “data controllers”, c’est-à-dire qu’ils collectent et utilisent la data. Ils en sont responsables vis-à-vis de la CNIL.
De son côté, Magento est “data processor”, il récolte les données pour le compte de ses clients “data controllers”. Magento déclare donc toutes les données qu’il possède et utilise. Tout comme Magento, vous êtes “data processor” dans le cas où vos clients sont B2B et que vous traitez des données personnelles pour eux.
C’est une responsabilité qui est partagée entre ces différents acteurs et il est indispensable pour toute entreprise qui travaillent avec des données personnelles (newsletter, emailing, site, etc) d’avoir un service juridique propre à qui faire appel.
De notre côté, en tant qu’agence, nous sommes responsables des extensions que nous intégrons sur les sites de nos clients. La société éditrice de l’extension se doit de préciser tous les moyens qu’elle utilise pour collecter les données. A partir de toutes ces informations, notre équipe peut déterminer si elle est compatible ou non avec le RGPD. L’agence web est donc garante et responsable dès lors qu’elle applique l’extension sur le site de son client.
LES CHANGEMENTS APPORTÉS PAR MAGENTO
Les contrats clients et partenaires de Magento ont été mis à jour concernant les politiques et processus liés à la vie privée et à la protection des données.
En collaboration avec des experts juridique, la solution E-Commerce travaille actuellement à rendre conformes ses différents produits. Magento aide également ses clients à identifier les données stockées, leurs emplacements et à respecter les demandes de transparence ou de suppression de données liées au RGPD.
CE QUE VOUS DEVEZ FAIRE
En tant que “Data Controller”, vous devez tout d’abord choisir un pilote, c’est un membre de votre équipe qui sera le référent à tous les aspects liés au RGPD. On l’appelle le “Data Protection Officer”.
Si votre entreprise est située en France et que vous collectez et utilisez des données personnelles, vous devez être en mesure de le déclarer à la CNIL en précisant quelles sont ces datas et quelles utilisations vous en faites.
Pour cela, vous devez recenser, cartographier et mesurer préciser vos traitements de données personnelles. L’outil PIA, produit par la CNIL, vous aide à analyser et à mettre en place les obligations du RGPD.
Cette documentation devra être remise à jour régulièrement et vous permettre de prouver votre conformité et le respect de la protection des données personnelles que vous possédez.
La CNIL vous accompagne vers le RGPD, plus d’informations :
- RGPD : comment la CNIL vous accompagne dans cette période transitoire ?
- RGPD : se préparer en 6 étapes
- Posez votre question, la CNIL vous répond
- Lignes directrices
- Cartographier vos traitements de données personnelles + modèles de registres