RGPD et e-commerce : la liste des éléments à modifier sur son site

Checklist RGPD pour site e-commerceLa date butoir pour la mise en conformité de son site e-commerce avec le RGPD arrive, et il est étonnant de constater, que malgré les très nombreux articles et conférences sur le sujet, il est difficile de savoir exactement ce qu’il faut modifier sur son site pour respecter la loi.

On nous parle partout de l’interprétation des textes, des impacts au niveau global de l’entreprise, et des grands principes du RGPD. Mais personne ne semble capable de dire concrètement de quelle manière modifier son site e-commerce, ce qui ne facilite pas le travail des e-commerçants qui doivent désormais gérer ce projet dans l’urgence.

Voici donc la liste des éléments à modifier pour mettre son site en conformité avec le RGPD :

  • Créer ou mettre à jour la page contenant la politique de confidentialité des données collectées
  • Créer un formulaire de contact dédié aux demandes de mise à jour des données personnelles
  • La gestion des cookies pour chaque visiteur
  • Modifier la formulation du consentement sur les formulaires ou étapes de validation.
  • La gestion des données de client
  • Le double optin pour tout abonnement à une mailing-list

 

Affichage de la Politique de collecte, de gestion et de confidentialité des données

Obligation de proposer dans le site une page Vos informations personnelles, qui est une page de contenu expliquant toute la politique de gestion des informations personnelles en lien avec le RGPD. Elle permet de lister de l’ensemble des informations qui sont collectées depuis le site et leur utilisation possible par l’entreprise.

 

Créer un formulaire de contact dédié aux demandes RGPD

Il faut aussi obligatoirement proposer un formulaire de contact dédié pour toute demande liée à la gestion des données personnelles d’un client. Ce formulaire est adressé au Responsable RGPD de l’entreprise qui a la charge de traiter les demandes.

Ce formulaire peut être accessible depuis la page de la politique RGPD du site ou depuis un lien mis en évidence dans le footer par exemple.

Modèles CNIL : https://www.cnil.fr/fr/modele/mention/formulaire-de-collecte-de-donnees-personnelles

 

Permettre la gestion des cookies sur le site

Désormais, il faut donner la possibilité aux visiteurs de choisir eux-mêmes le type de cookies qu’ils souhaitent laisser actif lors de leur navigation.

Cela se traduit par l’apparition d’un bandeau ou d’une popin qui s’affiche dès l’arrivée du visiteur sur n’importe quelle page du site, et qui ne peut pas disparaître tant que le visiteur n’a pas effectué une action parmi les choix proposés. Ce bandeau comporte une mention légale et permet d’accéder à la personnalisation des cookies du site.

Pour le texte du bandeau, la CNIL propose la formulation suivante :

« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs ] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites]. »

En plus de cette mention, il faut idéalement rajouter sur ce bandeau :

  • un lien qui redirige vers la page de contenu sur la politique de gestion des données personnelles. A noter que la CNIL ne le fait pas sur son propre site…

 

 

Fenêtre de consentement sur le dépôt de cookies

 

Bandeau de consentement des cookies

 

 

  • Un bouton « Personnaliser » qui renvoi vers une page permettant de configurer de manière distincte les cookies et trackeurs que le visiteur souhaite accepter lors de sa navigation. Cela nécessite un développement spécifique, ou l’utilisation d’un outil dédié à cette utilisation. Voici 3 exemples de mise en oeuvre pour la configuration des cookies.

Sur le site d’Oracle. Le lien est en bas à droite du footer.

Fenêtre de paramétrage des cookies

 

Sur le site Rentalcars.

RGPD - Configuration des cookies

 

Sur le site de la CNIL.

Fenêtre de paramétrage des cookies

 

Il existe des solutions de Gestion des cookies pour permettre de définir plusieurs niveaux de paramétrage.

Pour une gestion fine du paramétrage des cookies :

 

Pour une solution basique sur Prestashop, il existe un pluggin :

 

La CNIL précise que « ce bandeau ne doit pas disparaître tant que le visiteur n’a pas poursuivi sa navigation ». Si le visiteur continue sa navigation sans effectuer de confirmation, c’est le paramétrage de confidentialité maximum par défaut qui est obligé de s’appliquer pendant toute la durée de la session.

Désormais, la durée de vie maximum d’un cookie de mesure d’audience est de 13 mois maximum. À l’expiration de ce délai, le consentement du visiteur devra être à nouveau recueilli. Cela implique de configurer votre compte Google Analytics en conséquence et toute autre outil générant des cookies/ traceurs.

 

Le classement des cookies par type d’usage pour respecter le RGPD n’est pas clairement défini par la CNIL, mais nous pouvons généralement les classer en 3 catégories d’influence sur le fonctionnement du site :

  • Les cookies obligatoires. Ces cookies sont nécessaires pour permettre l’activation de fonctions clés du site. C’est le niveau d’acceptation minimum. Cela concerne les cookies liés au maintien de la connexion à son compte client, de sécurisation de la session, ou de mémorisation des actions effectuées sur le site (produits ajoutés au panier) ou permettant la réalisation de la transaction. Les cookies liés à l’utilisation de Google Analytics ou tout autre solution de mesure d’audience font partie de cette catégorie. Ala condition qu’ils collectent les données de manière non nominative. Voir les conditions sur le site de la CNIL.
  • Les cookies fonctionnels. Ces cookies activent des fonctionnalités supplémentaires telles que la personnalisation des contenus du site en lien avec l’analyse du profil du visiteur ou de ses actions, ou permettre les interactions sociales. Cela concerne souvent des solutions tierces utilisées dans le site pour personnaliser le merchandising (Earlybirds, Nosto, Doofinder, Target2sell, Antidot), des solutions d’AB testing (AB Tasty, Kameloon) ou de CRO (Shopimind, Hotjar, Optimizely, Convertize), ou des outils de login social ou avec des solutions tierces (Facebook Connect, Google Connect, Amazon Pay, …), et les outils de partage dans les réseaux sociaux.
  • Les cookies publicitaires. Ils sont utilisés par l’entreprise et par des tiers afin de diffuser les annonces correspondant aux centres d’intérêts du visiteur. Cela concerne donc tous les traceurs publicitaires ou de remarketing (Facebook, Google, Bing, Criteo, Adroll, …)

 

Vos concurrents convertissent plus que vous ! Contactez nous pour booster votre conversion

La gestion des données du client

Un client doit pouvoir modifier toutes ses informations personnelles de manière autonome, via son compte client notamment. Cela est déjà le cas sur la plupart des Espace Client des sites e-commerce.

Le RGPD intègre une nouvelle notion qui est le droit à l’oubli :

  • Cela signifie que les données des clients peuvent être conservées durant la période nécessaire à la bonne gestion de la relation commerciale. Par la suite, elles peuvent être conservées jusqu’à 3 ans maximum. Le client doit aussi pouvoir effacer ses données quand il le souhaite.
  • Pour les données relatives aux non-clients, la durée de conservation est de 3 ans maximum après le dernier contact (qui peut être le 1er aussi). Au terme des 3 ans, le consentement doit être renouvelé.
  • Exception : l’archivage des données de preuves (preuve d’un droit, d’un contrat ou d’une obligation légale).

Concrètement, cela s’applique de 3 manières dans le site :

  1. La possibilité de supprimer soi-même son compte client ou seulement certaines informations le concernant. La plupart des solutions e-commerce ne le permettent pas actuellement. Il faut donc ajouter un bouton « Supprimer mon compte » depuis le compte client qui va permettre au client d’effacer les données de son compte mais aussi toutes les informations déclaratives et non déclaratives que détient votre entreprise sur ce client. Cela peut être à effet immédiat si cette fonction est automatisée dans la solution e-commerce. Cela peut aussi être une « Demande de suppression de compte » si la manipulation passe par une intervention manuelle au niveau de l’entreprise. Dans les 2 cas, le client devra recevoir une confirmation que sa demande a été prise en compte et effectuée, dans un délai raisonnable.
  2. L’entreprise doit régulièrement « nettoyer » sa base des clients non actifs, en supprimant tous les clients qui n’ont passé de commande depuis 3 ans, ou qui ne se sont pas connectés à leur compte depuis 3 ans.
    Ce nettoyage est à définir selon vos propres règles qui doivent être indiquées dans votre page sur la gestion des données personnelles. Il peut avoir lieu tous les ans à minima, ou plus régulièrement.
  3. La portabilité des données = ajout d’un bouton pour exporter ses données client. Ni le texte du RGPD, ni la CNIL, ne précisent le type d’information qui doit figurer dans cette import, mais il faut probablement fournir à minima :
    • les informations personnelles,
    • l’historique des commandes.

Nous pourrions aussi considérer :

  • les informations liées à un programme de fidélité,
  • l’historique des échanges par email avec le Service Client si ceux-ci sont archivés,
  • l’historique des demandes SAV sur un produit (échange, remboursement, réparation).

 

La formulation du consentement sur les formulaires ou étapes de validation

Cela concerne tous les formulaires qui impliquent une collecte des données :

  • La création de compte
  • La confirmation de commande
  • L’abonnement à la newsletter
  • Alerte de disponibilité sur produit épuisé

Chaque inscription nécessitera d’informer le visiteur sur la politique de gestion des données personnelle et de recueillir son consentement. Il faut s’assurer que sur chaque page, les mentions disposées à côté du bouton de validation soient suffisamment explicites sur ce point, avec un message du type :

En créant votre compte, vous reconnaissez avoir pris connaissance de notre politique de gestion des données personnelles (lien) et vous l’acceptez.

—-

En vous abonnant à notre newsletter, vous reconnaissez avoir pris connaissance de notre politique de gestion des données personnelles (lien) et vous l’acceptez.

En validant votre commande, vous acceptez nos conditions générales de vente (lien), vous reconnaissez avoir pris connaissance de notre politique de gestion des données personnelles (lien).

 

L’ajout d’une case à cocher n’est pas clairement exprimé comme étant obligatoire, mais il n’y a pas de raison de changer les habitudes sur ce point. Il vaut mieux maintenir une case à cocher pour l’acceptation des CGV et l’abonnement à la newsletter.

 

Le double optin par email

Le double optin consiste à doubler la procédure de consentement pour s’abonner à une mailing-list.

Le 1er optin se fait au moment de l’inscription depuis le site, il n’y a pas de changement par rapport au fonctionnement généralement observé. Pour s’abonner à une mailing-list, il suffit de cocher une case dans la page du site. Par contre, il faudra expliquer clairement la manière dont les données collectées sont utilisées en rajoutant un texte adéquat.

Cette 1ère action d’inscription déclenche automatiquement un email qui génère le 2ème optin. Le message contient une demande de confirmation pour recevoir les informations souhaitées. C’est seulement à partir de ce click que l’adresse peut être ajoutée à la base de donnée.

Il faut donc adapter la procédure d’abonnement à la newsletter sur ces 2 éléments.


Avec cette liste, vous devriez pouvoir rapidement modifier votre site pour respecter les principes du RGPD. Au-fur-et-à-mesure que le RGPD va se déployer sur les sites e-commerce, vous trouverez probablement d’autres manières de mettre en place les préconisations de la CNIL, liées à l’interprétation que chacun peut faire des textes de loi.

 

Ressources :

Vous aimez ? Partagez !
Ludovic Passamonti - Directeur Associé
Auteur

Diplômé de l’ESG et travaille dans le web depuis 14 ans. Il a défini et mis en oeuvre des stratégies internet et e-commerce pour des grandes marques comme des PME, en agence web, puis en tant que consultant e-commerce freelance.
Co-fondateur de Skeelbox. Il intervient régulièrement dans des conférences, et séminaires.

Plus d'articles de cet auteur
Restez en contact :
  1. Sylvain dit :

    Bonjour Ludovic, c’est la 1ère fois que je lis cette phrase : “La CNIL précise que « ce bandeau ne doit pas disparaître tant que le visiteur n’a pas poursuivi sa navigation ». Si le visiteur continue sa navigation sans effectuer de confirmation, c’est le paramétrage de confidentialité maximum par défaut qui est obligé de s’appliquer pendant toute la durée de la session.” Où l’as-tu dénichée ? Quelle est la définition de confidentialité maximale : on bloque tout par défaut ? C’est globalement ce qui risque d’arriver dans 99% des cas…

  2. Mathilde dit :

    Bonsoir, le double Opt-In n’est pas obligatoire ! C’est effectivement une interprétation fausse du RGPD que l’on retrouve dans plusieurs article à ce sujet. Un consentement est suffisant.
    Le double Opt-In peut être utile pour lever tout doute sur le fait qu’une personne ait ou non accepté d’être sur votre liste.

Laisser une réponse