252. C’est le nombre de jours restants avant la mise en application du règlement général de protection des données, le fameux GDPR. Quelles conséquences pour les petits et moyens e-commerçants ? Quelles mesures doivent-ils prendre pour être conformes aux exigences de cette nouvelle réglementation qui vise à protéger davantage les consommateurs ? L’entreprise Oxatis, éditrice d’une solution de e-commerce, a partagé ses bonnes pratiques en marge de la publication d’une étude sur les performances des PME françaises qui vendent sur Internet.

 

« La nouvelle règlementation  concernera tous les traitements de données à caractère personnel et s’appliquera dès qu’un résident européen sera concerné, peu importe que l’entreprise ait son siège basé aux Etats-Unis« , prévient Marc Schillaci, le président d’Oxatis.

 

Un consentement éclairé

Le premier principe du GDPR est celui du consentement éclairé. Il ne s’agira plus de demander à l’internaute qui navigue sur un site marchand d’accepter, oui ou non, les cookies, mais de lui permettre de définir ses préférences avec, par exemple, trois niveaux possibles (cookies obligatoires, fonctionnels et publicitaires) en indiquant à chaque fois leur utilité respective.

 

Les internautes devront aussi disposer de la portabilité de leurs données. « Si par exemple un internaute effectue des achats depuis trois ans sur Amazon. Il pourra demander au site marchand de récupérer ses données liées à ses habitudes de consommation pour les confier à un autre fournisseur de service comme Cdiscount par exemple », détaille Marc Schillaci, sans indiqué toutefois comment ce type d’opération se déroulera dans la pratique. Grâce à cette information, le second site marchand sera en mesure de fournir un meilleur service à l’internaute que s’il ne disposait d’aucune donnée sur ses habitudes d’achat.

 

Adopter des solutions privacy by design

Comment mettre en œuvre ces nouvelles obligations ? « Les petits et moyens e-commerçants ne devront plus faire de déclaration à la Cnil, mais utiliser un logiciel privacy by design », explique le président d’Oxatis. L’e-commerçant ne devra, par ailleurs, collecter que les données nécessaires à son activité. Par exemple, un fleuriste qui vend des fleurs en ligne pourra demander la date d’anniversaire d’un client. En revanche, cette requête ne sera pas justifiée si elle est réalisée par un site spécialisé dans la vente de piscines.

 

Le site marchand devra aussi conserver un registre de consentement de l’internaute pour garder la preuve de ce à quoi il consent ou non. Enfin, en cas de violation ou de fuite de données, l’e-commerçant sera obligé de prévenir ses clients 72h au plus tard après avoir pris connaissance de cette fuite ou violation.

 

Le data protection officer pas systématique

Quant à la nomination d’un DPO (data protection officer) celle-ci ne sera obligatoire que pour les sites réalisant un traitement systématique et répété des données. « Ce sera par exemple le cas pour des Google, Facebook et Criteo, mais pas pour un vendeur de cigarettes électroniques qui enregistre une préférence de parfum d’un client », indique Marc Schillaci. Plus largement, les e-commerçants devront s’attacher à renforcer leur politique de sécurité. Bien préparés, ils pourront faire de ces nouvelles contraintes un véritable avantage concurrentiel en instaurant une relation de confiance avec leurs clients, assure Marc Schillaci.