E-commerce : faut-il encore déclarer son site à la CNIL ?

Depuis l'entrée en vigueur du RGPD, la déclaration d'un site de ecommerce auprès de la CNIL n'est plus obligatoire.

Suppression des déclarations des sites internet à la CNIL

Depuis le 25 mai 2018, date d'entrée en application du Règlement européen sur la protection des données (RGPD), la quasi-totalité des formalités déclaratives auprès de la CNIL ont été supprimées.

Auparavant, la déclaration à la CNIL était obligatoire si le site internet :

• diffusait des informations sur des personnes : photos, adresses postales, email, annuaire…,
• ou disposait d'un formulaire de contact invitant l'internaute à remplir des champs obligatoires ou facultatifs : abonnement à une lettre d'information, participation à un jeu-concours…

En fonction de la nature des informations collectées, le site de ecommerce devait effectuer une déclaration simplifiée ou une déclaration normale.

Tenue d'un registre de traitement des données pour chaque site de internet

L'exploitant d'un site de ecommerce doit tenir un registre des traitements qui indique les informations relatives aux données traitées, en précisant le lieu, la manière et les raisons de ces traitements.

Ce document doit mentionner :

• le nom et les coordonnées du responsable du traitement des données
• les finalités dudit traitement (relation commerciale, gestion RH…)
• le type de données personnelles traitées (nom, adresse postale, email, genre, âge…)
• les catégories de personnes concernées (clients, salariés, candidats à l'embauche)
• les personnes, internes ou externes, amenées à gérer ces données
• le parcours des flux de données en cas de transferts hors de l'Union européenne
• les délais prévus pour l'effacement des données
• une description des mesures de sécurité techniques et organisationnelles prises pour en assurer leur protection

Un modèle de registre et des indications pour le compléter ont été mis en ligne par la CNIL.

C'est le registre des traitements qui permet de prouver la conformité du site de ecommerce en cas de contrôle de la CNIL.

Adaptation du site de ecommerce aux normes imposées par le RGPD

Affichage d'une politique de confidentialité des données

Les internautes doivent savoir ce que le site de ecommerce fait de leurs données. La mise en conformité RGPD passe par cette transparence totale au sujet des informations récoltées.

Il est conseillé de rédiger une page dédiée relative à la Politique de protection de la vie privée ou d'afficher ses informations dans les Conditions Générales de Vente.

La politique de confidentialité des données doit préciser :

• la finalité de la collecte des données (par exemple, pour gérer les achats effectués par des clients),
• son fondement juridique (par exemple, l'exécution d'un contrat ou l'intérêt légitime du site de ecommerce),
• sa durée de conservation (par exemple, 5 ans après la fin de la relation contractuelle),
• ses destinataires éventuels (par exemple, le web-développeur),
• les modalités d'exercice des différents droits dont disposent les clients : droit de rectification des données, droit à l'oubli, droit au refus du profilage (par exemple, via leur espace personnel sur le site de ecommerce, par un message sur une adresse e-mail dédiée, par un courrier postal à un service identifié).

Affichage d'un bandeau de consentement des cookies

En présence de cookies (exemple : cookie de Google analytics), la CNIL conseille de faire apparaître un bandeau d'information préalable sollicitant le consentement du visiteur.

Le bandeau ne doit pas disparaître tant que le visiteur n'a pas poursuivi sa navigation, c'est-à-dire tant qu'il ne s'est pas rendu sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton « rechercher »). Ce consentement est valable pour une durée de 13 mois.

Obtention du consentement explicite des internautes

L'inscription à une newsletter ou la création d'un compte sur un site de ecommerce nécessite le consentement du visiteur.

Il n'y a pas de consentement en cas de silence, de case cochée par défaut ou d'inactivité. Le consentement doit s'exprimer par un acte positif clair, par exemple en cochant une case (les cases à cocher précochées sont interdites). En outre, une personne qui a accepté que ses données soient collectées doit pouvoir retirer son consentement aussi aisément qu'elle l'a donné.

En ce qui concerne les mineurs de moins de 16 ans, le consentement doit être recueilli auprès du titulaire de l'autorité parentale. L'information doit être rédigée en des termes clairs et simples, que l'enfant peut aisément comprendre. Devenu adulte, son consentement doit pouvoir être retiré et les données effacées.

Possibilité de supprimer les données personnelles

Le visiteur doit avoir la possibilité de supprimer ses données personnelles.

Dans cet objectif, le site de ecommerce doit :

• soit comprendre un bouton permettant aux visiteurs de supprimer automatiquement leurs données personnelles,
• soit mettre en place un formulaire dédié, idéalement dans la page dédiée à la politique de protection de la vie privée.

Une fois la demande effectuée, le site de ecommerce dispose de 1 mois pour supprimer les données. Attention, la suppression des données d'un client n'est pas possible tant que sa commande est en cours de traitement. Dans ce cas, il faut aussi tenir compte du délai de rétractation de 14 jours.

La demande de suppression des données personnelles n'impose pas la suppression des factures et autres documents comptables relatifs à ses achats, pour lesquels une obligation légale de conservation de 10 ans existe.

Les données personnelles du visiteur doivent également être supprimées des services tiers, notamment ceux permettant l'envoi d'une newsletter tel que mailjet ou sendinblue.

Le site de ecommerce n'a pas la possibilité de refuser la demande du visiteur. Mais plutôt que de supprimer les données purement et simplement, il est possible de les anonymiser. Cette option permet de ne pas remettre en cause les tests et les analyses statistiques en cours.

Les données d'un visiteur qui crée un compte mais ne passe pas commande doivent être supprimées au bout de 1 an.

Supprimer les données personnelles

Le visiteur doit indiquer précisément les données personnelles qu'il souhaite supprimer car une demande de suppression n'implique pas obligatoirement la suppression pure et simple de toutes les données le concernant. Ainsi, une demande de suppression d'une photo n'impose pas l'effacement du compte créé par le visiteur.

En cas de doute sur l'identité du visiteur, le site de ecommerce a la possibilité de demander la communication de tout document permettant de prouver son identité, par exemple pour éviter les usurpations d'identité.

Anonymiser les données personnelles

Des données sont considérées comme anonymes lorsque la personne concernée n'est plus identifiable, de manière irréversible et par quelque moyen que ce soit, c'est-à-dire qu'aucune donnée ou ensemble de données ne permet de remonter à son identité.

Le site de ecommerce ne peut donc pas se contenter d'anonymiser le nom et le prénom du visiteur, il doit également veiller à ce qu'aucune autre information ne permette de remonter jusqu'à lui (adresse e-mail, adresse postale…).

Limitation des données collectées

Un site de ecommerce doit désormais se contenter de collecter les données strictement nécessaires à l'objectif poursuivi. Par exemple, l'adresse postale d'un internaute n'est pas nécessaire pour s'inscrire à la newsletter du site de ecommerce.

L'ancien texte prévoyait simplement que les données collectées ne devaient pas être excessives.

Protection des données collectées

Un site de ecommerce doit prévoir des mesures de sécurité pour éviter le vol ou la perte des données.

Le site de ecommerce doit être en HTTPS et toutes les communications vers des services tiers doivent se faire de façon sécurisée (HTTPS, FTPS).

Un guide a été publié par la CNIL pour aider les sites de ecommerce à déterminer les mesures à prendre.