Quelles sont les obligations d'un site de ecommerce ?

Un site de ecommerce est soumis à des obligations strictes qui lui imposent de faire apparaître diverses mentions obligatoires et de respecter un processus particulier lors de la passation d'une commande.

Quelles mentions obligatoires un site de ecommerce doit-il comporter ?

Un site de ecommerce (➡️ télécharger le guide) doit comporter plusieurs mentions obligatoires insérées :

• dans les mentions légales ;
• dans une politique de confidentialité ;
• dans les conditions générales de vente (CGV).

Mentions légales

Les mentions légales permettent aux visiteurs d'identifier l’éditeur, l’hébergeur et le directeur de publication du site de ecommerce. Elles sont obligatoires.

Les mentions légales d'un site de ecommerce doivent être placées :

• en première partie des conditions générales de vente,
• et, sur une page séparée accessible depuis un lien présent sur toutes les pages du site.

Politique de confidentialité

Le règlement général sur la protection des données (RGPD) impose des mentions spécifiques lorsque des données personnelles sont collectées (nom, prénom, date de naissance, adresse postale, email, adresse IP, numéro de téléphone, numéro de carte de paiement...).

A cette fin, un vendeur en ligne doit réserver une partie voire une page de son site à la politique de confidentialité.

La politique de confidentialité d'un site de ecommerce doit notamment préciser :

• la finalité poursuivie par le traitement auquel les données personnelles sont destinées ;
• la base légale qui justifie le traitement des données personnelles ;
• le caractère obligatoire ou facultatif des réponses et les conséquences éventuelles à l'égard de l'internaute d'un défaut de réponse ;
• les destinataires ou catégories de destinataires des données ;
• les modalités d’exercice des droits d'opposition, d'interrogation, d'accès et de rectification ;
• les éventuels transferts de données à caractère personnel envisagés à destination d'un Etat n'appartenant pas à l'Union européenne ;
• la possibilité d'introduire une réclamation (plainte) auprès de la CNIL.

Conditions générales de vente

Les conditions générales de vente comportent un ensemble de clause permettant aux clients d’avoir une information précise sur les conditions de vente :

• étapes de passation d'une commande,
• modalités et délai de livraison,
• nature et l'étendue des garanties contractuelles,
• modalités d'exercice du droit de rétractation,
• mode de traitement des réclamations...

Lorsque le client est un particulier, les CGV doivent obligatoirement figurer sur une page dédiée, être facilement accessibles et pouvoir être imprimées ou téléchargées.

Lorsque le client est un professionnel, la communication des CGV est obligatoire uniquement lorsque le client en fait la demande (article L441-6 du Code de commerce).

Quelles informations un vendeur en ligne doit-il apporter avant une commande ?

Chaque page produit doit indiquer :

• la nature du produit ou du service : dénomination, composants, dimensions, poids, quantité, couleur, particularités... ;
• la zone géographique de couverture de l'offre ;
• la zone géographique de livraison ;
• le prix du produit, donné en euros, toutes taxes comprises (TTC), avant l'achat. Les frais de livraison doivent être inclus dans le prix de vente ou indiqués en supplément ;
• si un algorithme est entré en compte dans la détermination du prix (depuis le 28 mai 2022) ;
• les modalités de paiement du prix ;
• la durée de l'offre et la disponibilité du bien ou du service au moment de la passation de la commande ;
• les modes et conseils d'utilisation ou de précaution ;
• les modes de livraison : livraison d'un bien par envoi postal ou via un moyen de transport, livraison / exécution du service en temps réel ou en différé ;
• les garanties et service après-vente ;
• la durée du contrat lorsqu'il porte sur la fourniture durable ou périodique d'un bien ou d'un service.

La commande doit ensuite s'effectuer en 3 étapes :

1. Le client visualise le détail de la commande et son prix total (incluant les frais de livraison ou d'installation).
2. Une fois son choix effectué, le client ne doit pas passer immédiatement au paiement. Il doit avoir la possibilité de corriger les éventuelles erreurs commises dans la passation de sa commande : quantité, taille, couleur...
3. Une fois ses erreurs corrigées, le client doit enfin valider et confirmer sa commande, avant de passer au paiement.

Dans certains cas, le client va bénéficier d'un droit de rétractation de 14 jours (prolongé de 12 mois si le client n'a pas été informé de son existence).

A quelles conditions un site de ecommerce peut-il envoyer des emails ?

L'envoi d'emails est strictement réglementé dans le but d'éviter la prolifération des emails non sollicités (spams).

Lorsque le destinataire de l'email est un particulier, la règlementation est la suivante :

• le particulier est un simple prospect : il doit avoir donné son accord préalable pour recevoir des emails et doit pouvoir se désinscrire ;
• le particulier est déjà client de l'entreprise de ecommerce : il peut se voir adresser des emails sans avoir donné son accord, à condition qu'il ait déjà acheté des biens ou des services analogues à ceux faisant l'objet de la prospection.

Lorsque le destinataire de l'email est un autre professionnel, il peut se voir adresser des emails sans avoir donné son accord, à condition que la sollicitation soit en rapport avec sa profession.

Dans tous les cas, les emails commerciaux ou publicitaires :

• doivent mentionner un objet en rapport avec le ou les services proposés ;
• doivent fournir l'identité de la personne pour le compte de laquelle l'email est émis ;
• ne doivent pas intégrer des éléments protégés par le droit d'auteur ou par le droit des marques sans autorisation expresse de leurs propriétaires ;
• doivent fournir des coordonnées valables permettant au destinataire de demander à ne plus être contacté ;
• doivent comporter un lien de désinscription.

Quelles obligations le RGPD impose-t-il aux sites de ecommerce ?

Tenir un registre de traitement des données

L'exploitant d'un site de ecommerce doit tenir un registre des traitements qui indique les informations relatives aux données traitées, en précisant le lieu, la manière et les raisons de ces traitements.

Ce document doit mentionner :

• le nom et les coordonnées du responsable du traitement des données
• les finalités dudit traitement (relation commerciale, gestion RH…)
• le type de données personnelles traitées (nom, adresse postale, email, genre, âge…)
• les catégories de personnes concernées (clients, salariés, candidats à l'embauche)
• les personnes, internes ou externes, amenées à gérer ces données
• le parcours des flux de données en cas de transferts hors de l'Union européenne
• les délais prévus pour l'effacement des données
• une description des mesures de sécurité techniques et organisationnelles prises pour en assurer leur protection

Un modèle de registre et des indications pour le compléter ont été mis en ligne par la CNIL.

C'est le registre des traitements qui permet de prouver la conformité du site de ecommerce en cas de contrôle de la CNIL.

Affichage d'une politique de confidentialité des données

Les internautes doivent savoir ce que le site de ecommerce fait de leurs données. La mise en conformité RGPD passe par cette transparence totale au sujet des informations récoltées.

Il est conseillé de rédiger une page dédiée relative à la Politique de protection de la vie privée ou d'afficher ses informations dans les Conditions Générales de Vente.

La politique de confidentialité des données doit préciser :

• la finalité de la collecte des données (par exemple, pour gérer les achats effectués par des clients),
• son fondement juridique (par exemple, l'exécution d'un contrat ou l'intérêt légitime du site de ecommerce),
• sa durée de conservation (par exemple, 5 ans après la fin de la relation contractuelle),
• ses destinataires éventuels (par exemple, le web-développeur),
• les modalités d'exercice des différents droits dont disposent les clients : droit de rectification des données, droit à l'oubli, droit au refus du profilage (par exemple, via leur espace personnel sur le site de ecommerce, par un message sur une adresse e-mail dédiée, par un courrier postal à un service identifié).

Affichage d'un bandeau de consentement des cookies

En présence de cookies (exemple : cookie de Google analytics), la CNIL conseille de faire apparaître un bandeau d'information préalable sollicitant le consentement du visiteur.

Le bandeau ne doit pas disparaître tant que le visiteur n'a pas poursuivi sa navigation, c'est-à-dire tant qu'il ne s'est pas rendu sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton « rechercher »). Ce consentement est valable pour une durée de 13 mois.

Obtention du consentement explicite des internautes

L'inscription à une newsletter ou la création d'un compte sur un site de ecommerce nécessite le consentement du visiteur.

Il n'y a pas de consentement en cas de silence, de case cochée par défaut ou d'inactivité. Le consentement doit s'exprimer par un acte positif clair, par exemple en cochant une case (les cases à cocher précochées sont interdites). En outre, une personne qui a accepté que ses données soient collectées doit pouvoir retirer son consentement aussi aisément qu'elle l'a donné.

En ce qui concerne les mineurs de moins de 16 ans, le consentement doit être recueilli auprès du titulaire de l'autorité parentale. L'information doit être rédigée en des termes clairs et simples, que l'enfant peut aisément comprendre. Devenu adulte, son consentement doit pouvoir être retiré et les données effacées.

Possibilité de supprimer les données personnelles

Le visiteur doit avoir la possibilité de supprimer ses données personnelles.

Dans cet objectif, le site de ecommerce doit :

• soit comprendre un bouton permettant aux visiteurs de supprimer automatiquement leurs données personnelles,
• soit mettre en place un formulaire dédié, idéalement dans la page dédiée à la politique de protection de la vie privée.

Une fois la demande effectuée, le site de ecommerce dispose de 1 mois pour supprimer les données. Attention, la suppression des données d'un client n'est pas possible tant que sa commande est en cours de traitement. Dans ce cas, il faut aussi tenir compte du délai de rétractation de 14 jours.

La demande de suppression des données personnelles n'impose pas la suppression des factures (➡️ télécharger le guide) et autres documents comptables relatifs à ses achats, pour lesquels une obligation légale de conservation de 10 ans existe.

Les données personnelles du visiteur doivent également être supprimées des services tiers, notamment ceux permettant l'envoi d'une newsletter tel que mailjet ou sendinblue.

Le site de ecommerce n'a pas la possibilité de refuser la demande du visiteur. Mais plutôt que de supprimer les données purement et simplement, il est possible de les anonymiser. Cette option permet de ne pas remettre en cause les tests et les analyses statistiques en cours.

Les données d'un visiteur qui crée un compte mais ne passe pas commande doivent être supprimées au bout de 1 an.

Supprimer les données personnelles

Le visiteur doit indiquer précisément les données personnelles qu'il souhaite supprimer car une demande de suppression n'implique pas obligatoirement la suppression pure et simple de toutes les données le concernant. Ainsi, une demande de suppression d'une photo n'impose pas l'effacement du compte créé par le visiteur.

En cas de doute sur l'identité du visiteur, le site de ecommerce a la possibilité de demander la communication de tout document permettant de prouver son identité, par exemple pour éviter les usurpations d'identité.

Anonymiser les données personnelles

Des données sont considérées comme anonymes lorsque la personne concernée n'est plus identifiable, de manière irréversible et par quelque moyen que ce soit, c'est-à-dire qu'aucune donnée ou ensemble de données ne permet de remonter à son identité.

Le site de ecommerce ne peut donc pas se contenter d'anonymiser le nom et le prénom du visiteur, il doit également veiller à ce qu'aucune autre information ne permette de remonter jusqu'à lui (adresse e-mail, adresse postale…).

Limitation des données collectées

Un site de ecommerce doit désormais se contenter de collecter les données strictement nécessaires à l'objectif poursuivi. Par exemple, l'adresse postale d'un internaute n'est pas nécessaire pour s'inscrire à la newsletter du site de ecommerce.

L'ancien texte prévoyait simplement que les données collectées ne devaient pas être excessives.

Protection des données collectées

Un site de ecommerce doit prévoir des mesures de sécurité pour éviter le vol ou la perte des données.

Le site de ecommerce doit être en HTTPS et toutes les communications vers des services tiers doivent se faire de façon sécurisée (HTTPS, FTPS).

Un guide a été publié par la CNIL pour aider les sites de ecommerce à déterminer les mesures à prendre.

Un site de ecommerce doit-il respecter le droit d'auteur et le droit à l'image ?

Textes

Il est interdit à un site de commerce de reprendre un contenu à son propre compte, à moins d’avoir obtenu l’autorisation de l’auteur et de citer ses sources.

Il est toutefois possible d’insérer de courtes citations, dès lors qu’elles se justifient par le caractère critique, polémique, pédagogique, scientifique ou informatif du texte auquel elles sont incorporées. Le nom de l’auteur (et le cas échéant de l’éditeur) doivent être indiqués clairement.

Le droit d’auteur s’applique dès la création d’un texte, même s’il n’est pas signé et sans qu’il soit nécessaire de procéder à des formalités.

Images

Les images, photographies et icônes sont protégés par le droit d’auteur, sans nécessité d'accomplissement de formalités (dépôt ou enregistrement).

Leur reproduction suppose une autorisation de l’auteur ou de l’agence de presse titulaire des droits. De plus, il est obligatoire de mentionner le nom de l’auteur sous la photo (crédit photographique).