RGPD ecommerce pour Magento, Prestashop ou WooCommerce

25 mai 2018 : entrée en application de la loi RGPD(1) impliquant une mise en conformité RGPD ecommerce pour la gestion et la protection des données des utilisateurs résidant de l’UE.

Découvrez le focus fonctionnel et technique avec les solutions ecommerce Magento, Prestashop ou encore WooCommerce à propos de la RGPD.

Les points clés de la RGPD pour le ecommerce

La petite notification d’acceptation des cookies ne suffit plus ! Vous devez intégrer les fonctionnalités ci-dessous si votre site ecommerce contient des données personnelles d’un résidant européen. Cela s’applique également si votre plateforme ecommerce est en dehors de l’UE.

En cas de non respect de la réglementation, vous risquez une pénalité jusqu’à 4% de votre chiffre d’affaires !

Eclairez les utilisateurs de manière transparente avec des mots compréhensibles (attention au charabia juridique des avocats) sur la gestion de leurs données dans une page dédiée telle que « Politique en matière de données personnelles » :

  • Qui vous êtes et comment vous vous conformez avec la RGPD
  • Quelles sont les données que vous conservez. Exemple de données personnelles : nom, prénom, adresses, email, téléphone, âge, sexe, date de naissance, commandes, commentaires. Mais aussi : adresse IP, cookies, types d’appareils, données de tracking, durées de visites, segmentations, etc.
  • Comment sont traités les données et dans quels buts (marketing, comptabilité,  rapports de ventes, UX, etc)
  • Qui a accès aux données personnelles (vous, SalesForce, Google, Facebook, MailChimp, etc)
  • Où sont-elles localisées (Europe, Hors Europe) qui sont les services tiers
  • Combien de temps sont elles gardées

Utilisateurs : davantage de contrôle sur leurs données privées

  1. Droit à l’effacement : mise à disposition d’une fonctionnalité de consultation et d’effacement des données à caractère personnel concernant l’utilisateur (téléchargement et/ou suppression du compte et des données). Délais maximum d’un mois pour répondre à cette demande.
  2. Droit à la portabilité des données personnelles : mise à disposition d’une fonctionnalité pour recevoir les données à caractère personnel (dans un format structuré, couramment utilisé et humainement lisible). Plusieurs formats d’échanges de données EDI peuvent être envisagés, cf. EdiFact.
  3. Profilage : mise à disposition d’une fonctionnalité d’ajustement du profilage (gestion des préférences marketing, cookies, segmentation). Toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative.

Le droit à la rectification est possible nativement dans l’espace client des solutions ecommerce. Incluez-le dans vos CGU.

Marchands

  1. Informations :  expliquez comment vous traitez les données. Mettez en place place une documentation interne complète où se trouvent les données et vérifier si les services tiers sont conformes avec RGPD.
  2. Opt-ins : désactivez les tous ! Jamais de cases cochées par défaut.
  3. Sécurité : mise en place de la protection des données dès la conception (sécurité par défaut) avec notamment l’anonymisation des données en base de données (chiffrement en base de toutes les données nominatives).
  4. Notifications en cas de fuite de données : vous êtes tenus de notifier dès que possible l’autorité nationale de protection (CNIL) en cas de violations graves de données dans les 72h.
  5. Privacy by design/by default : en fonction de votre activité, vous ne pouvez pas demander des informations personnelles non relatives à votre business. Restez dans votre cadre minimum légal (Ex. demander la date de naissance pour un site marchand de fleuriste mais pas pour un vendeur de chaussure).
  6. Nomination d’un DPO (Data Protection Officer) = Délégué à la protection des données pour les sites ecommerce réalisant un traitement systématique et répété des données (les gros sites).

Vous ne pouvez plus :

  1. Envoyer des emails non sollicités à qui que ce soit. Oubliez les listes achetées ou  listes de fusion de différentes sociétés.
  2. Envoyer d’e-mails automatiques à partir de paniers abandonnés offrant des remises, sauf si le client a choisi de recevoir par e-mail des remises commerciales.

RGPD ecommerce Magento

Magento 1 et Magento 2 ne sont pas prêts pour la conformité RGPD. L’éditeur communique de manière générale sur la protection des données mais n’indique pas de feuille de route pour une implémentation native. C’est assez surprenant vu qu’il est leader avec sa solution ecommerce open-source. Voici un extrait de la communication sur l’aspect technologie de Magento, assez déroutant :

Les produits Magento ont une architecture robuste et des fonctionnalités de sécurité intégrées dans leurs coeurs, donc pas de modifications majeures nécessaires pour permettre la conformité des commerçants. Nous travaillons en étroite collaboration avec des experts juridiques et d’ingénierie pour évaluer nos produits afin de mieux aider les clients à identifier quelles données personnelles sont stockées et où ces données résident dans un effort de conformité aux demandes de transparence ou de suppression de données liées au GDPR.

Du côté de Magento Marketplace ? Quelques extensions pour M1 et M2 sont disponibles pour palier de manière spartiate les fonctionnalités natives absentes. Fonctionnalités :

  • Suppression de compte (pas trouvé de téléchargement de données)
  • Anonymisation

A suivre.

RGPD ecommerce Prestashop

L’éditeur semble en retard pour livrer une réponse technique native ou via des module. En avril 2018, il n’y avait toujours pas d’implémentation native de la RGPD pour la solution ecommerce Prestashop ! Elles sont annoncées courant mai, en modules payants pour Prestashop 1.6 et gratuit pour la version 1.7. Ces nouvelles fonctionnalités permettront aux utilisateurs de la solution PrestaShop de :

  • Faciliter l’obtention du consentement des clients par le choix de la mise en place de case(s) à cocher relative au consentement sur les formulaires de collecte où vous souhaitez en faire apparaître ;
  • Faciliter la gestion de la mise en œuvre des demandes relatives aux droits de vos clients, en particulier au regard de leur droit à l’effacement ; et
  • Aménager des preuves de l’exercice effectif du droit d’accès et de la gestion du consentement de vos clients relativement à l’envoi de votre emailing marketing (newsletter) : un journal permettra de recenser l’ensemble des actions de ces derniers sur ces points.

Concernant les clients, le module permettra à ces derniers de gérer directement, via leur compte, l’accès à leurs données à caractère personnel et la portabilité de ces dernières.

Un livre blanc général sur la RGPD est disponible en téléchargement, après avoir donné quelques renseignements personnels…

Il existe quelques modules mais le conseil est d’attendre la solution éditeur qui doit sortir entre le 10 et 20 mai 2018.

RGPD ecommerce WooCommerce (WordPress)

WooCommerce est la brique ecommerce de WordPress. Rappelons que WordPress représente 30% des sites internet ! WooCommerce fournit quelques recommandations mais ne prévoit pas d’implémentation native. Rappel des fonctionnalités dont un site WordPress standard peut collecter des données utilisateur :

  • les inscriptions d’utilisateurs
  • commentaires
  • entrées de formulaire de contact (plugins)
  • analyses et solutions de journaux de trafic
  • tous les autres outils de journalisation et plugins
  • outils de sécurité et plugins.

Le seul plugin actuel intégrant le plus grand nombre de fonctionnalités pour la GRPD est  WP-GDPR (WordPress, Plugins: Gravity Forms, Contact Form DB7, WooCommerce).

 

 

(1) RGPD
Règlement Général sur la Protection des Données constitue le texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Pour en savoir plus sur la RGPD veuillez consulter le règlement sur le Journal Officiel européen
Design
Icon empreinte de doigt réalisé par Alexander Simone et ajouté au drapeau européen par mes soins.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

* * Cette case à cocher est obligatoire

*

J'accepte