RGPD: commerçant, comment s’y conformer?
RGPD: commerçant, comment s’y conformer?

RGPD: commerçant, comment s’y conformer?

Commerçant, e-commerçant, comme toutes les entreprises vous détenez et entretenez des fichiers clients, fournisseurs, employés… Ils contiennent des données permettant d’identifier des personnes physiques : ce sont des données dites personnelles et vous êtes donc concernés par le Règlement Général Européen sur la Protection des Données (RGPD) qui est entré en vigueur le 25 mai.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • qu’elle est établie sur le territoire de l’Union européenne ;
  • que son activité cible directement des résidents européens.

Ainsi, même une société établie en France qui exporte l’ensemble de ses produits en dehors de l’Union européenne doit respecter le RGPD.

En France, la CNIL propose un guide de sensibilisation au RGPD pour les petites et moyennes entreprises


Les actions à mener pour être en règle

Avec le RGPD, toute entreprise doit accomplir 4 actions principales :

  • Recenser ses fichiers ;
  • Faire le tri dans ses données ;
  • Respecter les droits des personnes (accès, rectification, opposition…) ;
  • Sécuriser les données.

Les 6 bons réflexes de la protection des données personnelles

Dans son Guide, la CNIL énumère les bons réflexes:

1.Ne collectez que les données vraiment nécessaires.
Posez-vous les bonnes questions : Quel est mon objectif ?
Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ?
Est-ce pertinent ? Les personnes concernées sont-elles d’accord ?

2.Soyez transparent
Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.

  1. Pensez aux droits des personnes
    Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données.
  2. Gardez la maîtrise de vos données
    Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, afin de leur assurer une protection à tout moment.
  3. Identifiez les risques
    Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.
  4. Sécurisez vos données
    Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident.

Désigner un responsable de la donnée

Au sein de votre commerce, qui s’occupe du recueil et du traitement des fichiers clients, fournisseurs, prospects, et a donc accès aux données ? Est-ce vous-même, un associé, un vendeur ou une vendeuse, un webmaster externe ? Vous devez vous poser ces questions et dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données. Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers. Dans les autres cas, la désignation d’un délégué est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.

Ouvrir et tenir à jour un registre d'activité des traitements

Ce registre des vos traitements sera la « bible » de votre conformité au RGPD.

Il vous permettra d’avoir une vision d’ensemble sur vos traitements de données personnelles. Une fiche créée pour chaque activité recensée indiquera :

  • l’objectif poursuivi (la finalité – exemple : la fidélisation client) ;
  • les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
  • qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
  • la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le registre des traitements doit être tenu à jour sous forme écrite, papier ou électronique, et doit pouvoir être produit en cas de contrôle (article 30 du RGPD).

E-commerce : le guide pour tout comprendre