Comment le RGPD vous affecte-t-il ?

Le Règlement général sur la protection des données (RGPD) concerne tous les marchands Shopify basés en Europe ou desservant des clients européens. Bien que Shopify mette tout en œuvre pour respecter le RGPD et permettre à ses marchands de s'y conformer dès le 25 mai 2018, il est important de noter que le RGPD exigera également que vous agissiez indépendamment de la plateforme Shopify.

Shopify souhaite donner aux marchands les moyens de se conformer à la loi du mieux possible. Cet article contient des questions que nous vous recommandons de prendre en compte pour vous aider à évaluer vos obligations et veiller à ce que votre boutique soit configurée dans le respect de la loi.

Cela dit, il ne tient pas lieu d'avis juridique. Le RGPD est une réglementation compliquée, qui s'appliquera différemment aux différents marchands. Nous vous conseillons de consulter un avocat pour savoir ce que vous devez faire précisément.

Pour en savoir plus sur le traitement des demandes de données, consultez la section Traitement des demandes de données RGPD.

Pourquoi n'est-il pas possible que Shopify gère la conformité au RGPD pour les marchands ?

Le RGPD impose des obligations différentes aux contrôleurs et aux préposés au traitement des données. En tant que préposé au traitement des données, Shopify remplit ses propres obligations légales dans le cadre du RGPD. Cependant, les marchands (en tant que contrôleurs) ont également les leurs, qui sont distinctes et qu'ils doivent prendre en considération.

Shopify fournit aux marchands une plateforme qu'il est possible de configurer pour se conformer au RGPD, mais vous devez vous demander comment vous souhaitez gérer votre entreprise.

Pour fournir plus d'informations, les régulateurs suivants au sein de l'Union européenne ont fourni des directives spécifiques relatives au RGPD :

Collecte de données personnelles

Le RGPD protège les droits fondamentaux des individus au sein de l'Union européenne par rapport au traitement des données personnelles.

Exemples de données personnelles :

  • Nom
  • Adresse
  • Adresse e-mail
  • Compte de média social
  • Identifiant numérique, tel qu'une adresse IP ou un identifiant de cookie

Pensez aux questions suivantes :

  • Recueillez-vous les données personnelles de clients en Europe ? La plupart des sites web sont accessibles aux résidents européens et relèvent donc du RGPD.
  • Si votre boutique utilise des applications ou des thèmes tiers, collecte-t-elle et traite-t-elle les données conformément au RGPD ? Pour simplifier ce processus, Shopify exige que toutes les applications publient une politique de confidentialité détaillant leurs pratiques de traitement des données, afin que vous puissiez évaluer si vous êtes à l'aise avec les pratiques en termes de données de cette application. Les applications développées par Shopify relèvent de l'addendum sur le traitement des données, et Shopify est responsable de leur conformité.
  • Les canaux ou les passerelles de paiement que vous utilisez collectent-ils et traitent-ils les données conformément au RGPD ? Il est conseillé d'effectuer un suivi pour vous en assurer.
  • Avez-vous une liste de tous les types de données personnelles que vous collectez auprès de vos clients et toutes les manières dont vous utilisez ces données ? L'article 30 du RGPD vous oblige à maintenir à jour vos pratiques de données.

Avis de confidentialité

Le RGPD (et en particulier les Articles 12 à 14) exige que vous fournissiez des informations spécifiques aux personnes dont vous traitez les données, généralement sous la forme d'un avis ou d'une politique de confidentialité.

Vous pouvez utiliser le générateur de politique de confidentialité (en anglais) de Shopify pour vous aider à démarrer. Vous pouvez le trouver dans vos paramètres sous Passage à la caisse ou en ligne.

Pensez à la question suivante :

  • Avez-vous une politique de confidentialité sur votre site qui inclut toutes les informations que vous devez fournir en vertu du règlement ? Au minimum, inclut-elle la façon dont les clients peuvent vous contacter sur les questions de confidentialité et la façon dont les clients peuvent exercer leurs droits, par exemple les droits d'effacement (suppression) ou de rectification (modification ou correction) de leurs données et le droit d'accès ?
  • Votre politique de confidentialité inclut-elle la façon dont Shopify peut utiliser les données personnelles de vos clients pour la notation automatisée des risques et des fraudes ? Le RGPD vous oblige à divulguer lorsque vous (ou vos fournisseurs de services) utilisez leurs informations en rapport avec une prise de décision automatisée. Shopify utilise les informations personnelles de vos clients pour bloquer certaines transactions qui semblent frauduleuses grâce à la prise de décision automatisée. Le générateur de politique de confidentialité de Shopify inclut cette information. Pour plus d'informations sur ce système, voir Prise de décision automatisée.

Nommer un délégué à la protection des données

Un délégué à la protection des données (DPD) supervise la manière dont votre organisation collecte et traite les données personnelles. Si les activités de base de votre entreprise comprennent un suivi en ligne à grande échelle, le RGPD exige que vous nommiez un DPD et indiquiez ses coordonnées dans votre politique de confidentialité.

Le RGPD comprend des tâches spécifiques qu'un DPD doit effectuer, telles que la réalisation d'évaluations d'impact de protection des données lorsque votre organisation change la manière dont elle collecte et traite les données personnelles. Le délégué à la protection des données peut être une personne interne, qui possède une expertise du RGPD et les exigences de protection des données, mais vous pouvez également envisager de travailler avec un consultant ou une firme pour tenir lieu de DPD externe.

Pensez aux questions suivantes :

  • Combien de personnes sont affectées par les technologies de suivi de votre vitrine ? Celles-ci peuvent inclure des applications publicitaires comportementales ou même des applications de reciblage. Que le nombre de personnes touchées soit important ou non est une décision juridique, et selon votre situation, il peut être conseillé de consulter un avocat.
  • Devriez-vous nommer volontairement un DPD ? Même si vous n'êtes pas légalement tenu(e) de nommer un DPD, si votre présence en Europe est suffisamment importante, vous pouvez le faire volontairement pour vous assurer que vous protégez adéquatement les données de vos clients.

Accords de traitement de données

En tant que contrôleur de données en vertu du RGPD, l'Article 28 stipule que lorsque vous engagez un processeur de données (comme Shopify) pour traiter les données de vos clients, vous imposez des exigences contractuelles strictes sur la façon dont ils peuvent utiliser et traiter ces données. Cela est généralement effectué via un addendum sur le traitement des données, ou ATD.

Shopify a automatiquement incorporé un accord de traitement de données (https://www.shopify.com/legal/dpa) à ses conditions de service, qui est conçu pour répondre aux exigences de l'Article 28.

Pour les marchands Shopify Plus, leurs contrats négociés régiront leur relation avec Shopify. Les marchands Plus peuvent signer un addendum sur le traitement des données pour répondre à leurs besoins. Les marchands Shopify Plus qui ne signent pas d'addendum sur le traitement des données seront régis par l'addendum sur le traitement des données en ligne de Shopify.

Pensez aux questions suivantes :

  • Les autres processeurs de données avec lesquels vous travaillez en dehors de Shopify s'engagent-ils contractuellement à protéger les données de vos clients ? De nombreuses applications tierces, canaux, passerelles de paiement ou autres processeurs de données intègrent automatiquement un accord de traitement de données à leurs conditions générales. Avez-vous consulté chacune de ces parties tierces ?

  • Êtes-vous un marchand Plus avec un contrat négocié ? Si vous souhaitez signer un addendum sur le traitement des données, adressez-vous à votre gestionnaire de succès commercial. Ils peuvent vous fournir le modèle d'ATD de Shopify à signer.

Le consentement du client

En vertu du RGPD, vous devrez peut-être obtenir le consentement de vos clients pour traiter leurs données personnelles ou modifier la façon dont vous obtenez actuellement ce consentement.

Par exemple, vous devrez peut-être obtenir le consentement de vos clients si vous leur envoyez des messages marketing ou si vous utilisez des applications de publicité en ligne ou de reciblage.

Lorsque vous devez obtenir un consentement, le RGPD stipule qu'il doit être :

  • Librement donné : il doit être entièrement volontaire et ne doit pas être associé à d'autres biens ou services.
  • Spécifique : il doit être lié à des cas d'utilisation clairement expliqués.
  • Informé : il ne peut être transmis que si la personne concernée dispose d'informations suffisantes sur les données personnelles qui seront collectées et utilisées.
  • Univoque : elle doit être démontrée par un acte affirmatif du marchand (c'est-à-dire, pas simplement en continuant à utiliser les services).

Cela signifie que le consommateur doit recevoir des informations détaillées sur le cas d'utilisation particulier, et que le consommateur doit prendre des mesures positives pour indiquer son consentement.

Enfin, si vous offrez à vos clients la possibilité de donner leur consentement, le RGPD stipule également que vos clients puissent retirer leur consentement. Cela peut souvent être accompli via une fonctionnalité de désabonnement. Si vous avez des questions sur le moment et le mode d'obtention du consentement pour la collecte de données personnelles, ou sur la mesure dans laquelle vos clients devraient être autorisés à retirer leur consentement, il est conseillé de consulter un avocat connaissant les lois sur la protection des données.

Cependant, le consentement ne constitue que l'une des nombreuses bases juridiques du RGPD, qui peuvent justifier le traitement des données personnelles. Vous pouvez également traiter des données personnelles pour répondre à des exigences contractuelles ou si la loi vous oblige à traiter des données.

Certains régulateurs européens ont suggéré que si vous demandez d'abord le consentement et que votre client refuse ou accepte, mais retire ensuite son consentement, vous ne pourrez plus vous fier à aucune autre base légale pour traiter les données personnelles. Par conséquent, vous ne devez vous fier au consentement que lorsque vous n'avez pas l'intention (ou le besoin) de vous appuyer sur une autre base légale pour traiter les données personnelles.

Pensez aux questions suivantes :

  • Pour chaque manière différente d'utiliser ou de traiter les données de vos clients, quelle est la base légale pour le faire ? Effectuez-vous les traitements en fonction de leur consentement ? Effectuez-vous des traitements pour remplir une obligation contractuelle envers le client ? Effectuez-vous des traitements pour faire avancer vos intérêts commerciaux légitimes ? Vous devez enregistrer la base légale dans le cadre de la définition de vos pratiques en matière de données, décrite sous Collecte des données personnelles.
  • Lorsque vous vous fiez au consentement, le consentement que vous recevez est-il lié aux produits ou services que vous offrez ? Par exemple, des déclarations telles que by purchasing these goods, you agree to our use of your personal information peuvent ne plus autorisées en vertu du RGPD.
  • Fournissez-vous suffisamment de détails sur la façon dont vous allez utiliser les données personnelles en question pour vous assurer que le consentement du client est informé ?
  • Le consentement du client est-il enregistré et conservé quelque part ?
  • Avez-vous besoin d'un consentement pour envoyer des communications marketing à vos clients ? Même si vous n'avez pas besoin de consentement en vertu du RGPD, les lois locales peuvent ou non vous obliger à obtenir le consentement pour envoyer des communications de marketing à vos clients. Parlez avec un avocat des exigences spécifiques qui pourraient s'appliquer à votre boutique.
  • Si vous pensez avoir besoin d'un consentement pour envoyer des communications marketing, la case à cocher pour le consentement marketing pour votre boutique est-elle désactivée par défaut ? Envisagez de configurer votre vitrine de manière à ce que la case à cocher de consentement au marketing présentée aux clients ne soit pas pré-cochée par défaut pour garantir que vos clients doivent agir de manière affirmative pour fournir leur consentement.

Consentement parental

Le RGPD inclut des exigences spécifiques de consentement parental pour le traitement des données personnelles des utilisateurs de moins de 16 ans (bien que cette limite puisse être abaissée dans certains pays).

Pensez à la question suivante :

  • Avez-vous besoin de modifier la manière dont vous traitez les données de vos clients pour interrompre le traitement des données de ces utilisateurs de moins de 16 ans ou obtenir le consentement des parents ? Vous pouvez le faire en interdisant aux utilisateurs de moins de 16 ans d'accéder à votre site au moyen d'une application de vérification de l'âge de l'App Store de Shopify ou en demandant aux visiteurs de confirmer qu'ils ont atteint l'âge de la majorité.

Prise de décision automatisée

Le RGPD vous oblige à informer les clients si vous utilisez leurs informations personnelles pour prendre part à toute prise de décision automatisée.

La prise de décision automatisée consiste à utiliser des algorithmes automatiques pour décider si une personne peut bénéficier de certains services ou de certaines offres, se voir facturer un prix donné ou probablement s'intéresser à certains types de biens ou de services.

Si vous utilisez des processus qui incluent une prise de décision entièrement automatisée (c'est-à-dire sans intervention humaine), qui aura un effet juridique significatif sur le client, vous avez besoin du consentement du client.

Processus Exigence
Prise de décision automatisée Notification
Prise de décision entièrement automatisée avec un effet important sur le plan légal. Consentement

En général, Shopify ne traite pas les données personnelles de vos clients en fonction de décisions entièrement automatisées.

La seule exception est le filtrage des risques et des fraudes de Shopify, où Shopify peut bloquer automatiquement un numéro de carte de paiement ou une adresse IP après un certain nombre de tentatives infructueuses de paiement. Shopify ne croit pas que cela ait un effet juridique important sur les clients, car le blocage automatique ne dure qu'une courte période de temps.

Pensez aux questions suivantes :

  • Avez-vous inclus dans votre politique de confidentialité que le dépistage des risques et des fraudes de Shopify pourrait utiliser les informations personnelles des clients pour prendre des décisions automatisées ? Vous pouvez en savoir plus sur les pratiques décisionnelles automatisées de Shopify à la section 13 de la politique de confidentialité. Vous devriez également prendre conseil auprès d'un avocat en fonction de votre situation particulière pour vous assurer que ce service n'a pas d'effet juridique important pour vos clients.
  • Utilisez-vous des applications tierces susceptibles d'être impliquées dans la prise de décision automatisée ? Vous devez accorder une attention particulière à l'examen de tout service tiers de protection contre les risques ou les fraudes que vous utilisez en lien avec votre vitrine, ou de tout autre type d'application marketing ou publicitaire qui pourrait créer des profils ou cibler des segments de vos clients.
  • Si vous utilisez des applications tierces utilisant la prise de décision automatisée, devez-vous informer vos clients ou obtenir leur consentement pour utiliser ces applications ?

Notification de violation de données

Si le RGPD s'applique à votre situation et que vous subissez une violation de vos données, vous devrez peut-être avertir les utilisateurs concernés ou des organismes de réglementation spécifiques.

En particulier, le RGPD impose un préavis lorsqu'une violation de données est susceptible de créer un risque élevé d'atteinte aux droits et libertés des individus.

Cette situation pourrait se présenter si les informations ayant été violées :

  • incluent des détails de paiement ;
  • peuvent être utilisées pour révéler des informations embarrassantes ou personnelles ;
  • peuvent être utilisées pour accéder aux comptes ou services d'un individu.

Le cas échéant, vous devez fournir un avis aussi rapidement que 72 heures après avoir pris connaissance de la violation.

Pensez aux questions suivantes :

  • Avez-vous consulté un avocat pour déterminer quelles sont, parmi les informations que vous recueillez et traitez, celles qui peuvent vous obliger à aviser vos clients en cas de violation ?
  • Votre entreprise dispose-t-elle d'un plan d'intervention en cas de violation de données, afin de vous préparer à l'éventualité d'un tel incident ?

Applications tierces

Le RGPD exige que vous preniez un certain nombre de mesures positives relatives à la collecte et à l'utilisation des données personnelles par vous et vos fournisseurs tiers. Cela inclut Shopify, mais également toutes les applications tierces que vous pourriez utiliser dans le cadre de votre boutique Shopify.

Shopify a pris des mesures pour vous aider à mieux comprendre quelles sont les données personnelles auxquelles les applications que vous installez ont accès.

Pour consulter les données personnelles auxquelles vos applications ont accès, procédez comme suit :

  1. Depuis votre interface administrateur de Shopify, cliquez sur Applications.

  2. Cliquez sur Afficher les détails dans l'application dont vous souhaitez consulter les autorisations.

Vous pouvez également examiner les autorisations de l'application avant d'installer celle-ci, sur l'écran d'installation de l'App Store.

En outre, une section de l'App Store permet à chaque application d'établir un lien vers une politique de confidentialité qui décrit plus en détail les données précises recueillies par les développeurs d'applications et la façon dont ils les utilisent.

Bien que Shopify souhaite vous permettre d'évaluer le plus facilement possible les pratiques en matière de données des applications que vous choisissez d'installer, il vous appartient de vous assurer que votre utilisation d'applications tierces est conforme au RGPD.

Pensez à la question suivante :

  • D'après votre emplacement géographique, celui de vos clients, celui des développeurs de vos applications et selon l'implémentation de chaque application, utilisez-vous des applications tierces d'une manière conforme au RGPD ? Consultez un avocat si vous vous demandez si les pratiques d'une application particulière en matière de données nécessitent une étude supplémentaire ou un travail de votre part pour respecter le RGPD.

Transferts internationaux de données

Le RGPD interdit l'exportation des données personnelles des Européens en dehors de l'Europe, sauf si ces informations sont protégées de manière adéquate.

Shopify protège les données personnelles conformément aux exigences du RGPD lors de leur transfert et de leur traitement aux États-Unis et au Canada.

Shopify a mis en place ses flux de données de manière à respecter ces obligations pour les marchands. Comme le stipule la section 12 de la Politique de confidentialité de Shopify, toutes les données personnelles européennes sont initialement reçues par les marchands et traitées en Irlande par Shopify International Ltd., une filiale irlandaise de Shopify. Shopify transfère ensuite ces données conformément au RGPD :

Transferts internationaux de données RGPD

Pour en savoir plus sur la façon dont les données personnelles en provenance de l'Espace économique européen (EEE) sont reçues et traitées par Shopify conformément aux normes du RGPD et aux meilleures pratiques en matière de sécurité de l'information, consultez le livre blanc de Shopify sur le RGPD.

Pensez à la question suivante :

Avez-vous veillé à ce que les autres parties auxquelles vous transmettez des données transfèrent celles-ci hors de leurs frontières d'une manière conforme au RGPD ? Vous pouvez le faire en consultant les politiques de confidentialité de vos applications, canaux, passerelles de paiement ou autres fournisseurs tiers, pour voir s'ils expliquent comment ils protègent les données européennes.

Télécharger le livre blanc de Shopify sur le RGPD (en anglais)

Pour en savoir plus sur les mesures prises par Shopify pour se conformer au RGPD en vue de son entrée en vigueur le 25 mai, et pour vous assurer que vous serez en mesure de le respecter dans votre utilisation de Shopify, téléchargez le livre blanc de Shopify sur le RGPD (en anglais).

Prêt(e) à commencer à vendre avec Shopify ?

Essayez gratuitement