Atlas Studio

ATLAS
studio

Comprendre et rédiger la politique de confidentialité de ton e-commerce

Sommaire
Chaque semaine reçois une astuce pour développer ton e-commerce !
Dans un monde de plus en plus connecté, où les transactions en ligne se multiplient, la protection des données personnelles est devenue un enjeu majeur pour les e-commerces. Que ce soit pour répondre aux exigences légales, rassurer les clients ou encore préserver la réputation de l’entreprise, il est indispensable de mettre en place une politique de confidentialité solide et transparente. Cet article vous guidera à travers les différentes étapes pour comprendre l’importance de cette démarche et vous aidera à rédiger une politique de confidentialité efficace et conforme aux régulations en vigueur.

L’importance pour les e-commerce de garantir la protection des données personnelles

Le respect de la loi Européenne de 2016

Le point le plus important pour tout entreprise quand on parle de la protection de données personnelles de ses utilisateurs, c’est avant tout le respect du Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne. Cette législation sert à protéger les données personnelles dans le but de protéger la vie privée des individus.

L’acronyme RGPD est connu de tous mais les points abordés dans ce règlement sont souvent flou. On en profite donc pour faire un point à ce sujet :

La portée du RGPD

Cette législation s’applique à toutes les entreprises et organisations traitant des données personnelles de résidents de l’Union Européenne, indépendamment de l’emplacement de l’entreprise. C’est à dire que les sites en dehors de l’UE (Suisse, USA…) ont un traitement des données différentes.

Les données personnelles à protéger

Le RGPD considère comme données personnelles toute information se rapportant à une personne physique identifiée ou identifiable. Voici une liste non exhaustive des types de données personnelles couvertes par le RGPD :

CatégorieExemples de données
Informations d’identificationNom, prénom, adresse postale, email, numéro de téléphone, numéro de sécurité sociale, numéro de passeport ou de carte d’identité
Données de localisationAdresse IP, données de géolocalisation (GPS, Wi-Fi), données de localisation mobile
Informations en ligneIdentifiants en ligne (identifiants de connexion, noms d’utilisateur), cookies, identifiants publicitaires, données de navigation (historique de navigation, logs de serveurs)
Données financièresNuméro de carte de crédit/débit, informations bancaires (numéro de compte, IBAN), historique de transactions
Données relatives à l’emploiHistorique professionnel et formations, informations sur le contrat de travail (poste occupé, date d’embauche), informations salariales
Données sensiblesDonnées de santé (dossiers médicaux, informations sur les traitements médicaux), données biométriques (empreintes digitales, reconnaissance faciale), données génétiques, données relatives à l’orientation sexuelle, opinions politiques, croyances religieuses ou philosophiques, appartenance syndicale, données judiciaires (casier judiciaire, poursuites en cours)
Données comportementalesHabitudes de consommation, préférences et intérêts, données issues des réseaux sociaux (posts, likes, commentaires)
Données d’éducationInformations académiques (diplômes, résultats scolaires), informations sur les inscriptions et les cours suivis
Données de communicationContenu des messages électroniques (emails, chats), enregistrements d’appels téléphoniques, correspondance postale
Données sur l’image et le sonPhotographies, vidéos, enregistrements audio

Le principe de consentement

Oublié par beaucoup d’entreprises, la collecte des données personnelles doit être fondé sur un principe de consentement clair et explicite de l’individu (sauf si une autre base légale s’applique comme un contrat ou une obligation légale).

Les principes de protection des données

  • Les données doivent être traitées de manière légale, équitable et transparente.
  • Les données doivent être collectées pour des finalités déterminées, explicites et légitimes.
  • Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire.
  • Les données doivent être exactes et, si nécessaire, mises à jour.
  • Les données ne doivent pas être conservées plus longtemps que nécessaire.
  • Les données doivent être traitées de manière à garantir leur sécurité, notamment contre les traitements non autorisés ou illicites et contre la perte, la destruction ou les dégâts accidentels.

Les utilisateurs ont un droit d’accès à leurs données collectées

  • Les individus ont le droit de savoir si leurs données sont traitées et d’accéder à ces données.
  • Les individus peuvent demander la correction de données inexactes ou incomplètes.
  • Les individus peuvent demander la suppression de leurs données dans certaines circonstances.
  • Les individus peuvent demander la limitation du traitement de leurs données dans certains cas.
  • Les individus ont le droit de recevoir leurs données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.
  • Les individus peuvent s’opposer au traitement de leurs données pour des raisons liées à leur situation particulière, ou à des fins de marketing direct.

Le non-respect peut entraîner des sanctions financières sévères et des amendes.

Reçois le modèle de politique de confidentialité pour ton site !

Rentres ton e-mail pour recevoir ce modèle à installer sur ton site.

La réputation de l’entreprise et la confiance des clients

La protection des données personnelle n’a pas pour seul objectif de respecter la loi Européenne mais également de préserver la réputation de l’entreprise et la confiance des clients. C’est un gage de sérieux et de fiabilité de la part de l’entreprise.

La circulation des données est devenu un sujet extrêmement important pour les utilisateurs. aujourd’hui, les clients veulent s’assurer que leurs données sensibles (comme les informations de paiement, les adresses, et les données de santé) sont en sécurité.

La transparence sur la manière dont leurs données sont utilisées et traitées montre également que l’entreprise prend la protection des données au sérieux, les clients sont d’autant plus susceptibles de lui faire confiance et de rester fidèles.

Au contraire, la violation des données peuvent avoir des conséquences désastreuses pour la réputation d’une entreprise. Les fuites de données importantes attirent souvent l’attention des médias et peuvent conduire à une perception négative de l’entreprise.

L'éthique de ton e-commerce

Appréciez-vous recevoir des e-mails, des courriers ou des appels provenant d’entreprise que vous ne connaissez pas, à qui vous avez demandé de pas utiliser ces données, ou à qui vous (ne pensez) n’avoir jamais donné vos données ?

C’est ce qui nous arrive tous, au quotidien. Alors en tant qu’entreprise, pourquoi le faire subir à vos clients ?

La collecte et l’utilisation des données est importante d’un point de vue éthique pour des raisons qui touchent aux droits et à la dignité de tes clients.

Respecter la vie privée

La vie privée est un droit humain fondamental reconnu par diverses déclarations et chartes des droits de l’homme. Tous les individus ont le droit de garder certaines informations privées et de contrôler qui a accès à celles-ci.

Autonomie et contrôle des données

Les utilisateurs doivent avoir le pouvoir de contrôler leurs propres informations et être informés de manière transparente sur la manière dont leurs données sont traitées. Elles devraient pouvoir décider quelles données sont collectées, comment elles sont utilisées, et avec qui elles sont partagées.

Prévenir les abus et les vols

La collecte et l’utilisation irresponsables des données peuvent mener à des abus, comme la discrimination, la manipulation ou le vol d’identité. Il faut assurer aux utilisateurs que les données sont traitées de manière à prévenir les vols et les abus.

Ces violations de données peuvent avoir des conséquences graves pour les individus, notamment la perte de réputation, des difficultés financières ou des atteintes à leur sécurité personnelle. Leur protection contribue au bien-être général des individus en minimisant les risques et les impacts négatifs potentiels liés à la mauvaise gestion des informations personnelles.

Les amendes en cas de non respect des règles du RGPD

En cas de non respect des règles de protection des données personnelles, des sanctions peuvent être possibles pour les entreprises :

  • Amendes administratives : Il existe des infractions mineurs et graves pouvant aller jusqu’à 20 millions d’euros ou 4% du CA annuel de l’exercice de l’entreprise. Ces infractions incluent le non-respect des principes de base de traitement des données, des droits des personnes concernés et des transferts de données.
  • Sanctions pénales : Le fait de ne pas protéger les données personnelles de manière adéquate peut entraîner des peines d’emprisonnement et des amendes.
  • Réputation et dommages commerciaux : Outre les sanctions financières et pénales, le non-respect des règles peut gravement nuire à la réputation d’une entreprise. Les entreprises peuvent également être poursuivies en justice par les personnes concernées pour dommages et intérêts.
  • Obligation de notification : En cas de violation de données, les entreprises doivent notifier les autorités de protection des données dans les 72 heures.
Reçois le modèle de politique de confidentialité pour ton site !

Rentres ton e-mail pour recevoir ce modèle à installer sur ton site.

Exemples de violations de données subis par le passé

Internet n’est pas un environnement 100% sécurisé et la protection de ses données personnels ne doit pas être pris à la légère par les utilisateurs.

Il existe de nombreux exemples de violations de données célèbres ayant entraîné pour des fraudes financières, des influences politiques ou des usurpations d’identité.

Ces fuites de données peuvent très bien arrivé à des petites entreprises comme des géants du digital. On a pris 3 exemples passés pour illustrer nos propos :

Attaque informatique au ministère de l’économie et des finances en 2020

Une attaque informatique a compromis les données personnelles de milliers d’agents du ministère, y compris des informations sensibles sur leurs dossiers administratifs.

Cette attaque informatique a nécessité une enquête par les autorités et un renforcement des mesures de cybersécurité.

Faille de sécurité chez Capital One en 2019

Un pirate informatique a accédé aux informations personnelles de plus de 100 millions de clients, y compris des numéros de sécurité sociale et des informations de compte bancaire ce qui a entraîné des fraudes financière et le vol d’identités.

Capital One a dû payer au moins 700 millions de dollars pour conclure les diverses action en justice lié à ce piratage de données.

Fuite de données de Facebook en 2018

Des données personnelles de millions d’utilisateurs de Facebook ont été collectées à leur insu par Cambridge Analytica, une firme de consulting politique.

Les données ont été utilisées pour influencer des campagnes politiques, notamment le référendum sur le Brexit et l’élection présidentielle américaine de 2016.

Cela a entraîné une enquête par les autorités de protection des données, des sanctions à hauteur de 500 000$ pour Facebook et une perte de confiance massive parmi les utilisateurs.

Quels sont les droits des utilisateurs sur les sites e-commerce selon le RGPD ?

En étant propriétaire d’un site internet, nous devons répondre à plusieurs obligation : La protection des données collectées et le respect des droits des utilisateurs.

Tous les utilisateurs ont des droits concernant leurs données personnelles qui sont écrit dans le chapitre III du RGPD. On en a dressé la liste détaillée :

  • Droit d’accès : Les utilisateurs ont le droit de savoir si leurs données personnelles sont traitées par une organisation et, le cas échéant, d’accéder à ces données ainsi qu’à certaines informations sur leur traitement.
  • Droit de rectification : Les utilisateurs peuvent demander la correction de données personnelles inexactes ou incomplètes les concernant.
  • Droit à l’effacement : Les utilisateurs peuvent demander la suppression de leurs données personnelles si les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, si le consentement est retiré, ou si les données ont été traitées illégalement, entre autres.
  • Droit à la limitation du traitement : Les utilisateurs peuvent demander la restriction du traitement de leurs données personnelles dans certains cas
  • Droit à la portabilité des données : Les utilisateurs ont le droit de recevoir les données personnelles qu’ils ont fournies à un responsable du traitement et de les transmettre à un autre responsable du traitement.
  • Droit d’opposition : Les utilisateurs peuvent s’opposer au traitement de leurs données personnelles pour des raisons tenant à leur situation particulière.
  • Droit de ne pas faire l’objet de décisions automatisées : Les utilisateurs ont le droit de ne pas être soumis à une décision basée uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative.
  • Droit à l’information : Les utilisateurs ont le droit de recevoir des informations claires et transparentes sur la manière dont leurs données sont collectées, utilisées, stockées et partagées.
  • Droit de retrait du consentement : Les utilisateurs peuvent retirer leur consentement à tout moment lorsqu’il constitue la base légale du traitement de leurs données. Il doit être aussi facile que son obtention initiale, et cela ne doit pas affecter la légalité du traitement basé sur le consentement avant son retrait.

Reçois le modèle de politique de confidentialité pour ton site !

Rentres ton e-mail pour recevoir ce modèle à installer sur ton site.

Comment garantir la protection des données personnelles sur votre site e-commerce ?

Maintenant qu’on a expliqué ce qu’était la RGPD, les obligations des entreprises, les droits des utilisateurs et les conséquences et pénalités, il temps de se focaliser sur la protection de ces données personnelles pour fournir à nos clients une plateforme d’achat sécurisée.

Configuration et sécurité de votre site

Utiliser un certificat SSL pour son nom de domaine

Le certificat SSL (Secure Sockets Layer) est un certificat électronique qui permet une connexion chiffrée entre un serveur Web et un navigateur Web. Tous les noms de domaine achetés sur Shopify contiennent un certificat gratuit. Pour les autres hébergements, cela dépend de l’hébergement choisit.

Installer une authentification à deux Facteurs

Activez 2FA pour ajouter une couche supplémentaire de sécurité. Les authentifications à un facteur correspondent à l’authentification par un mot de passe simplement. Avec une authentification à deux facteurs, on a une couche supplémentaire de sécurité comme la réception d’un code sur son e-mail ou par SMS ou la réponse à une question personnelle…

La gestion des utilisateurs et des permissions

Contrôler les accès en fonction des rôles

Limitez les accès en fonction des rôles des utilisateurs. Ne donnez accès qu’aux personnes qui en ont besoin pour accomplir leurs tâches.

Surveiller les accès

Gardez une trace des connexions et des activités des utilisateurs pour détecter toute activité suspecte.

La protection des données des clients

Rédiger une politique de confidentialité

Rédigez une politique de confidentialité claire et détaillée et affichez-la sur votre site. Expliquez comment les données des clients sont collectées, utilisées et protégées. Pour vous aidez nous avons créer un exemple de politique de confidentialité à destination des sites e-commerce.

Assurez-vous de recueillir le consentement explicite des utilisateurs pour la collecte et le traitement de leurs données en les obligeant, par exemple, à cocher une case qui dit qu’ils ont bien lu la politque de traitement des données.

Attention : Ce document ne remplace pas la rédaction de politiques adaptées à votre site, aux outils utilisés et aux pratiques en terme de collectes.

Gérer les données sensibles

Collectez uniquement les informations nécessaires pour le traitement des commandes et la fourniture de services. Pour cela, il existe plusieurs techniques :

  • Passez en revue les formulaires et processus de collecte de données pour s’assurer qu’aucune information superflue n’est demandée.
  • Définissez des politiques de conservation des données pour supprimer ou anonymiser les informations qui ne sont plus nécessaires.
  • Obtenez le consentement explicite des utilisateurs pour collecter des informations sensibles ou supplémentaires, et offrez la possibilité de refuser la fourniture de certaines données.

Utilisez également des solutions de chiffrement pour protéger les données sensibles stockées comme les données personnelles, les mots de passe ou les moyens de paiement.

  • Pour les données personnelles : Le certificat SSL est utile pour les données en transit. Mais utilisez AES pour chiffrer les données stocker est important. Shopify, notre partenaire e-commerce, utilise des standards de chiffrement élevés pour sécuriser les données au repos.
  • Pour les mots de passe : Stockez les en utilisant des algorithmes de hachage sécurisés (comme bcrypt, scrypt, ou Argon2) avec un sel unique pour chaque mot de passe. Shopify sécurise automatiquement ces mots de passe avec ces technologies.
  • Pour les paiements : Utilisez des passerelles de paiement conformes aux normes PCI-DSS pour traiter les informations de carte de crédit. Shopify prend en charge plusieurs passerelles de paiement sécurisées telles que Shopify Payments, PayPal, Stripe, etc.

Gestion des applications et extensions

Utilisez uniquement des applications fiables en vérifiant leurs avis et évaluations pour vous assurer de leur fiabilité. Pour Shopify, privilégiez celles présentes dans le Shopify App Store.

Faites un audit régulier des applications et extensions installées et supprimez celles qui ne sont plus nécessaires ou qui présentent des risques de sécurité.

Conformité avec le RGPD et les autres régulations

Respecter les droits des utilisateurs

Mettez en place des mécanismes permettant aux utilisateurs d’exercer leurs droits (accès, rectification, effacement, portabilité, etc.). Ce peut-être l’envoie d’un email via un formulaire, via une adresse email… en s’assurant de pouvoir donner une réponse rapide à l’utilisateur.

Demander l’accès aux cookies

Les cookies sont des fichiers que les sites internet stockent sur votre ordinateur ou votre appareil quand vous les visitez. Ils sont utilises pour les sites pour plusieurs raisons :

  • Mémoriser les préférences et le parcours sur notre site
  • Gardez les sessions ouvertes afin d’éviter une reconnexion
  • Gardez des articles dans le panier
  • Personnaliser les publicités

Utilisez une bannière de cookies pour obtenir le consentement des utilisateurs avant de suivre leurs activités en ligne. Grâce à cette bannière les utilisateurs peuvent accepter ou refuser les cookies (donc la collecte des données) ou en accepter seulement une partie.

Attention, il existe tout de même des cookies “nécessaires” pour que les sites fonctionnent. Ces cookies sont des fichiers qui ne collectent par d’informations personnelles à des fins de marketing.

Les outils recommandés pour les bannières de cookies : Axeptio, Consentik, Avada

Recevoir des notifications de violation

Préparez un plan pour détecter, signaler et réagir rapidement aux violations de données. Informez les autorités de protection des données et les utilisateurs concernés en cas de violation.

Mais la RGPD n’est pas la seule régulation si vous faites du business avec votre e-commerce en dehors de l’Union européenne. Faites donc attention a bien respecté la législation du pays concerné. Pour cela rien de plus sûr que de contacter un avocat spécialisé.

Rédiger les politiques de confidentialité pour ton e-commerce

Il ne te reste plus qu'à rédiger une page sur ton e-commerce pour présenter ta politique de protection des données est une obligation. Cependant, une structure est assez générale pour la création de cette page :

1. Introduction
2. Informations collectées
3. Utilisation des informations
4. Partage des informations
5. Conservation des informations
6. Droits des utilisateurs
7. Sécurité des informations
8. Utilisation des cookies
9. Modifications de la politique de confidentialité
10. Contact

Pour t'aider et aller plus loin, plus vite, nous te proposons d'accéder à un modèle pour créer ta page de politique de confidentialité.

Reçois le modèle de politique de confidentialité pour ton site !

Rentres ton e-mail pour recevoir ce modèle à installer sur ton site.

Besoin d’aide dans la création des autres pages légales de ton site ?

Besoin d'aide pour la création de ton site ?

Nous sommes disponible pour échanger sur ton projet et répondre à toutes tes questions.

Contactes-nous dès aujourd’hui afin que nous puissions t’aider à faire le meilleur choix.

Prenons contact !

Envoies nous ta demande maintenant. pour t‘aider dans la création ou l’amélioration de ton projet digital !

Réponse MAX sous 24h !

Reçois maintenant le modèle de politique de confidentialité
Indiques ton e-mail pour recevoir la politique de confidentialité et l’installer en 5 minutes sur ton e-commerce.

Modèle gratuit et facile à répliquer