Le RGPD : exigences de la politique de confidentialité

Préparer votre entreprise au RGPD n'est pas une mince tâche, et cela ne s'arrêtera pas lorsque la loi entrera en vigueur le 25 mai.

Première étape : pour vous préparer au RGPD, le 25 mai et au-delà, vous devrez désigner un employé pour superviser les efforts de conformité et mettre à jour votre politique de confidentialité. Il ne s'agit pas seulement d'exigences légales, elles constituent également une bonne base pour une conformité continue et peuvent avoir un impact sur les ventes.

Confiez la gestion des données à quelqu'un

Un délégué à la protection des données est un rôle formel requis par le RGPD. Si vous êtes un magasin unipersonnel, cela vous incombe, vous devrez donc prévoir du temps pour rester au top de la conformité. Que ce soit vous ou l'un de vos employés, vous devez désigner une personne pour prendre en charge la stratégie et la conformité de votre entreprise en matière de protection des données et :

• Décidez comment les clients doivent faire des demandes spécifiques à la confidentialité. Cela se fait via un formulaire de contact sur votre site ou via une adresse e-mail spéciale (par exemple, [email protected] ).
• Mettez à jour votre politique de confidentialité avec la façon dont vous utilisez et stockez les données, et pourquoi . Le RGPD vous oblige à divulguer des informations sur les données. Pouvez-vous collecter moins de données personnelles ? Combien de temps votre entreprise a-t-elle besoin de conserver des registres pour les impôts étatiques/provinciaux/fédéraux ? Quand et comment sauvegardez-vous, et finalement détruisez-vous, les enregistrements des clients et des commandes ? Pour WordPress et WooCommerce, cela inclut l'examen des pratiques de données des plugins et des services sur lesquels votre boutique s'appuie. Toutes ces informations doivent être publiées dans votre politique de confidentialité.
• Se préparer et répondre au droit à l'effacement/des demandes d'accès . Les clients peuvent vous demander de supprimer leurs données, et vous êtes tenu de vous y conformer.
• Préparez-vous et répondez aux failles de sécurité . Le RGPD vous oblige à divulguer rapidement les violations à vos clients.
• Tenez-vous au courant des modifications futures des lois sur la confidentialité qui pourraient affecter votre entreprise.

Comment mettre à jour votre politique de confidentialité

En plus d'être une exigence du GDPR, une politique de confidentialité bien rédigée et facile à comprendre peut aider à conclure des ventes avec des consommateurs de plus en plus soucieux de leur vie privée. L'élaboration d'une politique de confidentialité pour votre boutique WooCommerce implique un peu de recherche, un peu d'écriture et un engagement à revoir la politique de temps en temps.

À partir de WordPress 4.9.6, vous pourrez créer ou désigner une page sur votre site comme politique de confidentialité de votre boutique. Vous trouverez cette nouvelle fonctionnalité dans WP Admin > Paramètres > Confidentialité :

Si vous créez une page de politique de confidentialité pour la première fois, WordPress fournira un modèle pour vous aider à démarrer. De manière générale, une bonne politique de confidentialité répond aux questions suivantes :

1. Quelles données ce magasin collecte-t-il à mon sujet ?

Commencez par "auto-tester" votre propre magasin et notez tous les champs (obligatoires ou facultatifs) où les clients sont invités à saisir des informations ou à faire des sélections. Notez les données personnelles évidentes telles que le nom et l'adresse, ainsi que tout ce que vous collectez auprès d'eux lorsqu'ils vérifient ou deviennent un utilisateur enregistré sur votre site.

Ensuite, examinez les outils moins explicites, comme les cookies ou les analyses, que votre site utilise. Examinez les plugins que vous avez installés et passez en revue leurs informations de confidentialité. Un plugin envoie-t-il des données en dehors du pays ou peut-être de l'Union européenne ? C'est une autre chose que vous devrez divulguer aux clients.

Profitez des nouveaux outils de WordPress pour voir les mises à jour de confidentialité des plugins actifs : à partir de WordPress 4.9.6, les plugins peuvent enregistrer des informations de confidentialité avec WordPress lui-même, et vous verrez ces informations dans une boîte spéciale près de l'éditeur lorsque vous modifiez votre page de politique de confidentialité dans wp-admin. WordPress lui-même fournira également des informations sur les informations qu'il recueille auprès des visiteurs de votre site, comme les commentaires et les cookies.

La nouvelle boîte d'informations sur la confidentialité permet de copier et coller les informations de confidentialité de WordPress et des plugins directement dans votre politique de confidentialité, où vous pouvez les modifier en fonction des détails de votre boutique. Cependant, comme tout dépend des paramètres spécifiques que vous utilisez et de la façon dont les plugins interagissent les uns avec les autres, vous voudrez revoir et modifier ce texte pour vous assurer qu'il convient à votre boutique.

Si un plugin ne fournit pas d'informations sur la confidentialité, vous pouvez visiter le site Web du développeur ou le contacter directement et lui demander quelles données son plugin collecte auprès des visiteurs de votre site, le cas échéant, et ce qu'il en fait.

2. Que fait cette boutique avec mes données et pourquoi ?

Une fois que vous saurez ce que vous collectez, vous devrez noter pourquoi vous le collectez.

Les explications pour la plupart des données que vous collectez sont simples : vous avez besoin de leur adresse pour leur expédier un produit, ou vous avez besoin de leur adresse e-mail pour les mettre à jour sur l'état de leur commande.

Si vous collectez des données personnelles dont vous n'avez pas réellement besoin pour exécuter une commande, vous voudrez expliquer pourquoi à votre client et lui donner un moyen de refuser ce type de "traitement" (voir "Les cases à cocher ne sont pas 't the only way” ci-dessous).

3. Avec qui ce magasin partage-t-il mes données ?

Ici, un peu de recherche est impliqué - vous voudrez revoir comment les données que vous collectez sont utilisées. Quelques types de plugins sont plus susceptibles de partager des données :

• Les passerelles de paiement partagent souvent des données avec le fournisseur de paiement pour traiter le paiement.
• Les extensions d'expédition partagent souvent des données avec les fournisseurs d'expédition pour calculer les tarifs d'expédition ou imprimer des étiquettes d'expédition.
• Les extensions de marketing et d'analyse partagent souvent des données pour ajouter des clients à des listes ou analyser leur comportement.

Essentiellement, si un plugin se connecte à un service externe, il partage probablement un certain type de données avec ce service. Vous voudrez revoir les politiques de confidentialité de ces services pour vous assurer qu'elles correspondent à vos priorités en matière de confidentialité.

4. Combien de temps ce magasin conserve-t-il mes données ?

Il existe de nombreuses raisons de conserver des enregistrements, y compris si une charge est contestée par un client, pour une audition fiscale ou pour d'autres problèmes juridiques. Bien que des lois telles que le RGPD prévoient un « droit à l'effacement », vous n'êtes pas obligé d'effacer les enregistrements dont vous avez besoin pour ces autres aspects de votre entreprise .

Cela dit, votre politique de confidentialité, ainsi que votre page de conditions générales, doivent indiquer clairement aux clients pendant combien de temps vous conservez leurs données personnelles et pourquoi.

5. Comment puis-je accéder, mettre à jour ou supprimer les données collectées ?

En plus de savoir ce que vous faites avec les données personnelles, les clients doivent savoir comment ils peuvent mettre à jour leurs données, notamment :

• Obtenir une copie de leurs données
• Mettre à jour ses données
• Suppression de leurs données

Votre politique de confidentialité doit donner aux clients des instructions claires sur la façon de vous joindre ou de contacter votre responsable de la confidentialité désigné avec ces demandes. Si vous autorisez vos clients à modifier certaines de leurs propres informations, par exemple sous Mon compte, vous pouvez également le mentionner ici.

Les cases à cocher ne sont pas le seul moyen

Dans le cadre du RGPD, il existe plusieurs approches juridiques du traitement des données personnelles. Votre politique de confidentialité doit indiquer sur quelle base vous effectuez chaque type de traitement de données personnelles. Les plus applicables aux sites de commerce électronique incluent :

• Consentement : L'utilisateur donne explicitement son consentement à un type spécifique de traitement de ses données personnelles (par exemple, le consentement à participer à une étude de marché réalisée par un tiers).
• Nécessité contractuelle : Le traitement des données personnelles est nécessaire à l'exécution d'un contrat (par exemple, expédier sa commande).
• Respect des obligations légales : Le traitement des données personnelles est nécessaire pour des raisons légales (par exemple, un numéro d'identification fiscale à la TVA).
• Intérêts légitimes : Le traitement des données personnelles est un comportement légitime et attendu d'une entreprise (par exemple, suivre les e-mails après avoir passé sa commande avec d'autres produits susceptibles de l'intéresser).

Élaborez votre politique de confidentialité une étape à la fois

C'est une longue liste, nous le savons ! Abordez-le étape par étape et ne vous souciez pas de créer une politique de confidentialité parfaite dès le premier jour. Garder votre politique de confidentialité fraîche et à jour, en particulier lorsque vous ajoutez des plugins - ou que des plugins ajoutent des fonctionnalités - sera une activité continue, comme toute autre maintenance commerciale que vous effectuez.

La prochaine étape ? Le long et court des demandes de droit d'accès.