Liste de contrôle GDPR eCommerce pour les sites Web d'entreprise - le guide complet

Publié: 2020-09-26

Introduction

La conformité au RGPD est une exigence primordiale pour tout site Web qui propose ses produits ou services aux pays européens. Cela rend non seulement le site Web conforme au cadre juridique, mais le rend également digne de confiance aux yeux des visiteurs. Comme il augmente sa transparence. Mais comment se conformer au GDPR peut être un point flou pour certains propriétaires de sites Web.

Dans cet article, nous avons apporté une liste de contrôle GDPR eCommerce pour vous. Que vous soyez un nouveau venu dans le domaine ou un expert, notre liste de contrôle GDPR servira de cadre directeur pour la conformité du commerce électronique. À la fin de l'article, nous vous expliquerons également comment rendre votre site conforme au RGPD de manière simple à l'aide de deux plugins WordPress simples. Parcourez l'article, vous pourrez rendre votre site Web conforme au RGPD en quelques étapes simples et sans tracas.

Qu'est-ce que le RGPD ?

1

Le règlement général sur la protection des données ou RGPD est un cadre juridique européen. Il a été mis en œuvre le 25 mai 2018 pour protéger la confidentialité des données des résidents de l'UE.

A qui s'applique le RGPD ?

Le RGPD s'applique à une organisation à but lucratif si elle -

  • A une présence commerciale dans l'un des pays de l'UE.
  • N'a pas de présence commerciale dans l'UE mais traite les données personnelles des résidents européens et propose ses produits ou services aux résidents des pays de l'UE
  • A une force de plus de 250 employés
  • A moins de 250 employés mais sa collecte et son traitement de données affectent les droits à la vie privée et les libertés des personnes concernées, le processus est régulier et inclut certains types de données sensibles.

Les amendes GDPR eCommerce que vous devez connaître

Voici les principales amendes en vertu du GDPR -

  • Jusqu'à 2 % du revenu annuel d'une entreprise de l'année précédente ou jusqu'à 10 millions de dollars, selon le montant le plus élevé. Elle est applicable en cas de non-conformité.
  • Jusqu'à 4 % du revenu annuel de l'année précédente de l'entreprise ou 20 millions de dollars, selon le montant le plus élevé. C'est pour les violations de données.

Principales exigences du RGPD et comment se conformer au RGPD

Base juridique du traitement des données

Conformément au RGPD, les données personnelles des résidents de l'UE ne peuvent être possédées que si elles ont au moins une base légale. Voici les bases juridiques que GDPR fournit pour le traitement des données -

  • Les utilisateurs ont donné leur consentement dans un but précis
  • Le traitement des données est nécessaire pour maintenir ou conclure un contrat dans lequel l'utilisateur est un participant
  • Le traitement des données est nécessaire pour remplir une obligation légale dont le responsable du traitement est le sujet
  • Le traitement des données est nécessaire à la protection des intérêts des utilisateurs
  • Le traitement des données est nécessaire pour une activité effectuée dans l'intérêt public
  • Le traitement des données est effectué dans l'intérêt légitime du responsable du traitement des données ou d'une autre personne

Consentement

Le mot consentement signifie simplement l'autorisation des utilisateurs pour le traitement des données. Le consentement doit être volontaire et il est généralement de nature variable. Cela signifie qu'un utilisateur peut modifier son consentement à tout moment. La notification de consentement doit être propre et claire. Il ne doit pas y avoir d'ambiguïté là-dedans.

Une organisation doit conserver les enregistrements de consentement suivants -

  • Qui a donné le consentement ?
  • De quelle manière le consentement a été obtenu d'un utilisateur et quand
  • Si un utilisateur a reçu un formulaire de consentement au moment de la collecte du consentement
  • Quels documents et conditions juridiques étaient applicables au moment du recueil du consentement

Droits des utilisateurs

Le RGPD a donné aux citoyens de l'UE de nombreux droits pour la protection de leur vie privée et de leur sécurité. Voici les principaux droits en vertu du GDPR -

  • Le droit d'être informé

Les personnes concernées doivent être informées du traitement des données et doivent être invitées à donner leur consentement avant la collecte des données. Ils ont le droit de savoir dans quel but les données sont collectées, comment elles doivent être traitées et stockées et si elles doivent être partagées avec des tiers, avec qui elles sont partagées.

  • Le droit d'accès

Les personnes concernées ont désormais le droit d'accéder à leurs données personnelles qui se trouvent dans la base de données d'une organisation quand elles le souhaitent. Le responsable du traitement est tenu de présenter un aperçu du processus de traitement des données si un utilisateur le demande.

  • Le droit de rectification

Les utilisateurs ont désormais le droit de faire rectifier leurs données si elles sont incomplètes ou inexactes. Le RGPD stipule également que la rectification doit être divulguée à tous les destinataires tiers impliqués dans le processus. Si un utilisateur en fait la demande, l'organisation doit l'informer des destinataires tiers.

  • Le droit à l'effacement

Un utilisateur peut demander à une organisation de supprimer ses données de sa base de données. L'organisation est tenue de supprimer les informations dans ce cas.

  • Le droit de limiter le traitement

Les personnes concernées ont le droit de limiter le traitement des données. La demande doit être traitée dans un délai d'un mois à compter de la réception de la demande.

  • Le droit à la portabilité des données

Un utilisateur peut obtenir ses données personnelles pour les transférer d'un responsable du traitement à un autre sans aucune objection de la part du responsable du traitement. Les données fournies et observées relèvent de cette règle.

  • Le droit d'opposition

GDPR donne le droit aux utilisateurs de s'opposer à certaines activités de traitement de données spécifiques qui impliquent leurs données personnelles. L'utilisateur doit donner une motivation valable pour l'opposition si le traitement des données est effectué dans l'intérêt public. Si le traitement est effectué simplement à des fins de marketing, aucune motivation n'est requise de la part des utilisateurs pour émettre une objection.

  • Droits relatifs à la prise de décision automatisée et au profilage

Les personnes concernées ont le droit de dire non au système de traitement automatisé des données. Une organisation ne peut effectuer un traitement automatisé des données que si elle est tenue de conclure ou de maintenir un contrat reconnu par les lois des États de l'UE, basé sur l'autorisation des utilisateurs et n'ayant aucun effet juridique ou similaire sur les personnes concernées.

Transferts de données transfrontaliers

Le RGPD n'autorise le transfert de données en dehors de l'EEE ou de l'Espace économique européen qu'à la condition que le pays vers lequel les données sont transférées dispose d'un niveau de protection des données adéquat conformément à la norme de l'UE.

L'autre condition est que la personne concernée doit en être informée. Sans le consentement du sujet, il n'est pas permis de transférer des données.

Confidentialité par conception et par défaut

Le traitement des données doit être intégré dès la conception du processus métier et de ses évolutions. En d'autres termes, une entreprise doit s'assurer que le niveau de traitement des données est élevé et que toutes les mesures requises sont prises pour respecter les normes fixées par le RGPD en ce qui concerne le cycle de vie du traitement des données.

Notification de violation

En cas de violation, les autorités supérieures doivent être informées par le responsable du traitement dans les 72 heures suivant la prise de connaissance de la violation. Si les données sont traitées par le responsable du traitement pour le compte du responsable du traitement, celui-ci doit informer le responsable du traitement d'une violation de données dès qu'il en a connaissance. Les utilisateurs doivent également être informés des violations de données.

Délégués à la protection des données

Le délégué à la protection des données est une personne qui aide une organisation à se conformer aux lois GDPR. Il aide une organisation à mettre en œuvre toutes les règles, à établir un ordre du jour et à prendre des mesures de conformité interne.

Un délégué à la protection des données est requis en particulier dans les cas suivants -

  • Un lieu où une surveillance systématique à grande échelle des utilisateurs est effectuée régulièrement
  • Si le traitement des données est effectué par des autorités publiques
  • Si une opération complexe est effectuée avec les données des utilisateurs, surtout si elle porte sur des données sensibles.

Tenir des registres des activités de traitement

Le RGPD oblige le responsable du traitement des données et le sous-traitant à conserver un enregistrement complet et à jour « complet et complet » des données des utilisateurs.

Un enregistrement doit être conservé si -

  • Le traitement des données n'est pas occasionnel
  • Peut entraîner un risque pour les droits à la vie privée et la liberté des résidents de l'UE
  • Implique des catégories de données sensibles ou spéciales
  • Le traitement est effectué par une organisation de plus de 250 employés

Le dossier doit comprendre -

  • Nom et coordonnées des responsables du traitement
  • La finalité du traitement des données
  • Description adéquate des catégories de données, des utilisateurs et des destinataires des données
  • Un délai approximatif pour le traitement des différentes catégories de données
  • Description des mesures techniques de sécurité d'une organisation

Évaluation de l'impact sur la protection des données (DPIA)

DPIA ou Data Protection Impact Assessment est un processus qui aide une organisation à se mettre à niveau pour répondre aux normes du RGPD et s'y conformer. Il s'agit principalement d'un processus de tenue de registres. Il est obligatoire dans les cas où il existe des chances que le traitement des données puisse entraîner un risque pour la vie privée des personnes concernées. Le DIPA doit être consigné par écrit pour la commodité de l'organisation.

DIPA comprend les éléments suivants -

  • Description des données traitées
  • Finalité du traitement des données
  • Un rapport d'évaluation des exigences et de l'étendue du traitement des données par rapport à sa finalité
  • Une évaluation des facteurs de risque
  • Descriptions des mesures prises pour faire face aux risques

Voici ce dont vous avez besoin pour commencer avec une conformité totale :

Il existe de nombreuses façons de se conformer au RGPD. Les principales exigences à cet effet sont la politique de confidentialité des sites Web de commerce électronique, le consentement des utilisateurs pour la collecte de leurs données personnelles et une politique de notification des cookies si vous utilisez des cookies. Le moyen le plus simple de répondre à ces exigences est d'utiliser un plugin WordPress. Nous recommandons deux plugins conviviaux appelés WP Legal Pages Pro et WP Cookie Consent.

WP Legal Pages PRO

2

WP Legal Pages Pro est un puissant outil WordPress qui vous aide à créer des documents juridiques de niveau avocat sur votre site Web WordPress en quelques clics seulement. Il est livré avec plus de 25 modèles préconçus. Ce plugin de politique de confidentialité WordPress inclut la politique de confidentialité GDPR pour les sites Web de commerce électronique. Tout ce que vous avez à faire est d'installer et d'activer le plugin, d'importer le modèle, d'ajouter vos coordonnées et de cliquer sur le bouton "Publier" pour rendre votre site Web conforme au RGPD.

Consentement aux cookies WP

3

WP Cookie Consent est un plugin de consentement aux cookies WordPress élégant et moderne qui vous aide à rendre votre site conforme au GDPR en utilisant une barre de cookies personnalisée. Il vous permet de créer des avis de cookies sans aucune difficulté en quelques minutes. Vous pouvez afficher ou masquer ces avis en fonction de la géolocalisation. Il existe un scanner en un clic qui détecte automatiquement tous les sites Web et les cookies tiers lorsqu'ils sont activés. Vous pouvez modifier manuellement les détails des cookies.

Dernières pensées

Dans cet article, nous avons essayé de donner une idée du cadre juridique GDPR et de la conformité du commerce électronique. Nous avons également fourni une liste de contrôle détaillée des exigences GDPR pour vous aider à rendre votre site Web conforme à la règle de confidentialité nouvellement mise en œuvre. À la fin de l'article, nous avons suggéré deux plugins adaptés aux débutants et réactifs conçus pour générer les documents juridiques requis par GDPR. Vous pouvez récupérer les plugins et continuer. En quelques minutes, vous pourrez rendre votre site conforme au RGPD.

Si vous avez trouvé cet article utile, partagez-le sur Twitter et Facebook. Laissez vos opinions dans la section des commentaires ci-dessous. Nous aimerions avoir vos commentaires. Si vous avez besoin de plus d'informations, n'hésitez pas à nous contacter. Nous reviendrons vers vous bientôt. Abonnez-vous à notre chaîne YouTube pour nos tutoriels vidéo.

Avis de non-responsabilité : il s'agit de la contribution d'invité du blog du voisin