| Considérées comme le socle de la relation contractuelle, les #conditions générales de vente (CGV) désignent l’ensemble des clauses qui constituent l’offre émise par un vendeur professionnel à destination des acquéreurs potentiels de ses produits.
Avec le développement du commerce en ligne, la protection des données personnelles devient un enjeu important en termes d’image de l’entreprise, mais aussi et surtout en termes de confiance que l’utilisateur a dans le site. Comme le souligne la présidente de la CNIL, « la protection des données personnelles est un avantage concurrentiel pour les entreprises ».
La protection des données personnelles est au cœur du fonctionnement du site e-commerce, à travers le recueil d’informations relatives à l’identification des personnes (nom, adresse, numéro de téléphone, numéro de carte bancaire…)
La loi informatique et libertés du 6 janvier 1978 modifiée assure à travers une série de règles la protection de ces données personnelles. La création et le traitement de données à caractère personnel sont soumis à des obligations destinées à protéger la vie privée des personnes des prospects et les libertés individuelles.
Sans être exhaustif, nous allons aborder les règles qu’impose la CNIL dans le cadre du respect des #droits des clients, la durée de conservation de ces données personnelles, les règles applicables dans le cadre de la prospection commerciale, qui sont autant de domaines qui touchent à la protection des données personnelles.
1. Le respect des droits des clients
Les conditions générales de vente lorsqu’elles recueillent des données personnelles doivent mentionner les droits des personnes dont les données sont recueillies.
Les CGV doivent donc mentionner les procédés mis en œuvre par le site de e-commerce afin de garantir les droits de ces personnes.
Le droit d’être préalablement informé (article 32 de la loi Informatique et Libertés).
Le droit de consentir (article 7 de la loi informatique et libertés).
Le #droit d’accès (article 39, I, 4° de la loi informatique et libertés)
Le #droit de rectification (article 40 de la loi informatique et libertés)
Le #droit d’opposition (article 38 de la loi informatique et libertés).
En règle générale, une clause de ces conditions générales doit renvoyer aux conditions de mise en œuvre. Il est également possible de rédiger séparément une #politique de protection des données personnelles sur le site.
2. La #durée de conservation des données
La loi informatique et libertés prévoit qu’un traitement ne peut porter que sur des données à caractère personnel qui sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ( article 6, 5°).
En pratique, la CNIL recommande de respecter les durées suivantes :
Concernant les éléments d’identité des clients habituels et occasionnels : 5 ans à compter de la clôture du compte ou de la relation commerciale.
Concernant les documents et informations relatifs aux opérations faites par les clients. Il peut s’agir du dépôt, du retrait, des virements, des prélèvements, des opérations concernant les cartes. La durée de conservation est de 5 ans à compter de l’exécution de l’opération.
Toutes ces informations peuvent figurer aussi bien dans les conditions générales de vente que dans un document intitulé « politique de protection des données personnelles » et mis à la disposition des utilisateurs sur le site internet.
3. Le #recueil du consentement dans le cadre de la prospection commerciale et du parrainage
Cette prospection commerciale se fait généralement par voie électronique, appel téléphonique ou centre d’appel.
Le recueil du consentement du prospect est important. Le site d’e-commerce peut en effet s’exposer à payer une amende ou une peine d’emprisonnement.
En cas de prospections commerciales effectuées par voie postale, ou par appel téléphonique depuis un centre d’appel, l’envoi de publicité par voie postale est possible sous réserve que la personne soit, au moment de la collecte de ses coordonnées informée de leur utilisation à des fins de prospection et en mesure de s’opposer à cette utilisation de manière simple et gratuite. Telle est la préconisation de la CNIL. C’est le système de l’op out.
En matière de publicité par voie électronique, le principe en la matière est de recueillir l’accord préalable du destinataire. C’est le système de l’op in. La CNIL a ainsi récemment condamnée la Société Prisma Media a payé une amende de 15.000 euros pour envoi sans le consentement des prospects de lettres d’information électronique contenant de la prospection [1]
En effet, la CNIL subordonne l’envoi de publicité à des prospects par la voie électronique à un consentement. Dans la pratique, ce consentement doit être matérialisé par une case à cocher.
Toutefois des exceptions demeurent :
Si la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits ou des services analogues à ceux déjà fournis par l’entreprise.
Si la prospection n’est pas de nature commerciale.
Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie :
– être informée que son adresse électronique sera utilisée à des fins de prospection,
– être en mesure de s’opposer à cette utilisation de manière simple et gratuite.
En ce qui concerne les professionnels, le principe est celui de l’information préalable et le droit d’opposition. Il faut ainsi que la personne soit informée que son adresse électronique est utilisée à des fins de prospection commerciale, et être en mesure de s’opposer à cette utilisation de manière simple et gratuite.
Le consentement doit être recueilli sans aucune ambiguïté. Ainsi, l’utilisation d’une case pré-cochée est à proscrire.
Le non-respect de ces dispositions est sanctionné par une amende de 750 euros par message expédié et 5 ans d’emprisonnement et 300.000 euros d’amende.
4. Le parrainage et les jeux concours
La recherche de nouveaux prospects, le site e-commerce peut organiser un système de parrainage ou des jeux concours. Ils ne sont pas interdits, mais il est nécessaire de respecter la protection des données personnelles.
a. Le parrainage
Qu’est-ce que le parrainage ? Il a pour objet de demander à une personne de renseigner les coordonnés d’un tiers qui peut être intéressé par une offre commerciale.
Comment respecter le droit relatif à la protection des données personnelles ? La CNIL précise que le destinataire de l’offre doit connaître l’identité de son parrain lorsqu’il est contacté par l’entreprise. Ensuite, les données du parrainé ne peuvent être utilisées qu’une seule fois pour lui adresser l’offre commerciale, l’article de presse ou l’annonce suggéré par le parrain. Enfin, l’entreprise ne pourra conserver les données du parrainé pour lui adresser d’autres messages que si elle a obtenu son consentement exprès.
Tout comme l’organisation des jeux concours, le parrainage ne doit pas être dilué dans les conditions générales de vente.
b. Les jeux concours
L’organisation des jeux concours est attractive et peut permettre de capter la clientèle. L’internaute doit pouvoir participer à un jeu concours sans être obligé de recevoir de la prospection.
La CNIL précise que les informations recueillies concernant le joueur ne peuvent être utilisées que dans le cadre du jeu et la remise du lot. Les coordonnées électroniques du participant ne peuvent pas être utilisées à des fins publicitaires, sauf consentement exprès de sa part.
Il est essentiel que le responsable du fichier reprenne les mentions de la loi « informatique et libertés » sur le formulaire de participation au jeu-concours. Il doit être remis au participant le règlement du jeu concours dans lequel figurera une rubrique « vie privée ».
La CNIL précise par ailleurs que le consentement préalable doit être recueilli par un moyen simple et gratuit, comme une case à cocher par exemple. Pour que le consentement soit valide, la case ne doit pas être « pré-cochée ».
5. La #gestion des cookies
a. Le cadre juridique applicable.
Le législateur européen a posé le principe (directive 2009/136/CE) d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son équipement ou l’accès à des informations déjà stockées. Ce consentement préalable n’est pas nécessaire si les actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
b. Quels sont les cookies concernés et nécessitant un consentement préalable ?
Sont concernés les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé tels qu’un ordinateur, un smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet. Il s’agit par exemple de cookies http, ou de cookie flash…
Ces obligations sont requises que les cookies collectent des données à caractère personnel ou non.
Pour les cookies nécessitant une information préalable et une demande de consentement, on peut notamment citer ceux liés aux opérations relatives à la publicité ciblée ; certains cookies de mesure d’audience ou encore les cookies des réseaux sociaux engendrés notamment par leurs boutons de partage lorsqu’ils collectent des données personnelles sans consentement des personnes concernées. Cette liste n’est pas exhaustive.
Il convient de souligner que le cookie de mesure d’audience est exempté dans certains cas de consentement de l’internaute.
c. La mise en conformité du site
L’obligation est donc double pour le site : une information préalable et un consentement préalable.
En règle générale, l’internaute doit avoir un affichage d’un bandeau d’information sur la première page du site visité.
Un modèle pourrait être libellé comme suit :
« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et (par exemple, réaliser des statistiques de visites]. »
Pour en savoir plus et paramétrer les traceurs : Source la CNIL.
En définitive, la politique de protection des données personnelles est un élément que le site e-commerce doit prendre en compte dans la rédaction des conditions générales de vente et dans la gestion de son site. Éléments essentiels et incontournables, les sites de e-commerce doivent intégrer cette réalité. Car un respect de ces obligations légales est aussi un outil marketing pour le développement de ces sites.
|
Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).
