Suite à l’évolution rapide du commerce électronique, le respect de la vie privée constitue actuellement un problème critique pour de nombreuses entreprises en ligne. Avec le nombre croissant de violations de données, la sensibilisation des consommateurs et les amendes pour non-conformité, la protection des données clients et le respect de leur vie privée sont devenus une nouvelle norme.
Selon Gartner, 75 % des consommateurs mondiaux verront leurs données personnelles protégées par les lois sur la protection de la vie privée d’ici la fin de 2023. Cela signifie une augmentation à partir du niveau de 10 % en 2020.
Comprendre et respecter les obligations légales en matière de protection de la vie privée dans le commerce électronique est une nécessité qui vous permet de développer et de renforcer la confiance de vos clients.
Dans cet article, nous vous guiderons à travers les lois et réglementations les plus importantes concernant le respect de la vie privée dans le commerce électronique. Nous discuterons également des règles de conduite en matière de conformité et vous présenterons l’analytique axée sur la confidentialité.
Avis de non-responsabilité : Cet article ne constitue pas un avis juridique. Piwik PRO fournit un logiciel d’analyse respectueux de la vie privée, mais ne fournit pas de conseil juridique.
Qu’entendons-nous par la conformité au commerce électronique ?
En termes simples, la conformité au commerce électronique signifie l’adhésion aux règles régissant les activités de commerce électronique sur les marchés de votre activité commerciale. Il s’agit notamment, mais sans s’y limiter, des réglementations sur le commerce électronique en soi, des réglementations sur la confidentialité des données, des standards de paiement en ligne, des normes d’accessibilité et de la prévention des interfaces truquées.
Investir dans la conformité de votre entreprise de commerce électronique en vaut sans aucun doute la peine. Une étude réalisée en 2021 par Cisco a montré que 79 % des consommateurs considèrent le respect de la vie privée comme un facteur influençant l’achat.
Régulations du commerce électronique
Dans cette partie nous allons vous guider à travers les réglementations et les normes qui définissent les règles de votre entreprise de commerce électronique sur divers marchés.
Celles-ci s’appliquent uniquement à une région (comme l’UE) ou à un pays spécifique. La région géographique concernée est spécifiée au début de chaque section.
Le Digital Services Act
Région géographique concernée : UE
Le 15 décembre 2020, la Commission européenne a introduit le règlement européen sur les services numériques (the Digital Services Act, DSA) qui est entré en vigueur le 16 novembre 2022. La loi a remplacé et renforcé la directive sur le commerce électronique (e-Commerce Directive) – un règlement qui, en 2000, avait établi le cadre juridique fondamental des services en ligne dans l’UE.
La loi DSA vise à créer un espace numérique plus sûr qui protège les droits des utilisateurs. Elle s’applique à tous les services numériques qui connectent les consommateurs à des biens, services ou contenus, y compris les marchés en ligne.
Objectif ? Améliorer la modération du contenu des médias sociaux et protéger les utilisateurs contre le contenu, les biens et les services illégaux. Grâce au règlement, les citoyens pourront mieux contrôler la façon dont les plateformes en ligne et les grandes entreprises technologiques utilisent leurs données.
Le règlement autorise également la Commission européenne à exiger l’accès aux algorithmes des plateformes afin d’assurer la transparence dans la façon dont elles recommandent du contenu à leurs utilisateurs. Les plateformes sont obligées à étiqueter toutes les annonces et à informer les utilisateurs sur les entités qui en font la promotion.
Enfin, les nouveaux règlements exigent que les plateformes fournissent un résumé en langage clair de leurs conditions générales pour assurer une compréhension facile.
Mesures favorisant un commerce électronique conforme au DSA :
- Fournissez aux utilisateurs des informations claires sur les raisons pour lesquelles certaines informations leur sont recommandées.
- Permettez aux utilisateurs d’exercer leur droit de se retirer des systèmes de recommandation basés sur le profilage.
- Permettez aux utilisateurs d’exercer leur droit de porter plainte auprès de la plateforme, de rechercher des règlements extrajudiciaires, de porter plainte auprès de leur autorité nationale dans leur langue ou de demander réparation en cas de violation des règles.
- N’affichez pas de publicités basées sur des données utilisateur sensibles telles que l’origine ethnique, les opinions politiques ou l’orientation sexuelle.
- N’utilisez pas le profilage envers les enfants, n’affichez pas de publicités sur cette base.
- N’utilisez pas les soi-disant « interfaces truquées » sur des plateformes en ligne. Il s’agit notamment des interfaces conçues pour manipuler les utilisateurs dans des décisions qu’ils n’ont pas l’intention de prendre.
Le DSA deviendra pleinement applicable le 17 février 2024. Cependant, les petites et micro-entreprises seront exemptées de certaines règles qui pourraient s’avérer trop contraignantes.
Suite à la décision de la Commission européenne, les acteurs les plus importants, dont le nombre d’utilisateurs actifs dépassent 45 millions par mois, seront, en revanche, tenus par le règlement à partir du 25 août 2023.
Ceux-ci sont appelés les Very Large Online Platforms (VLOP) et Very Large Online Search Engines (VLOSE) et comprennent, entre autres groupes, Amazon, Apple, Facebook, Instagram, Google et Bing. Ils relèvent des règles les plus strictes du DSA en raison de leur impact sociétal et économique important.
N’oubliez pas de consulter la rubrique FAQ du règlement européen sur les services numériques.
L’UE déclare que la loi sur les services numériques favorisera le développement des petites et moyennes entreprises ainsi que des startups au-delà de leur marché national, en réduisant les coûts de conformité à 27 lois différentes à travers l’Europe.
Jusqu’à présent, les États membres ont réglementé ces services différemment, ce qui a contribué à créer des obstacles pour les petites entreprises qui cherchent à évoluer et à se développer dans l’UE et a entraîné différents niveaux de protection pour les Européens.
Pour en savoir plus sur l’ensemble de la législation concernant le DSA, consultez notre article Les nouvelles lois DMA et DSA, comment influencent-elles les affaires en ligne ?
Règlements sur la protection des données
Le point de référence pour toutes ces réglementations est le traitement des données personnelles et la protection de la vie privée des consommateurs en ligne. Et comme votre commerce électronique traite quotidiennement des données personnelles ou même sensibles, il est indispensable de les comprendre et de les respecter.
Dans cette partie de l’article nous allons vous guider à travers les réglementations les plus importantes en matière de protection des données dans le monde entier.
Directive ePrivacy
Région géographique concernée : Espace économique européen (EEE)
La directive ePrivacy, également connue sous le nom de la « loi cookies », a été adoptée par l’Union européenne en 2002 et modifiée en 2009. Elle régit l’utilisation des cookies et le traitement des données personnelles sur les sites Internet.
Depuis son application, les sites Web fréquentés par les visiteurs de l’UE doivent obtenir le consentement explicite de l’utilisateur avant d’activer des cookies ou des traceurs qui ne sont pas strictement nécessaires au fonctionnement de base du site Web et des services.
La liste d’exigences est beaucoup plus longue. Votre site Web doit également :
- Demander le consentement aux cookies de manière conviviale.
- Informer les utilisateurs finaux de tous les cookies et traceurs utilisés par votre site Web dans un langage compréhensible et simple.
- Les informer des finalités du traitement des données ainsi que du stockage, de la conservation et de l’accès aux données.
- Rendre le retrait du consentement aux cookies aussi simple que sa soumission.
Pour en savoir plus sur le consentement aux cookies, consultez notre article Everything you need to know about cookie consent in the EU. (en anglais)
En raison de la directive ePrivacy, votre site Web doit présenter une bannière de cookies dans l’UE, ainsi octroyant aux visiteurs européens plus de contrôle sur leurs données personnelles.
Bien qu’elle soit surnommée la « loi cookies », la directive ePrivacy n’est pas une loi réelle. Il s’agit d’un acte législatif qui définit un objectif que tous les pays de l’UE doivent atteindre et mettre en œuvre localement. Cela dit, il incombe aux pays de l’UE de choisir les moyens d’atteindre cet objectif. Pour cette raison, il convient mieux de chercher davantage d’informations sur la mise en œuvre locale de la directive dans les pays où vous gérez votre entreprise.
Le règlement ePrivacy est un projet de règlement proposé par la Commission européenne qui remplacera la directive ePrivacy à l’avenir. Il mettra à jour les règles actuelles d’utilisation des technologies modernes et les adaptera au RGPD.
Le nouveau règlement imposera des règles plus strictes en matière de communications électroniques et concernera des services tels que Skype, WhatsApp, Facebook Messenger, Gmail, iMessage ou Viber. L’objectif ? Empêcher les applications de communication et les services Internet d’intercepter, d’enregistrer ou d’exploiter les messages des utilisateurs.
D’autres dispositions clés du projet de règlement ePrivacy comprennent :
- Le même niveau de protection des communications électroniques pour toutes les personnes et entreprises ainsi qu’un ensemble unique de règles pour les entreprises à travers l’UE
- La protection des métadonnées – les informations qui décrivent d’autres éléments de données, tels que l’auteur, la date, le lieu, etc. Les métadonnées doivent être anonymisées ou supprimées si les visiteurs n’autorisent pas leur utilisation. L’exception comprend les données nécessaires à la facturation.
- Des règles plus simples pour les cookies. L’introduction de paramètres de navigateur conviviaux permet d’accepter ou de refuser facilement les cookies de suivi et autres identifiants. Aucun consentement n’est requis pour les cookies qui améliorent l’expérience sur Internet, par exemple en enregistrant l’historique du panier d’achat ou en comptant les visiteurs du site Web.
- La protection contre le spam. Le règlement interdira les communications électroniques non sollicitées par courrier électronique, SMS et automates d’appel.
- L’application plus efficace. Comme pour le RGPD, les autorités de protection des données seront responsables de l’application des nouvelles règles adoptées.
Le règlement ePrivacy fait toujours l’objet d’un processus législatif et sa date d’entrée en vigueur reste inconnue. Une chose est, pourtant, sûre : les cookies et le consentement ne vont nulle part.
Règlement général sur la protection des données (RGPD)
Région géographique concernée : Espace économique européen (EEE)
En mai 2018, le RGPD a remplacé la directive européenne de 1995 sur la protection des données (95/46EC). Le RGPD donne aux individus un contrôle total sur leurs données personnelles. Il renforce et unifie également les règles régissant la collecte de données auprès des individus au sein de l’Union européenne.
Le règlement définit les procédures pour le traitement des données, la transparence, la documentation et le consentement des utilisateurs, obligeant les organisations à conserver des enregistrements et à surveiller toutes les activités liées au traitement des données personnelles.
La notion de données personnelles est globale dans le cadre du RGPD, les désignant en tant que toute information qui se rapporte à une personne physique et permet de l’identifier. Certes, celle-ci comprend bien le nom, le prénom et l’emplacement d’une personne, mais inclut également des identifiants en ligne tels que des adresses IP, des cookies, ainsi que des facteurs spécifiques à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale.
La non-conformité expose votre entreprise à des amendes pouvant atteindre 4 % de votre chiffre d’affaires annuel. Dans certains cas, il s’agit donc de millions d’euros.
Mesures favorisant un commerce électronique conforme au RGPD :
- Repérez tous les types de données personnelles que vous collectez, y compris les cookies et les identifiants uniques utilisés dans vos plateformes de données, telles que les plateformes analytics, le CRM, etc.
- Limitez votre collecte de données au minimum nécessaire pour atteindre un certain objectif.
- Établissez un processus de collecte de consentement spécifique, éclairé, libre et sans ambiguïté pour la collecte de données personnelles. Pour y arriver, envisagez d’utiliser un gestionnaire de consentement dédié. Recueillez un consentement distinct pour chaque type de traitement de données – un pour les tests A/B, un pour optimiser l’expérience utilisateur, etc.
- N’oubliez pas que certains types de cookies ne nécessitent pas de consentement. Les exemples incluent les cookies nécessaires au bon fonctionnement d’un site Web, tels que ceux utilisés pour enregistrer des articles dans votre panier.
- Laissez les visiteurs exercer leurs droits, y compris le droit d’accéder, de rectifier, de transférer, d’effacer ou de restreindre le traitement de leurs données. Vous pouvez utiliser un gestionnaire de consentement qui vous aidera également à gérer les demandes de données des utilisateurs.
- Élaborez votre politique de confidentialité. Expliquez aux utilisateurs qui traite leurs données personnelles, quelle base juridique vous utilisez pour ce traitement, les finalités de la collecte de données, les types de données personnelles que vous collectez, combien de temps vous les conservez, où vous les transférez et avec quels tiers vous les partagez.
- Signez un accord de traitement des données avec les plateformes et les produits qui traitent des données personnelles en votre nom. Cela comprend votre logiciel d’analyse, votre CRM, vos fournisseurs d’e-mail marketing, etc. Veillez à ce que ces plateformes suivent les meilleures pratiques pour se conformer au RGPD et, de préférence, n’envoyez pas de données utilisateur en dehors de l’UE. Les décisions rendues par différentes autorités de protection des données de l’UE contre Facebook et Google Analytics suggèrent que le traitement de ce type de données au sein de l’EEE est la meilleure solution.
- Désignez un délégué à la protection des données responsable de la conformité au RGPD au sein de votre organisation. Cela s’applique aux cas décrits dans l’article 37 du RGPD.
- Évitez d’envoyer des données personnelles vers des pays où les normes de confidentialité sont moins strictes, tels que les États-Unis. Cela signifie l’abandon de Google Analytics, car Google transfère et stocke des informations sur les citoyens de l’UE sur des serveurs cloud basés aux États-Unis, les mettant à la disposition du renseignement américain et des lois américaines sur la surveillance.
RGPD, consentement de l’utilisateur et murs de traceurs
Depuis la mise en vigueur du RGPD, de nombreux propriétaires de sites Web ont eu recours à des murs de traceurs (« cookie walls »). Ces bannières contextuelles bloquent l’ensemble du contenu de site Web à moins que le visiteur n’autorise l’utilisation de tous les cookies et identifiants demandés par le propriétaire du site Web.
Les solutions de mise en œuvre du consentement aux cookies varient selon les États membres, mais conformément aux Directives 05/2020 sur le consentement en vertu du Règlement 2016/679, cette pratique n’est pas considérée comme un consentement valide en application du RGPD. L’accès à un site Web ne peut être subordonné au consentement de l’utilisateur.
Vous souhaitez en savoir plus sur le RGPD ? Nous répondons aux questions les plus brûlantes sur le règlement dans une série d’articles (en anglais) :
- Your Most Burning Questions About GDPR Answered (1/3)
- Your Most Burning Questions About GDPR Answered (2/3)
- Your Most Burning Questions About GDPR Answered (3/3)
- Infographic: GDPR Data Subject Rights – What You Need to Know
- Infographic: How to Collect and Process Data Under GDPR?
Pourquoi la conformité au RGPD est-elle bénéfique pour votre entreprise ? Lisez notre entretien avec Lisette Meij, concernant l’avantage concurrentiel que vous gagnez en vous conformant au RGPD : GDPR compliance is a competitive advantage. (en anglais)
Loi sur la protection des données des télécommunications et des télémédias
Région géographique concernée : Allemagne
Si vous gérez une entreprise de commerce électronique en Allemagne, ce qui signifie que vous y traitez des données, votre entreprise est tenue par le TTDSG (Telecommunications Telemedia Data Protection Act). Cette loi, entrée en vigueur en décembre 2021, fusionne les règles de protection des données dispersées dans diverses lois allemandes. Elle constitue une mise en œuvre locale de la directive ePrivacy, qui complète également le RGPD.
Le TTDSG exige que chaque site Web qui utilise des cookies demande aux visiteurs un consentement explicite et éclairé à leur collecte. Cela s’applique également à toute technologie qui recueille des informations sur les utilisateurs, telle que votre plateforme d’analyse.
Bref, pour vous conformer au TTDSG, vous avez besoin du consentement des visiteurs avant de commencer à stocker des cookies ou même d’accéder à des informations techniques sur leur appareil. En vertu du TTDSG, il est nécessaire d’obtenir le consentement avant d’accéder à toute information sur l’appareil d’un utilisateur final.
Les seules exceptions à cette obligation générale sont les cookies « strictement nécessaires » pour fournir un service expressément demandé par l’utilisateur.
Cela signifie qu’en tant qu’entreprise de commerce électronique, vous n’avez pas besoin du consentement de l’utilisateur pour les cookies utilisés pour stocker des articles dans un panier. Ils sont nécessaires pour compléter la transaction que l’utilisateur a explicitement demandée.
Mesures favorisant un commerce électronique conforme au TTDSG :
- Concevez une bannière de cookies conviviale en allemand qui permet aux visiteurs de rejeter ou d’accepter facilement les cookies, ou d’ignorer la bannière pour éviter complètement les murs de cookies.
- Dans la bannière, offrez aux visiteurs l’accès à votre politique de confidentialité, où vous décrivez votre politique en matière de cookies.
- Informez l’utilisateur du type de données que vous collectez (personnelles ou non), de la manière dont elles seront utilisées et de la durée de leur stockage. Indiquez clairement si des tiers auront accès aux informations des utilisateurs.
- N’affichez pas les consentements automatiquement remplis pour des cookies particuliers. Si les utilisateurs souhaitent consentir, ils sont obligés de le faire en cochant les cases eux-mêmes.
- Autorisez les utilisateurs à consentir uniquement à des catégories de cookies spécifiques et à en refuser d’autres.
- Évitez les interfaces truquées. Ne pénalisez pas vos utilisateurs pour l’absence de consentement aux cookies. Ne les forcez pas à le faire.
- Ne collecter des données avant que l’utilisateur ne donne son consentement.
- Utilisez un gestionnaire de consentement qui permet aux utilisateurs d’avoir leur consentement sous contrôle et de le réviser à tout moment.
Pour en savoir plus sur les bannières de cookies et les analyses conformes au TTDSG, consultez notre article TTDSG – how to make sure your analytics complies with the German law. (en anglais)
Lignes directrices de la CNIL
Région géographique concernée : France
La Commission nationale de l’informatique et des libertés (CNIL) est un organe autonome de protection des données, chargée de sauvegarder la vie privée des consommateurs dans la collecte, le stockage et l’utilisation de leurs données personnelles. L’agence peut appliquer des lois sur la confidentialité des données telles que la loi française sur la protection des données, le RGPD et la directive ePrivacy.
Les lignes directrices de la CNIL, publiées le 1er octobre 2020, ont fortement impacté le secteur français du commerce électronique et ont considérablement renforcé son régime de protection des données. Elles ont également sensibilisé les consommateurs français à leurs droits.
Cela dit, si votre entreprise de commerce électronique est basée en France ou dans les territoires d’outre-mer, ou si vous collectez et traitez les données personnelles de leurs citoyens, vous devez vous conformer aux directives de la CNIL.
Mesures favorisant un commerce électronique conforme aux lignes directrices de la CNIL :
- Repérez toutes les données personnelles que vous collectez, traitez et stockez.
- Déterminez la base juridique du traitement des données consommateurs. En effet, vous devez opérez sur une base légale telle que le consentement, l’obligation légale, la nécessité contractuelle, l’intérêt vital et l’intérêt légitime pour chaque type d’information traité.
- Créez une politique de confidentialité complète et transparente en expliquant comment vous collectez, utilisez, stockez et protégez les données.
- Établissez des mesures de sécurité efficaces et puissantes pour protéger les données personnelles contre les violations, la perte ou l’accès non autorisé.
- Permettez aux consommateurs d’exercer leurs droits d’accès, de rectification, de suppression, de restriction du traitement et du transfert des données.
- Veiller à ce que les tiers traitant des données à caractère personnel respectent la réglementation de la CNIL en mettant en œuvre des contrats appropriés.
- Formez votre personnel pour le sensibiliser aux directives.
- Mettez en place un plan de réponse aux violations de données qui décrit les actions et les mesures à prendre en cas d’incident de sécurité.
- Menez des audits et des contrôles réguliers pour évaluer les pratiques existantes en matière de protection des données.
- Obtenez et gérez le consentement valide des consommateurs pour utiliser et traiter leurs données.
- Évaluez l’impact du traitement des données et mettez en œuvre les mesures nécessaires pour atténuer les risques.
Lignes directrices de la CNIL à l’égard du consentement aux cookies
Outre les lignes directrices générales en matière de protection de la vie privée, la CNIL fixe également les règles de collecte conforme du consentement aux cookies. Il s’agit notamment des règles suivantes :
- Obtenir le consentement explicite de l’utilisateur. Une déclaration affirmative claire de l’utilisateur, comme cliquer sur le bouton « Accepter », est nécessaire. Ignorer la bannière et continuer à naviguer sur le site Web n’est pas un consentement valide. Aucun cookie présélectionné n’est autorisé.
- Donner la possibilité de refuser facilement les cookies. Cela devrait être aussi simple que de les accepter.
- Donner la possibilité de retirer le consentement sans difficulté. Un utilisateur doit pouvoir le faire à tout moment.
- Informer les utilisateurs de l’objectif de la collecte des cookies.
- Être en mesure de fournir une preuve de consentement à tout moment et de prouver que le consentement a été donné de manière libre, éclairée, spécifique et sans ambiguïté.
Certains cookies, cependant, sont autorisés sans le consentement de l’utilisateur. Il s’agit notamment des cookies :
- Destinés à l’authentification de service
- Utilisés pour mémoriser les articles du panier
- Destinés à générer des statistiques de trafic
- Utilisés pour gérer le consentement des utilisateurs
- Utilisés pour la personnalisation de l’interface utilisateur
- Cookies de préférence linguistique
En outre, la CNIL a également interdit les murs de traceurs (« cookie walls »), ce qui signifie que vous ne pouvez pas subordonner l’accès à votre boutique en ligne au consentement de l’utilisateur.
La CNIL réglemente également la conformité des plateformes analytics. En effet, elle répertorie les fournisseurs analytics qui assurent des paramètres conformes aux lignes directrices de la CNIL. Sur cette liste vous trouverez Piwik PRO Analytics Suite. Pour en savoir plus sur l’exemption de la CNIL accordée à Piwik PRO, consultez notre article L’exemption de consentement CNIL et Piwik PRO : une mesure d’audience performante et conforme.
CCPA et CPRA
Région géographique concernée : Californie, États-Unis
La California Consumer Privacy Act (CCPA) est la loi originale sur la protection de la vie privée appliquée en Californie qui a révolutionné l’approche de la confidentialité des données aux États-Unis. Cette législation a été modifiée et élargie avec l’introduction de la California Privacy Rights Act (CPRA) qui est entrée en vigueur le 1er janvier 2023.
Étant donné que le CPRA a remplacé son prédécesseur, nous nous concentrerons sur la conformité au CPRA dans cette partie. Cependant, si vous souhaitez en savoir plus sur le CCPA et sur la façon dont le CPRA l’a affiné, nous vous recommandons la lecture de notre article CCPA & CPRA regulations: 5 actionable steps for marketers. (en anglais)
Votre entreprise de commerce électronique est tenue par la réglementation CPRA si :
- Son chiffre d’affaires annuel brut est supérieur ou égal à 25 millions de dollars.
- Elle recueille des informations de 100 000 résidents/ménages ou appareils californiens ou plus par an.
- Elle génère au moins 50 % des revenus annuels du partage ou de la vente des informations des résidents californiens.
Le type d’informations que vous traitez est aussi un facteur : si les données entrent dans les catégories d’informations personnelles ou d’informations personnelles sensibles, telles que définies par la loi CPRA, vous êtes lié par cette dernière.
Si votre entreprise de commerce électronique opère en Californie et répond aux critères ci-dessus, vous êtes obligés de prendre des mesures pour vous conformer au CPRA.
Mesures favorisant un commerce électronique conforme au CPRA :
- Schématisez vos données et leurs sources. Il s’agit de toutes les informations sur vos clients recueillies par les outils de marketing et de vente.
- Veillez à ce que les données soient bien préparées pour les demandes d’accès, de suppression et de portabilité de vos clients. Si votre fournisseur de logiciels marketing ne peut pas répondre à ces exigences, envisagez de passer à un logiciel plus axé sur la confidentialité.
- Vérifiez vos sources de données tierces. Si votre entreprise achète des données, veillez à ce que celles-ci proviennent de sources légitimes et légales. La non-conformité peut entraîner de lourdes amendes.
- Créez un modus operandi pour le traitement des demandes clients. Mettez à disposition des consommateurs au moins deux méthodes de contact pour qu’ils puissent faire leurs demandes : un numéro de téléphone gratuit et un formulaire en ligne.
- Fournissez un formulaire de désinscription clair et compréhensible. Ajoutez-le à votre page d’accueil avec le renseignement Ne pas vendre ni partager mes informations personnelles.
- Offrez aux consommateurs la possibilité de soumettre des demandes pour : supprimer leurs informations personnelles, apprendre comment elles ont été collectées, les transférer à une autre entité et limiter leur utilisation et leur divulgation.
- Mettez à jour votre politique de confidentialité. Celle-ci devrait décrire les droits des résidents californiens. Vous pouvez suivre ces lignes directrices : Making Your CCPA Privacy Policy Compliant With the CPRA. (en anglais)
- Attention aux mises à jour de la loi : tout comme le CCPA, le CPRA peut être réactualisé après un certain temps. Il existe déjà une proposition de loi appelée American Data Privacy and Protection Act (ADPPA).
Pour en savoir plus sur les réglementations en matière de confidentialité qui peuvent s’appliquer à votre entreprise de commerce électronique aux États-Unis, consultez notre article Data Privacy Laws in the United States. (en anglais)
PIPEDA & CPPA
Région géographique concernée : Canada
Le domaine de la protection de la vie privée au Canada est façonné par deux principaux actes juridiques : la Loi sur la protection des renseignements personnels et les documents électroniques (Personal Information Protection and Electronic Documents Act, PIPEDA) et la Loi sur la protection des renseignements personnels des consommateurs (Consumer Privacy Protection Act, CPPA).
La première est entrée en vigueur en 2000 et a désormais été modifiée à plusieurs reprises, les changements les plus importants ayant été introduits en 2015 par la Loi sur la protection des renseignements personnels numériques. Le CPPA a été introduit en 2022 par le projet de loi C-27. L’objectif ? Modifier les provisions dépassées du PIPEDA.
La Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA)
Le PIPEDA est une loi fédérale canadienne protégeant la vie privée des utilisateurs et régissant la façon dont les entreprises traitent les renseignements personnels. Elle s’applique aux organisations privées qui recueillent, utilisent ou divulguent des renseignements personnels lorsqu’elles offrent des services ou des produits aux résidents canadiens.
L’exemption est accordée lorsque votre entreprise de commerce électronique exerce ses activités entièrement dans les provinces d’Alberta, de la Colombie-Britannique ou du Québec, où elle est liée par les lois locales sur la protection de la vie privée. Dans tous les autres cas, le PIPEDA prévaut.
Mesures pour une entreprise de commerce électronique conforme au PIPEDA :
- Nommez un directeur de la protection de la vie privée responsable de la conformité de votre entreprise.
- Limitez la collecte de renseignements personnels uniquement aux fins essentielles pour le fonctionnement de votre entreprise.
- Veillez à ce que les informations personnelles de vos visiteurs soient exactes, complètes et à jour.
- Ne recueillez pas, n’utilisez pas ou ne divulguez pas d’informations personnelles sans consentement préalable.
- Communiquez clairement le but de la collecte des données et la manière dont vous allez les traiter.
- Conservez les informations personnelles uniquement aussi longtemps que nécessaire.
- Renseignez les visiteurs des types d’informations que vous collectez, des tiers avec lesquels vous les partagez et des risques possibles pour les personnes impliquées (faites-le dans votre politique de confidentialité ou lorsque vous demandez le consentement de l’utilisateur).
- Maintenez des mesures et des pratiques transparentes concernant la gestion des informations personnelles et rendez-les accessibles au public.
- Permettez aux utilisateurs d’accéder aux informations personnelles que vous traitez et de les passer en revue.
- Donnez-leur la possibilité de contester votre conformité au PIPEDA et de contacter votre directeur de la protection de la vie privée à cet égard.
- Mettez en œuvre des mesures de sécurité pour protéger les informations personnelles proportionnées à leur sensibilité.
Considérez que le PIPEDA autorise deux types de consentement :
- Consentement explicite – donné par une action explicite, comme cliquer sur le bouton « J’accepte ».
- Consentement implicite – se produit par l’action ou l’inaction des utilisateurs, comme ignorer l’option de désinscription sur la bannière de consentement.
Cependant, la première option est recommandée, au cas où un utilisateur aurait une plainte concernant votre conformité et vous devriez prouver la validité du consentement.
Loi sur la protection de la vie privée des consommateurs (CPPA)
Le CPPA est la solution canadienne pour conformer aux normes de la protection de la vie privée d’aujourd’hui. La loi vise à subvenir aux besoins des Canadiens dont l’activité repose sur la technologie numérique et à répondre aux commentaires reçus sur la législation existante.
La loi est actuellement à l’étape de projet et, à l’avenir, complétera le PIPEDA. Elle s’appliquera à toute organisation qui partage des renseignements personnels de résidents canadiens à des fins commerciales, ainsi que ceux partagés sur les employés potentiels – ce qui peut également avoir un impact sur votre entreprise de commerce électronique si vous décidez de recruter un employé canadien à votre équipe.
Mesures pour une entreprise de commerce électronique conforme au CPPA :
- Utilisez des mesures de sécurité pour protéger les informations personnelles que votre entreprise (ou quelqu’un d’autre en votre nom) recueille, utilise ou divulgue.
- Désignez une personne responsable de la conformité de votre entreprise. Partagez ses coordonnées, par exemple, dans votre politique de confidentialité ou à la demande d’un utilisateur.
- Veillez à ce que vous ayez un but raisonnable pour la collecte, l’utilisation ou la divulgation de renseignements personnels. Posez-vous les questions suivantes : La collecte de données représente-t-elle un besoin commercial réel de votre entreprise ? Etes-vous en mesure d’atteindre le même objectif en collectant moins de données ? Une violation potentielle de la vie privée d’un individu est-elle proportionnelle aux avantages ?
- Obtenez un consentement valable, explicite ou implicite, pour la collecte, le traitement et la divulgation de renseignements personnels. Nous en discuterons plus en détail dans la partie suivante de cet article, consacrée au consentement.
- Permettez aux utilisateurs de transférer leurs informations personnelles à une autre organisation comme une banque ou une compagnie d’assurance.
- Permettez aux utilisateurs de demander la suppression de toutes leurs données.
- Établissez des procédés transparents pour le traitement des informations personnelles. Décrivez en détail : comment vous protégez les informations personnelles; comment vous traitez les demandes d’informations et les plaintes; comment vous expliquez les politiques et procédures de votre organisation; comment vous formez votre personnel en matière de conformité.
- Rédigez votre politique de confidentialité en langage clair.
- Informez les utilisateurs des systèmes de décisions automatisés dont vous vous servez pour prédire, recommander ou prendre des décisions concernant un individu.
- Tenez un registre de consentements des utilisateurs sous une forme facilement accessible.
- Traitez les données personnelles des mineurs de la manière dont vous gérez les informations sensibles.
La date de l’exécution finale du CPPA est encore inconnue, tout comme sa forme finale. Par conséquent, si vous gérez votre entreprise au Canada, suivez les mises à jour et adaptez-vous aux changements proposés à l’avance.
Pour en savoir plus sur le PIPEDA et le CPPA, consultez notre article : How the Canadian privacy laws impact your analytics. (en anglais)
Lois sur la protection de la vie privée dans le monde entier
Comme nous l’avons mentionné au début de l’article, les lois sur la protection de la vie privée se répandent rapidement dans le monde entier. De nombreux autres pays qui n’ont pas été mentionnés dans cet article adaptent également leur législation aux normes de confidentialité qui évoluent constamment.
Il s’agit notamment, mais sans s’y limiter, de la Nouvelle-Zélande, du Brésil et de la Suisse. Si vous gérez votre entreprise de commerce électronique dans un autre pays que ceux décrits dans l’article, n’oubliez pas de consulter notre article sur les 11 nouvelles lois sur la protection de la vie privée dans le monde entier. (en anglais)
Interfaces truquées : une solution peu durable
Bien qu’elles ne soient pas directement liées à la vie privée à première vue, les interfaces truquées sont une autre étape importante vers un commerce électronique conforme et convivial. En quelques mots, il s’agit de modèles de conception qui manipulent les utilisateurs dans des actions qu’ils n’ont pas l’intention d’effectuer et qui ne servent qu’aux fins de l’entreprise. Par conséquent, celles-ci sont répandues dans les magasins de commerce électronique dans le but de maximiser leurs ventes par tous les moyens.
Ces pratiques comprennent notamment :
- Forcer les utilisateurs à cliquer sur les boutons « J’accepte » pour éliminer les bannières gênantes.
- Les faire s’abonner au bulletin comme condition pour naviguer davantage sur le site Web.
- Utiliser un langage déroutant, comme les doubles négatifs.
- Masquer le prix total d’un produit ou d’un service jusqu’à la dernière étape du paiement.
- Omettre ou minimiser les informations importantes.
Dans le contexte de la confidentialité, les interfaces truquées sont souvent utilisées pour demander le consentement de l’utilisateur. C’est pourquoi les réglementations en matière de protection de la vie privée telles que le CCPA, la CNIL et le RGPD y répondent. Exemple ? Ne pas donner le choix en ce qui concerne le consentement ou informer l’utilisateur uniquement de la collecte de données.
Pour une liste étendue d’interfaces truquées que votre commerce électronique devrait éviter, consultez notre entrée de glossaire. Pour en savoir plus sur leur non-conformité aux réglementations en matière de confidentialité, lisez notre article How dark patterns conflict with GDPR and CCPA. (en anglais)
Autres mesures pour assurer la conformité
Les changements dans le domaine de la confidentialité impactent de manière importante la façon dont vous faites des affaires et façonnez votre stratégie marketing. Avec le nombre croissant de réglementations établissant de nouvelles règles pour le traitement des données des utilisateurs, cette tendance est susceptible de se maintenir dans les années à venir. Et les entreprises qui appliquent l’approche privilégiant la protection de la vie privée sont sur le point d’acquérir un avantage significatif sur leurs concurrents, à mesure que la sensibilisation des internautes à la protection de la vie privée augmente.
Or, ces changements affectent plus que l’aspect juridique. La bataille se poursuit au niveau technique. Le fait de mettre fin à des campagnes publicitaires de reciblage telles que nous les connaissons en est un exemple. Raison ? La dépréciation des cookies tiers qui permettent aux fournisseurs de suivre les visiteurs sur les sites Web et de partager l’historique de leur navigateur avec d’autres entreprises, principalement à des fins publicitaires. Des navigateurs comme Safari et Firefox ont bloqué et limité leur utilisation, et Chrome de Google fera de même en 2024.
C’est pourquoi les entreprises de commerce électronique doivent repenser leurs stratégies et s’adapter aux nouvelles normes juridiques et techniques en matière de confidentialité. Cette pratique renforcera la confiance de vos clients et vous permettra de rester efficaces dans les activités de marketing et d’analyse.
Bien que cela puisse sembler décourageant, vous y arriverez pas à pas. Pour vous faciliter la tâche, nous avons compilé une courte liste d’activités qui vous permettront d’évaluer votre pile technologique actuelle et de vous assurer que les plateformes que vous utilisez favorisent votre conformité et efficacité :
- Choisissez des fournisseurs de technologies soucieux de respecter les normes de la confidentialité. En effet, ceux-ci conçoivent leurs outils selon les principes de confidentialité dès la conception et de confidentialité par défaut. Cette approche leur permet de s’adapter plus aisément aux nouvelles réglementations.
- Veillez à ce que les outils que vous utilisez vous permettent de respecter les choix des visiteurs en fournissant des options opt-in et opt-out ainsi que des demandes d’accès ou d’exercice de leurs droits. Alternativement, ils vous permettent d’anonymiser complètement les données et de collecter des informations sur les utilisateurs sans l’accord ou le refus de consentement. Pour en savoir plus sur ce concept, consultez notre article Anonymous tracking : How to do useful analytics without personal data. (en anglais)
- Si vous menez votre activité commerciale dans l’UE, choisissez des plateformes technologiques retenues par et situées dans l’UE, au lieu de celles qui transfèrent les données des utilisateurs aux États-Unis. Pour cette même raison, Google Analytics ne serait pas un choix optimal pour réaliser des analyses Web. Pour en apprendre davantage, consultez notre article Bouclier de protection des données 2.0 : sa définition et ses retombées sur votre fonctionnement.
- Privilégiez les sources de données de première partie à celles des tiers. Étant donné que le suivi par des tiers soulève des problèmes de confidentialité ainsi que devient de plus en plus difficile en raison des nouveaux paramètres de confidentialité dans les navigateurs et de la popularité des bloqueurs d’annonces, le moyen le plus efficace de collecter des données utilisateur précieuses est de s’appuyer sur vos propres sources. Les plateformes telles que les CDP (plateformes de données clients) vous permettent d’intégrer les données de votre CRM, de vos analyses, de vos enregistrements hors ligne, etc. Vous pouvez ensuite les utiliser pour créer des vues client uniques et activer vos audiences dans les réseaux publicitaires, les outils A/B et d’autres outils de votre pile. Elles vous donnent également un contrôle total sur ces données. Pour en savoir plus sur l’utilisation efficace d’une CDP, consultez notre article : How to perform successful audience targeting with a CDP. (en anglais)
Rendez vos analyses de commerce électronique conformes en matière de confidentialité
Si vous souhaitez rendre vos analyses Web ou d’applications conformes aux réglementations en matière de confidentialité des données et conserver les fonctionnalités de commerce électronique cruciales, vous pouvez y parvenir avec Piwik PRO Analytics Suite. La plateforme offre un gestionnaire de consentement intégré, un large éventail de méthodes d’anonymisation des données et des paramètres de confidentialité facilement configurables. Piwik PRO a également été répertorié par la CNIL comme une plateforme respectueuse de la vie privée. Piwik PRO Analytics Suite, lui, est utilisé par des organisations telles que la Commission européenne, le Crédit Agricole, le gouvernement des Pays-Bas et DKMS.