Comment répondre au RGPD avec son site ecommerce ?
5 juillet 2024
ATTENTION
Le présent document n’a pas vocation à offrir de quelconques conseils juridiques mais simplement une information exhaustive relative aux dispositions du Règlement européen du 27 avril 2016. PrestaShop ne peut répondre aux questions spécifiques de ses utilisateurs relatives à la mise en oeuvre des dispositions dudit règlement. En cas d’interrogations, il est conseillé de prendre attache avec un Avocat spécialiste des questions relatives au droit des données personnelles. Le Règlement européen 2016 / 679 du 27 avril 2016 sur la protection des données à caractère personnel est entré en vigueur le 4 mai 2016. Toutefois, afin de laisser le temps aux acteurs économiques de s’y conformer, son application a été différée au 25 mai 2018. Il est par conséquent, si tel n’est pas déjà le cas, grand temps de s’interroger quant aux implications concrètes qui en découlent. Le présent article a ainsi vocation à vous fournir quelques clés
de compréhension concernant les grands principes réaffirmés ou créés par ces nouvelles dispositions mieux connues sous son acronyme : RGPD.
Pourquoi ce règlement ?
Ces nouvelles dispositions créent un cadre européen unifié en matière de protection des données des personnes jusqu’alors régie par la Loi Informatique et Libertés du 6 janvier 1978 et la directive n°95/46/ CE adoptée en 1995 et transposée en droit français par la loi 2004-801 du 6 août 2004. Ces textes ont instauré des principes relatifs à la manière de collecter et de traiter les données personnelles des personnes physiques : consentement de la personne ; finalité préalable à la collecte; sécurisation des données ; encadrement des transferts etc. Adoptés à la fin des années 70 et 90, ces textes ne pouvaient prévoir l’explosion de l’informatique personnelle et d’internet, les réseaux sociaux, les objets connectés, le cloudcomputing, etc. qui font apparaître les limites de ces dispositifs et rendent nécessaire une mise à jour. Par ailleurs, la transposition de la directive dans les différents Etats membres de l’UE avait abouti à des divergences dans les législations nationales, appelant à une harmonisation. En conséquence, la rédaction d’un projet de règlement ne nécessitant pas de transposition et permettant ainsi d’assurer une meilleure harmonisation a été initié en 2012 pour remplacer la directive. Il a été adopté le 27 avril 2016.
Que prévoit le règlement ? Comment s’y conformer ?
Le Règlement vient réaffirmer ou créer des obligations qui s’imposent aux responsables de traitement (I) qui doivent s’assurer de leur respect au travers de la mise en place de diverses mesures techniques et organisationnelles désignées sous le terme d’ « accountability » (II). Enfin, une des nouveautés du règlement tient notamment au rôle accru joué par l’autorité de contrôle et à l’importance des sanctions en cas de non-respect de ses dispositions
par le responsable de traitement (III).
I. LES OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENT
Le règlement impose au responsable de traitement de respecter des obligations relativement :
- Aux traitements (A),
- Au respect des droits des personnes concernées (B).
A. Les obligations du règlement en matière de traitement
1. Les principes de base applicables
aux traitements de données à caractère personnel
L'article 5 du RGPD énumère les différents principes relatifs au traitement des données à caractère personnel.
En vertu de ce dernier, les données doivent être :
a – Traitées de manière licite (voir I.2 ci-dessous), loyale et transparente ;
b – Collectées pour une finalité déterminée, explicite et légitime et ne pas être réutilisées ultérieurement pour une finalité incompatible avec celle initialement prévue au moment de la collecte ;
Pour savoir si le traitement ultérieur envisagé est ou non compatible avec celui indiqué lors de la collecte initiale, il faut prendre en compte différents critères, tels que : l’existence d’un lien entre les finalités initiale et ultérieure (par exemple, un archivage ultérieur des données afin de satisfaire une obligation légale ou encore à des fins statistiques), la nature des données traitées, la relation entre la personne concernée et le responsable de traitement
(par exemple, l’existence d’un contrat), etc