Commerces et RGPD

Introduction: Tout d’abord rappelons pourquoi nous parlons du RGPD.
Internet et les outils numériques se développent de plus en plus même dans vos commerces et pendant des années l’usage s’est fait avec un cadre juridique qui était soit ancien, soit différent entre les pays ou les deux en même temps. Toute activité informatique a besoin, utilise et génère des informations (données) et par respect à la vie privée des personnes, nous ne pouvons pas faire n’importe quoi.
En France les activités numériques ont eu comme cadre pendant longtemps la loi Informatique et liberté de 1978 qui fut modifiée en 1991 et 2004 ! Cette loi est toujours en vigueur.
Plus récemment, l’Union Européenne s’est elle aussi penchée sur le sujet et à fait un travail pour harmoniser un texte à l’échelle de ses états membres et surtout pour répondre à des pratiques bien souvent intrusives et sans déontologies de la part de nombreux opérateurs. On pourrait penser que nous ne sommes que des numéros anonymes dans les bases de données, mais c’est faux. Les algorithmes arrivent à regrouper les données et à savoir beaucoup de choses sur nous-même et nos comportements. C’est pour remettre un peu d’ordre dans toutes ces pratiques que l’Union Européenne à voté le RGPD en 2016 pour une application en 2018. Le RGPD est le texte de loi relatif à la protection des données personnelles (adapté à la loi française).

Attention le RGPD ne s’applique pas qu’aux multinationales qui génèrent des milliards, mais aussi aux petites entreprises qui créent, remplissent et utilisent des fichiers, listes de clients, liste des employés ou toute autres informations qui permettent d’identifier et qualifier un individu. Exemple: Un nom, un prénom et une adresse/email/téléphone …

Par contre, il ne faut pas croire que RGPD interdit d’avoir des informations sur les clients. Le RGPD est là pour faire en sorte que ces informations ne soient pas utilisées n’importe comment et que le client soit conscient des traitements réalisés et surtout qu’il donne son consentement explicite et éclairé. 
Voici un lien vers la présentation précise de la CNIL (Commission Nationale de l’Informatique et des Libertés).

Donc tous les commerces qui ont un fichier/répertoire clients doivent se conformer au RGPD et si vous ne le respectez pas, les sanctions sont dissuasives. (lien vers les sanctions)

Quelles sont les obligations du RGPD pour les commerces ?

Comme déjà dit précédemment, les obligations sont les mêmes pour toutes les entreprises quelque soit la taille. Et comme tout professionnel la CNIL considèrera que vous devez répondre à ces obligations. Voyons ensemble les principaux éléments.

Pour commencer, qui est responsable du traitement des données dans vos commerces ? C’est au gérant de choisir la personne qui s’occupe de la bonne application du RGPD. Cette personne est appelée un DPO (En français c’est le délégué à la protection des données), devra être déclaré à la CNIL et de faire à minima ce qui suit:

1. Se demander qu’elles sont les données que vous avez sur vos clients ? Leur noms ? Adresses ? Adresses emails ? Numéro de téléphone ? Dates de naissance ? Produits achetés ? La liste peut être longue et en cherchant bien, sans vous en apercevoir vous avez beaucoup d’informations. Dites vous que toutes ces données rattachées à une personne entrent dans le cadre du RGPD. Repérer toutes ces données s’appelle cartographier les données. 
   
   
2. La question suivante à se poser, quels sont les traitements que l’on réalise avec ces données ? Ils peuvent être de plusieurs sortes: les enregistrer, les modifier, les supprimer, les utiliser pour envoyer les emails, faire une expédition de colis … Ici on va cartographier les traitements.
   
   
3. Maintenant que l’on a les cartographies des données et des traitements, a t’on le consentement éclairé des clients ? Combien de temps et comment gardons nous les données ? Car il existe aussi les questions de caducité et de sécurité des données. 
   
   
4. Ensuite le DPO devra documenter toutes ces informations et procédures. Mettre en place un registre des traitements.
   
   
5. Puis mettre en place un système de recueil du consentement du client. Sans oublier le droit à l’effacement.
   
   
6. Enfin il devra écrire et mettre à jour la politique de confidentialité de vos commerces.

Mais dans la pratique ?

Si on respecte le texte à la lettre, se conformer au RGPD est beaucoup plus complexe que ces quelques obligations, c’est pour cela que des professionnels (souvent juristes) peuvent vous accompagner pour vous mettre en conformité. Mais en cherchant sur internet vous allez voir que ça coûte très cher.
C’est en tant que gérant que vous devez prendre la décision. Soit vous vous sentez de faire ce travail, soit vous le déléguez.

Sachez que la CNIL se réserve le droit de venir contrôler vos commerces quand elle le souhaite. Avec ou sans rendez-vous au préalable. Raison de plus si un jour, un de vos clients dépose une plainte auprès de la CNIL. Car au final, le RGPD est là pour protéger les personnes physiques que sont vos clients, vos employés …*

En ayant lu cet article vous devez vous dire, pourquoi nos députés européens nous mettent toutes ces obligations ? C’est vrai que le texte aurait pu faire preuve d’un peu plus de graduation, de pragmatisme selon la taille de l’entreprise. Mais, c’est vrai aussi que d’un point de vu de l’individu une donnée reste une donnée quelque soit la taille l’entreprise.

Chez Flytagger nous ouvrons une autre voie, celle de vous offrir tous les outils marketing modernes tout en essayant de prendre à notre compte vos obligations sur les données de vos clients. On sait que votre cœur de métier c’est avant tout le commerce, pas les traitements de données.

Pour aller plus loin: Guide pratique de sensibilisation au RGPD édité par la CNIL

Précédent articles que nous avions fait sur le RGPD:
Notre confiance: Les GAFA en abusent
RGPD : Règlement Général sur la Protection des Données