RGPD : quelles conséquences concrètes pour les commerçants ?

Selon une étude réalisée par la CCI Paris Île de France et le Crocis, publiée en septembre 2018, 85 % des dirigeants franciliens, dont 79 % des dirigeants d'entreprises de 1 à 9 salariés, déclarent avoir connaissance des nouvelles règles du règlement européen de protection des données (RGPD). Plus la taille de l'entreprise est grande, plus la connaissance est importante. La proportion atteint 87 % dans les structures de 10 à 49 salariés.

Des chiffres surprenants si l'on considère les nombreux changements et exigences légales imposés par ce règlement. Un bouleversement culturel qui doit être perçu comme une opportunité, selon Laurent Dechaux, directeur général de Sage Europe du Sud. "La donnée personnelle est utilisée aujourd'hui de façon anarchique. Son utilisation n'est pas optimale. Ce règlement va notamment permettre d'organiser la donnée personnelle, de mieux l'exploiter et, au bout du compte, d'offrir un meilleur service au consommateur pour le remettre au centre des relations. Le commerçant va aussi montrer son engagement et prouver qu'il prend des précautions vis-à-vis de l'utilisation des données des clients, ce qui va renforcer leur confiance".

Un besoin de transparence

Le RGPD impose en premier lieu une obligation de transparence. Comprenez par là que vous devez informer vos clients du traitement de leurs données, quelles sont les informations utilisées et stockées, et pour quelle finalité. Vous devez également prouver que vous avez bien recueilli le consentement de votre clientèle. "Dès lors que vous recueillez des données en ligne, que vous envoyez des informations commerciales via une newsletter par exemple, que vous faites remplir un formulaire de contact pour une demande de devis, vous devez obtenir le consentement du client et être en mesure de le prouver en cas de contrôle", avertit Céline Delacroix, secrétaire générale de la Commission commerce au sein de la CCI Paris Île-de-France.

Une case à cocher doit être configurée, notamment sur les sites de vente en ligne. Vous devez par ailleurs mentionner la finalité du consentement, en précisant, par exemple "je recueille vos données pour vous envoyer une newsletter", ou "le recueil de vos données se fait dans le cadre de notre relation commerciale" ou encore "suite à votre demande de devis". En boutique, la logique est la même. Lors de la création d'une carte de fidélité, de l'organisation d'un jeu-concours interne ou organisé avec une association de commerçants, le client doit remplir un formulaire papier où seront indiquées les fins réelles de la prospection.

Un droit à l'oubli

Le nouveau règlement confirme également un droit d'accès et en dessine les modalités d'application. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu'elles le sont, elle a le droit d'obtenir l'accès aux dites données. Le RGPD offre aussi au client la possibilité de retirer son consentement. Pour répondre à cette obligation, vous devez, par exemple, proposer un lien de désabonnement sur un site en ligne ou fournir un numéro de téléphone dédié au traitement de cette réclamation. Le client dispose aussi d'un droit à l'effacement. De quoi s'agit-il ? La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant lorsqu'elles font par exemple l'objet d'un traitement illicite.

Le RGPD prévoit également un droit d'opposition à des fins de prospection. Si les données personnelles d'un prospect apparaissent dans un fichier et que celui-ci ne souhaite plus qu'elles y figurent pour des raisons particulières, il peut désormais s'opposer à ce que ses données soient utilisées par un organisme. Et c'est notamment le cas lorsqu'il n'a pas donné son consentement. "Le commerçant dispose d'un mois pour répondre à une demande de droit d'accès à compter de la réception de la demande du client, ou à une demande de transfert ou d'effacement des données", poursuit Céline Delacroix.

Attention toutefois, toutes les données ne sont pas concernées par ces droits. "S'agissant par exemple de vos factures clients, il est naturellement nécessaire de les garder afin d'être en mesure de prouver l'identité des clients en cas de contrôle fiscal", ajoute Céline Delacroix. Il n'est pas non plus question de nommer un délégué à la protection des données, sauf si vous manipulez des données sensibles (liées à la religion par exemple). "Si vous avez 500 clients, il n'y a pas d'obligation de désigner un DPO", assure Céline Delacroix.

La durée de conservation des données varie selon leur nature et les objectifs poursuivis. Elle peut être librement déterminée par le responsable du traitement sauf contraintes légales. Elle s'élève à trois ans pour les coordonnées d'un prospect, à 5 ans pour les données relatives au contrôle des horaires des salariés, un mois pour des images de surveillance. Les coordonnées bancaires doivent être conservées le temps du paiement uniquement. Tous les 13 mois, vous êtes par ailleurs dans l'obligation de demander le consentement des visiteurs pour le traitement des cookies de votre site de vente en ligne, auquel cas, les données doivent être effacées.

Une sécurisation des données

En tant qu'employeur, vous devez par ailleurs vous assurer que les données personnelles conservées soient sécurisées et qu'elles ne tombent pas entre de mauvaises mains. "Le dirigeant ne peut toutefois exiger qu'un salarié tenu au secret professionnel par ses fonctions signe une clause de confidentialité. Le salarié reste toutefois tenu d'une obligation générale de discrétion et de loyauté inhérente au contrat de travail et peut à ce titre être sanctionné en cas de divulgation à des tiers (salariés compris) d'informations confidentielles", confie Céline Delacroix. La CNIL encourage les employeurs à prévoir une charte dédiée à la protection des données en annexe du règlement de l'entreprise, qui préciserait que les données personnelles sont des informations confidentielles ne devant pas être communiquées à des personnes non autorisées sous peine de sanction.

Si un client estime que ses données ont été collectées ou traitées en contradiction avec la loi, les amendes pourront atteindre jusqu'à 4 % du chiffre d'affaires. "Avant de sanctionner les entreprises, le gouvernement privilégiera l'accompagnement. Compte tenu des enjeux, elles devraient pouvoir bénéficier d'une période de transition pour s'acclimater à cette nouvelle loi", prévient Laurent Dechaux. Le risque est toutefois assez élevé pour faire remonter cette gestion des données personnelles en tête des priorités.