La loi européenne sur la protection des données s'applique à tous les commerçants basés en Europe ou ayant des habitués européens. Il effectue un important travail d'adaptation et permet à ses revendeurs de se conformer au PIBR. Mais il est important de noter que la norme exige également que vous vous y conformiez, quelle que soit la plateforme.

Il veut faciliter au maximum la conformité des vendeurs. Cet article comprend quelques questions que vous devez vous poser pour identifier vos obligations et vous assurer que vous avez installé votre magasin de manière conforme à la loi.

Cela ne constitue toutefois pas un conseil juridique. La réglementation est compliquée et s'appliquera différemment selon les commerçants. Vous devriez consulter un avocat pour savoir exactement quoi faire.

Pourquoi Shopify ne peut-il pas s'occuper du respect du GDPR par les commerçants ?

La règle impose différentes obligations aux responsables du traitement des données et aux sous-traitants. En tant que chargé de traitement de données, la marque remplit ses obligations légales. Cependant, les négociants (en tant que responsables du traitement des données) ont des obligations autonomes à prendre en considération. Il offre aux commerçants une plateforme qui peut être configurée, mais c'est vous qui devez réfléchir à la manière de gérer votre firme. Shopify s’évertue d’appliquer les règles de GDPR  en matière d’e-commerce.

Toutefois, les entreprises sont responsables de leur application dans les procédures de traitement de base de données clients. À titre d'orientation supplémentaire, les autorités suivantes de l'Union européenne ont fourni des conseils spécifiques aux règlementations:

Collecte de données personnelles

La norme protège les droits fondamentaux des individus au sein de l'Union européenne en ce qui concerne le traitement des données propres. La plupart des sites web sont accessibles aux résidents européens et sont soumis aux dispositions. Pour simplifier le processus, il exige de tous les logiciels qu'elles publient une politique de confidentialité détaillant leurs pratiques de gestion des données, afin que vous puissiez évaluer si les pratiques d'une application vous conviennent. Les logiciels développés sont énumérées dans l'annexe sur le traitement des données et la plateforme est responsable de leur conformité. L'article 30 exige que vous conserviez une trace de vos activités de traitement des données.

Politique de confidentialité

La règlementation (en particulier dans les articles 12 à 14) exige que vous fournissiez des informations spécifiques aux personnes concernées en relation avec le traitement de leurs données, généralement au moyen d'un avis ou d'une politique de confidentialité. Comme point de départ, vous pouvez utiliser le générateur de politique de confidentialité de La marque, qui n'est toutefois disponible actuellement qu'en anglais. Vous pouvez le trouver dans les paramètres, sous Check-out ou en ligne. Il vous demande de spécifier quand vous (ou votre (vos) fournisseur(s) de services) utilisez les données des acheteurs dans le cadre de processus décisionnels automatisés. Le paiement des clients nécessitent l’exploitation de données personnelles. Cette politique de confidentialité, accepté par les entreprises renseigne les clients sur les règlementations prévues dans la protection de leurs informations.

Il utilise les informations exclusives de vos acquéreurs pour bloquer certaines transactions qui semblent frauduleuses grâce à une prise de décision automatisée. Le générateur de politique de confidentialité inclut cette information.

Nomination d'un responsable de la protection des renseignements

Le responsable de la sauvegarde des renseignements  (DPD en abrégé) contrôle la manière dont la société collecte et traite les renseignements personnels. Si l'activité principale de votre entreprise comprend la surveillance en ligne à grande échelle, le protocole vous exige de nommer un délégué à la sauvegarde des renseignements, en précisant ses renseignements  dans la politique de confidentialité. Il prévoit des activités spécifiques à réaliser par le DPD, comme la réalisation d'évaluations d'impact sur la sauvegarde des renseignements  lorsque l'entreprise modifie la manière dont les renseignements personnels sont collectées et traitées. Le responsable de la sauvegarde des renseignements  peut être une personne au sein de la société qui a l'expérience et des réglementations relatives à la sauvegarde des renseignements. Mais vous pouvez également envisager de désigner une société ou un consultant externe comme délégué à la sauvegarde des renseignements. Même si vous n'êtes pas légalement obligé de désigner un délégué à la protection des renseignements , si votre présence en Europe est assez importante, vous pouvez quand même le faire, afin de vous assurer que vous protégez correctement les renseignements  de vos acquéreurs.

Accords de traitement des renseignements

L'article 28 du GDPR exige du responsable du traitement, lorsqu'il traite les renseignements  des abonnés par l'intermédiaire d'un sous-traitant qu'il réglemente l'emploi et le traitement de ces renseignements  par des dispositions contractuelles précises. Ceci est normalement mis en œuvre par le biais d'une annexe sur le traitement des renseignements. Il a automatiquement intégré un accord sur le traitement des renseignements  dans ses conditions de service, conçu pour répondre aux exigences de l'article 28. Pour les commerçants premium, la relation sera régie par des contrats négociés individuellement. Ces commerçants peuvent signer une annexe sur le traitement des renseignements  qui répond à leurs besoins. Les commerçants qui ne s'abonnent pas à une annexe relative au traitement des renseignements. Si vous souhaitez vous abonner à une annexe relative au traitement des renseignements, veuillez contacter votre responsable de la réussite des commerçants. Il peut vous fournir le modèle de l'annexe sur le traitement des renseignements  pour vous abonner.

Consentement du client

Vous pouvez avoir besoin d'obtenir le consentement pour traiter les cookies personnels des acheteurs ou modifier la manière dont vous obtenez ce consentement. Par exemple, vous pouvez avoir besoin d'obtenir un consentement spécifique pour envoyer des messages de marketing aux acquéreurs ou pour utiliser des applications de publicité en ligne ou de reciblage. Lorsqu'un consentement doit être obtenu, il précise que le consommateur doit recevoir des informations détaillées sur les cas d'emploi des cookies. En outre, l'expression du consentement ne peut être déduite, mais doit résulter d'une action positive.

Enfin, lorsque les consommateurs se voient offrir la possibilité de donner leur consentement, la règle générale sur la sauvegarde des cookies  exige qu'ils aient également la possibilité de le révoquer. Cela se fait souvent par le biais d'une fonction de désabonnement. Si vous vous demandez quand et comment obtenir le consentement pour la collecte de cookies personnels, ou dans quelles limites donné aux acheteurs la possibilité de révoquer leur consentement, consultez un avocat expérimenté en droit de la vie privée.

Le consentement n'est cependant qu'une des nombreuses bases juridiques qu’il considère appropriées pour justifier le traitement de cookies  individuelles. D'autres motifs de licéité du traitement des cookies  à caractère personnel sont le respect des obligations contractuelles et des obligations légales. Selon certaines autorités européennes de contrôle, si le consentement est initialement demandé et que le client refuse ou accepte, mais finit par révoquer son consentement, il ne serait plus possible par la suite de fonder le traitement des cookies  à caractère personnel sur une autre base juridique. Par conséquent, vous ne devez soumettre le traitement à un consentement que si vous n'avez pas l'intention (ou ne devez pas) traiter les cookies  sur une base juridique différente.

Si vous pensez avoir besoin d'un consentement pour envoyer des communications commerciales, la case de consentement de votre magasin n'est-elle pas cochée par défaut ? Envisagez de configurer votre magasin de manière à ce que la case de consentement à la commercialisation présentée aux abonnés ne soit pas présélectionnée par défaut, afin de garantir que les acheteurs donnent leur consentement par une action positive.

Consentement parental

Elle prévoit des exigences spécifiques en matière de consentement parental pour le traitement des données des utilisateurs de moins de 16 ans (bien que cet âge puisse être inférieur dans certains pays). Pour ce faire, vous pouvez interdire aux utilisateurs de moins de 16 ans d'accéder à votre site via un logiciel de classification par âge dans l'App Store ou, vous pouvez demander aux visiteurs de confirmer qu'ils ont atteint l'âge de la majorité.

Processus de décision automatisé

La norme exige que vous informiez les tierces si vous utilisez leurs données personnelles pour un processus de décision automatisé. Un processus de décision automatisé implique l'utilisation d'algorithmes pour décider si un utilisateur peut bénéficier de certains services ou offres, s'il doit être soumis à un prix particulier ou s'il est susceptible d'être intéressé par certains types de biens ou de services. Si vous utilisez des solutions comprenant des processus de décision entièrement automatisés (c'est-à-dire sans intervention humaine) qui ont un effet juridique important sur le client, vous devez alors obtenir le consentement du consommateur.

Notification de la violation des informations

Si elle est applicable à votre firme et qu'une violation des informations se produit, vous pouvez avoir l'obligation d'informer les personnes concernées et les autorités de contrôle compétentes. En particulier, la norme prévoit une obligation de signalement lorsqu'une violation d’informations peut entraîner un risque élevé d'atteinte aux droits et libertés des personnes. Cela risque de se produire si les informations sont violées. Dans ce cas, vous êtes tenu de fournir une notification dans les 72 heures seulement après avoir pris connaissance de la violation.

Appel de tiers

Le protocole exige que vous preniez un certain nombre de mesures positives en ce qui concerne la collecte et l'utilisation des informations à caractère personnel par vous et les prestataires de services tiers. La tierce partie comprend Shopify, mais aussi chaque programme tiers que vous utilisez pour votre boutique. Ce dernier a pris des mesures pour vous permettre de comprendre plus facilement à quelles informations personnelles vos logiciels ont accès.

Pour vérifier les informations auxquelles vos programmes ont accès, veuillez suivre les étapes suivantes :

Vous pouvez vérifier les autorisations des logiciels avant même qu'elles ne soient installées, à partir de l'écran d'installation de l'app store.

De plus, il y a une section dans l'app store où chaque logiciel fait référence à sa propre politique de confidentialité, indiquant plus en détail quels logiciels sont collectés par les développeurs de logiciels et comment elles sont utilisées.

Mentre Shopify veut vous faciliter au maximum l'évaluation des procédures d’informations adoptées par les programmes que vous choisissez d'installer, c'est à vous de vous assurer que vous utilisez des logiciels tierces qui sont conformes.

Transferts d’informations internationaux

Le protocole interdit le transport d’informations confidentielles des résidents de l'UE en dehors de l'Europe, à moins que ces informations ne fassent l'objet d'une sauvegarde adéquate.

Shopify protège les informations confidentielles conformément aux dispositions lorsqu'elles sont transférées et traitées aux États-Unis et au Canada.

Il a mis en place ses flux d’infos pour répondre à ces exigences pour le compte des vendeurs. Comme décrites dans la section 12 de la politique de confidentialité de Shopify, toutes les infos confidentielles européennes sont initialement reçues par les revendeurs et traitées en Irlande par International Ltd, la filiale irlandaise. Par la suite, il les transfère conformément aux transferts internationaux.

Pour plus d'infos sur la manière dont le site reçoit et traite les données confidentielles de l'Espace économique européen (EEE) conformément aux normes et aux meilleures pratiques en matière de sécurité de l'information, référez-vous à la documentation officielle de Shopify.