Dirora
Retour au blog
Guides

Le RGPD pour les petites boutiques en ligne : la version en langage clair

Dirora Team3 juillet 20268 min read

Si vous exploitez une petite boutique en ligne au Royaume-Uni, vous êtes presque certainement un responsable de traitement au titre du RGPD britannique, et la tâche pratique est plus simple qu'il n'y paraît : sachez quelles données personnelles vous détenez, ayez une raison légale de les détenir, dites aux clients ce que vous en faites, gardez-les en sécurité, et honorez leurs droits quand ils le demandent. Voilà l'essentiel en une phrase. Le reste de ce guide décompose chaque partie en langage clair, en utilisant la terminologie que GOV.UK et l'Information Commissioner's Office (ICO) emploient réellement, afin que vous puissiez vous mettre en conformité sans patauger dans la législation.

Une note rapide et importante avant de commencer : ceci est une information générale, pas un conseil juridique. La protection des données est réglementée et les détails de vos obligations dépendent de votre entreprise spécifique. Quand vous avez besoin de certitude, consultez les orientations de l'ICO sur ico.org.uk ou parlez à un professionnel. Cela dit, démystifions-le.

Ce que « RGPD » veut vraiment dire au Royaume-Uni aujourd'hui

Depuis le Brexit, le Royaume-Uni applique sa propre version appelée RGPD britannique, qui coexiste avec le Data Protection Act 2018. Pour une petite boutique, les règles pratiques sont globalement les mêmes que le régime européen dont vous avez peut-être entendu parler. Deux rôles comptent :

  • Responsable de traitement — vous décidez pourquoi et comment les données personnelles sont utilisées. Si vous exploitez la boutique, c'est vous. Vous portez la responsabilité juridique.

  • Sous-traitant — une entreprise qui traite les données pour votre compte selon vos instructions, comme votre prestataire de paiement, votre outil d'e-mailing ou votre plateforme de boutique. Ils ont leurs propres obligations, mais ils ne suppriment pas les vôtres.

Cette distinction importe pour la façon dont vous parlez de vos outils. Votre plateforme e-commerce, votre compte Stripe, votre service de newsletter — ce sont des sous-traitants agissant pour vous. Ils fournissent une infrastructure sécurisée, mais vous restez le responsable qui doit avoir une politique de confidentialité, répondre aux demandes des clients et prendre les décisions de jugement. Aucune plateforme ne « gère le RGPD à votre place » de bout en bout, et vous devriez être sceptique envers toute plateforme qui le prétend.

Étape un : sachez quelles données personnelles vous détenez

Les données personnelles sont toute information qui identifie une personne vivante. Dans une boutique en ligne typique, c'est plus que vous ne le penseriez :

  • Noms, adresses de livraison et de facturation, adresses e-mail et numéros de téléphone

  • Historique des commandes et ce que quelqu'un a acheté

  • Mots de passe des comptes (hachés, on l'espère) et enregistrements de connexion

  • Adresses IP, identifiants de cookies et données d'analyse

  • E-mails du service client et toutes les notes que vous gardez sur les gens

  • Abonnés à la newsletter et préférences marketing

Les numéros de carte sont un cas particulier : si vous encaissez les paiements via Stripe ou PayPal, les données sensibles de carte sont traitées par eux, non stockées dans votre boutique, ce qui vous tient entièrement à l'écart de la partie la plus risquée des données de paiement. C'est un avantage réel d'utiliser un sous-traitant établi plutôt que de bricoler votre propre paiement.

L'exercice pratique consiste à passer vingt minutes à noter chaque endroit où vivent les données clients : la base de données de votre boutique, votre boîte e-mail, votre outil marketing, votre tableur de contacts grossistes. Vous ne pouvez pas protéger ou gérer des données que vous avez oublié de posséder.

Étape deux : ayez une base légale pour les utiliser

Le RGPD britannique dit que vous avez besoin d'une raison valable — une « base légale » — pour chaque chose que vous faites avec des données personnelles. Il y en a six, mais les petites boutiques s'appuient surtout sur trois :

  • Contrat — vous avez besoin du nom et de l'adresse de quelqu'un pour exécuter la commande qu'il a passée. Aucun consentement séparé requis ; vous ne pouvez pas expédier un colis nulle part.

  • Obligation légale — vous devez conserver certains registres de transactions pour le HMRC et à des fins fiscales, vous êtes donc autorisé à conserver les données de commande aussi longtemps que la loi l'exige.

  • Consentement — pour les choses que le client n'a pas demandées, principalement les e-mails marketing. Le consentement doit être une action claire et positive d'adhésion (une case pré-cochée ne compte pas), et il doit être aussi facile à retirer qu'à donner.

L'erreur à éviter est de tout regrouper sous « consentement ». Vous n'avez pas besoin de consentement pour envoyer une confirmation de commande — cela fait partie du contrat. Vous en avez besoin, dans la plupart des cas, pour ajouter un acheteur à votre newsletter. Garder ces éléments séparés est à la fois plus conforme et plus honnête.

Étape trois : rédigez une politique de confidentialité réellement lisible

Chaque boutique a besoin d'une politique de confidentialité, et elle devrait être assez claire pour qu'un client puisse la comprendre. Au minimum, elle explique :

  • Qui vous êtes et comment vous contacter

  • Quelles données personnelles vous collectez et pourquoi

  • Votre base légale pour chaque usage

  • Avec qui vous les partagez (prestataire de paiement, transporteur, outil d'e-mailing)

  • Combien de temps vous les conservez

  • Les droits du client et comment les exercer

  • Qu'il peut se plaindre auprès de l'ICO

L'ICO publie un modèle gratuit et une liste de contrôle pour les petites entreprises que la plupart des boutiques peuvent adapter en une après-midi. Reliez la politique dans votre pied de page et à la caisse. La protection des données est voisine de la transparence envers le consommateur en général — le même réflexe qui vous fait être clair sur les retours et la livraison au titre du droit britannique de la consommation et des réglementations sur la vente à distance est exactement celui que vous voulez ici.

Étape quatre : réussissez le consentement aux cookies

Les cookies sont régis par le PECR (les Privacy and Electronic Communications Regulations) fonctionnant aux côtés du RGPD britannique, et ils font trébucher beaucoup de boutiques. La règle générale :

  • Cookies strictement nécessaires — le panier, la connexion, la sécurité — peuvent fonctionner sans consentement car le site ne fonctionnera littéralement pas sans eux.

  • Tout le reste — analyse, pixels publicitaires, traqueurs marketing — nécessite le consentement du visiteur avant de se déclencher. Cela signifie une bannière qui laisse les gens accepter ou refuser les cookies non essentiels, refuser étant aussi facile qu'accepter.

Si vous avez greffé un pixel Facebook et Google Analytics sur votre boutique, ils nécessitent un consentement. Une bannière qui dit seulement « en utilisant ce site, vous acceptez les cookies » n'est pas un consentement valable selon les orientations actuelles de l'ICO. Utilisez un véritable outil de consentement qui bloque les scripts non essentiels jusqu'à ce que le visiteur accepte.

Étape cinq : ne gardez que ce dont vous avez besoin

Deux principes font beaucoup de travail : la minimisation des données (ne collectez que ce dont vous avez réellement besoin) et la limitation de la conservation (ne les gardez pas éternellement). Vous n'avez pas besoin de la date de naissance d'un client pour lui vendre une bougie. Vous n'avez pas besoin de conserver les données d'un compte dormant pendant une décennie. Fixez des durées de conservation sensées — par exemple, conservez les registres de commande aussi longtemps que la loi fiscale l'exige, puis supprimez ou anonymisez le reste. Moins de données détenues, c'est moins de données à sécuriser, moins à faire fuiter, et moins à remettre quand quelqu'un en demande une copie.

Étape six : honorez les droits des clients

Les clients ont des droits sur leurs données, et les petites boutiques doivent répondre, généralement dans un délai d'un mois et généralement gratuitement. Ceux que vous verrez réellement :

  • Droit d'accès — quelqu'un peut demander une copie des données que vous détenez à son sujet (une « demande d'accès de la personne concernée »).

  • Droit à l'effacement — le « droit à l'oubli ». Vous devez supprimer ses données sauf si vous avez une raison légale de les conserver, comme des registres fiscaux liés à une vraie commande.

  • Droit de rectification — corriger des détails inexacts.

  • Droit d'opposition — principalement, se désabonner du marketing, ce que vous devez honorer immédiatement.

Vous n'avez pas besoin d'un système sophistiqué pour cela. Vous devez savoir où sont les données (voir l'étape un) afin que, lorsqu'une demande arrive, vous puissiez les trouver, les exporter ou les supprimer sans une panique de deux semaines.

Étape sept : gardez les données en sécurité

Le RGPD britannique exige une sécurité « appropriée », proportionnée à votre taille et à votre risque. Pour une petite boutique, cela signifie les bases sensées : le HTTPS sur tout le site, des mots de passe forts et uniques et l'authentification à deux facteurs sur vos comptes admin, limiter qui dans votre équipe peut voir les données clients, et utiliser des sous-traitants réputés plutôt que des extensions douteuses. C'est là que le choix de votre plateforme aide réellement. Une boutique hébergée vous fournit le SSL, l'hébergement géré, et un flux de paiement où les données de carte ne touchent jamais vos serveurs — une infrastructure que vous devriez sinon construire et maintenir vous-même. Cela réduit votre surface de risque, mais cela ne remplace pas vos propres bonnes habitudes, comme ne pas envoyer par e-mail des tableurs de données clients.

Violations : que faire si cela tourne mal

Une violation de données personnelles est tout incident de sécurité qui expose des données personnelles — un compte piraté, un export mal dirigé, un ordinateur portable perdu. Si une violation est susceptible de menacer les droits et libertés des personnes, vous devez la signaler à l'ICO dans les 72 heures après en avoir eu connaissance, et informer les clients concernés si le risque est élevé. Tout petit manquement n'a pas besoin d'être signalé, mais vous devez enregistrer chaque violation en interne, quoi qu'il en soit. La préparation pratique est simple : sachez qui décide, sachez que l'horloge des 72 heures existe, et gardez la page de signalement des violations de l'ICO en favori.

L'enregistrement et les frais de l'ICO

La plupart des entreprises qui traitent des données personnelles doivent s'enregistrer auprès de l'ICO et payer les frais annuels de protection des données. Pour la grande majorité des petites boutiques, cela se situe dans la tranche la plus basse — un montant annuel modeste plutôt qu'effrayant — et le payer est une obligation légale, pas un extra facultatif. Vérifiez les frais actuels et votre tranche directement sur le site de l'ICO, puisque les chiffres sont fixés par l'ICO et peuvent changer. S'enregistrer signale aussi aux clients que vous prenez leurs données au sérieux.

Où votre plateforme s'insère (et où elle ne s'insère pas)

Voici la frontière honnête. Une plateforme moderne comme Dirora vous donne les outils pour exploiter une boutique de manière responsable : des paiements sécurisés via Stripe et PayPal afin que les données de carte restent chez le sous-traitant, le SSL et des domaines personnalisés d'emblée, et vos propres données clients sous votre contrôle plutôt que dispersées dans des applications additionnelles. Ce qu'elle ne fait pas, c'est prendre les décisions de jugement juridique à votre place — vous êtes le responsable de traitement, vous décidez de vos bases légales, vous rédigez la politique de confidentialité, vous répondez aux demandes d'accès, et vous vous enregistrez auprès de l'ICO. Tout outil n'est jamais qu'un sous-traitant vous aidant à remplir des obligations qui restent les vôtres.

Une bonne pratique des données est aussi une bonne affaire. La confiance que vous bâtissez en traitant les données avec soin est la même confiance qui transforme les premiers acheteurs en acheteurs réguliers — ce qui est exactement le thème de notre guide sur les stratégies de fidélisation client. La conformité et la fidélité tirent dans la même direction : traitez les informations des gens avec respect et ils reviennent.

Questions fréquentes

Le RGPD s'applique-t-il à une minuscule boutique en ligne d'une seule personne ?

Oui. Le RGPD britannique s'applique à toute entreprise qui traite des données personnelles, quelle que soit sa taille. Il n'y a pas d'exemption pour être petit ou nouveau. Pour une petite boutique, la conformité est surtout une poignée d'habitudes sensées plutôt qu'un projet énorme.

Dois-je m'enregistrer auprès de l'ICO et payer des frais ?

La plupart des boutiques en ligne qui traitent des données clients doivent s'enregistrer auprès de l'ICO et payer les frais annuels de protection des données, qui pour les petites entreprises se situent dans la tranche la plus basse. Vérifiez votre tranche exacte et le montant actuel sur le site de l'ICO, car les frais sont fixés par l'ICO.

Ai-je besoin du consentement aux cookies si je n'utilise que Google Analytics ?

Oui. Les cookies d'analyse sont non essentiels, ils nécessitent donc un consentement avant de fonctionner. Vous avez besoin d'une bannière de cookies qui permet aux visiteurs de refuser les cookies non essentiels aussi facilement qu'ils peuvent les accepter, et elle devrait bloquer ces scripts jusqu'à ce que le visiteur accepte.

Quelle est la différence entre un responsable de traitement et un sous-traitant ?

Vous, le propriétaire de la boutique, êtes le responsable de traitement — vous décidez pourquoi et comment les données clients sont utilisées et portez la responsabilité juridique. Vos outils, comme votre prestataire de paiement et votre plateforme de boutique, sont des sous-traitants agissant sur vos instructions. Les utiliser ne supprime pas vos obligations.

Que dois-je faire en cas de violation de données ?

Enregistrez-la en interne, et si elle est susceptible de menacer les droits des personnes, signalez-la à l'ICO dans les 72 heures après en avoir eu connaissance. Informez les clients concernés si le risque pour eux est élevé. Tout incident mineur n'a pas besoin d'être signalé, mais vous devez documenter chaque violation dans tous les cas.


Prêt à créer votre boutique ?

Commencez gratuitement — aucune carte de crédit requise.

Commencer