CGV conformes au RGPD : quelles sont les modifications à apporter ?

Le Règlement général sur la protection des données (RGPD) est applicable depuis le 25 mai 2018. Il vise à protéger les données à caractère personnel des utilisateurs d'un site internet. Il doit être pris en compte lorsqu’une entreprise rédige ou met à jour sa politique de confidentialité ou ses conditions générales de vente (CGV). 

Quelles sont les obligations en matière de protection des données personnelles ? Comment rédiger des CGV conformes au RGPD ?

Captain Contrat fait le point sur la mise en conformité des CGV au RGPD.

Qu'est-ce que le RGPD ?

Le 25 mai 2018, le RGPD est entré en application avec pour objectif d’harmoniser les pratiques au sein de l’Union Européenne en matière d’utilisation des données personnelles des internautes par les entreprises.

Si vous collectez des données personnelles (nom, prénom, informations de connexions, adresse mail, etc), le RGPD vous est applicable. Vous avez l'obligation de respecter les grands principes suivants :

Le consentement de l’internaute au traitement de ses données

Pour que les données personnelles de l’internaute puissent être utilisées, ce dernier devra expressément avoir donné son consentement. À tout instant, l’internaute pourra revenir sur son accord, s’opposer à un quelconque usage de ses données et réclamer une copie de l'ensemble des informations le concernant stockées par l'entreprise.

Le devoir d’information et de transparence

L'entreprise ne devra collecter que les données indispensables pour atteindre ses objectifs et après avoir clairement tenu informé les utilisateurs. En outre, des mesures de sécurité devront être mises en œuvre pour s’assurer de la sûreté des données collectées et stockées.

Le droit à l’oubli

Chaque site internet et organismes (entreprises publiques, privées…) gérant des données personnelles devront répondre à la demande de suppression des données personnelles d’un individu lorsque ce dernier en fait la demande. Il convient donc de tenir un registre précis permettant de savoir exactement où sont stockées les données en question.

Le délégué à la Protection des Données

Chaque entreprise doit être en mesure de prouver à tout moment être en conformité avec le règlement européen. Autrement dit, elle doit assurer la protection de la vie privée des utilisateurs en contrôlant les flux de données, leur conservation, la modification ou la suppression de leurs données personnelles.

Un Délégué à la Protection des Données (DPO) devra dans certains cas être nommé, notamment dans les organismes qui traitent un nombre très important de données personnelles, voire sensibles. Son rôle est de :

• Surveiller la bonne mise en œuvre du RGPD au sein de l’entreprise, y compris auprès des salariés,
• Décrire la nature des données personnelles collectées, les raisons de la collecte,
• Enregistrer les destinataires des données personnelles et respecter les dates limites de conservation afin d'anticiper leur suppression,
• Surveiller et mettre toutes les mesures en œuvre pour éviter toute intrusion ou violations de données personnelles,
• Gérer les requêtes auprès de l’autorité de surveillance.
  
  

Comment mettre vos CGV en conformité avec le RGPD ?

Les Conditions Générales de Vente à destination des particuliers ont vocation à établir les obligations et responsabilités de chaque partie au contrat. Si la Loi Informatique et Liberté prévoyait déjà certaines obligations pour les professionnels, l'entrée en vigueur du RGPD nécessite de mettre à jour les CGV. 

CGV et RGPD : une clause spécifique aux données à caractère personnel

Les Conditions Générales de Vente (CGV) devront désormais contenir une clause spécifique sur les données personnelles. Elle devra mentionner l’existence des données à caractère personnel et ainsi que la notion de consentement donné par le consommateur.

Plusieurs mentions devront être faites dans cette clause :

• L’identité et les coordonnées du responsable du traitement des données personnelles : entreprise, sous-traitant ;
• Le fondement juridique du traitement : consentement de la personne, exécution du contrat, fondement légal ;
• L’objet de la collecte et les destinataires des données personnelles : diffusion à des fins commerciales, accès à l’espace client ;
• La durée de conservation des données ;
• Les droits de la personne sur leurs données personnelles : droit d’accès, droit au retrait de consentement, droit de rectification, suppression des données, droit à limiter le traitement, droit à la portabilité ;
• L’usage des cookies : consentement ou non de l’internaute ;
• La sécurité des données personnelles : les outils pratiques et organisationnels pour garantir la sécurité des données personnelles collectées ;
• Les modalités de réclamation auprès de la CNIL.

En outre, lors du paiement ou de son inscription, l’internaute devra valider les CGV en cochant une case dédiée pour formaliser son consentement.

Quelles sont les sanctions en cas de non-respect du RGPD dans les CGV ?

Le principe de responsabilisation des entreprises

Depuis le 25 mai 2018, les CGV doivent être conformes à la nouvelle règlementation protégeant les données personnelles des acheteurs.

Pour ce faire, le RGPD repose sur le fait que les entreprises privées sont responsables de leurs actions et ont l’obligation de se mettre en conformité avec la règlementation européenne par leurs propres moyens.

Le règlement opère également une distinction en fonction du rôle de l'organisme entre :

• Responsable du traitement des données ;
• Sous-traitant : ce dernier peut être sanctionné s'il ne respecte pas ses obligations. 

Les sanctions en cas de non-respect du RGPD

Une autorité de contrôle, la CNIL (Commission Nationale de l’Informatique et des Libertés) est en charge de veiller au respect et à la bonne application du RGPD.

En cas de non-respect, des sanctions très lourdes pourront être dictées. En effet, la CNIL est en droit d’imposer des sanctions administratives, graduées selon la violation, prévues en cas de manquement au RGPD.

Deux niveaux de sanctions existent selon le type d’infraction :

• Les manquements les plus faibles : une amende maximale de 10 millions d’euros ou 2% du chiffre d’affaires mondial.
• Les manquements les plus graves : une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros.

Ces sanctions ne sont pas réservées aux géants du web comme Facebook, Google ou Microsoft. Il n'est pas rare de voir des entreprises de plus petites envergures condamnées à de très lourdes amendes.

Toutes les entreprises doivent donc garder en tête que leur site e-commerce doit être conforme à la loi. 

Vous souhaitez mettre à jour vos CGV ?

Faites-vous assister par des professionnels compétents, ne prenez pas de risque. Choisissez l’accompagnement juridique Captain Contrat afin de mettre vos CGV en conformité avec le RGPD.

En résumé :

• Le RGPD impose à toutes les entreprises qui collectent des données personnelles d'informer leurs utilisateurs sur le traitement de leurs données.
• Si vous avez des CGV, vous devez les mettre à jour et vous assurer qu'elles contiennent toutes les informations relatives à la protection des données. 
• Le RGPD prévoit de lourdes sanctions en cas de manquement