1. Principes fondamentaux du RGPD

  • Transparence et information : Vous devez informer clairement et de manière compréhensible vos clients professionnels de la collecte et de l’utilisation de leurs données.
  • Finalité : Vous ne pouvez collecter des données que pour des objectifs précis, légitimes et déterminés (par exemple, la gestion des commandes, la facturation, la prospection commerciale). Vous ne pouvez pas les utiliser pour d’autres finalités sans en informer les personnes concernées.
  • Minimisation des données : Ne collectez que les données strictement nécessaires à votre activité. Par exemple, pour une commande, vous avez besoin du nom de l’entreprise, du contact, de l’adresse de livraison, mais pas de son numéro de sécurité sociale.
  • Exactitude et durée de conservation : Les données doivent être exactes et mises à jour. Vous ne devez pas les conserver plus longtemps que nécessaire pour la finalité pour laquelle elles ont été collectées. La durée de conservation pour la prospection commerciale est généralement de 3 ans après le dernier contact.
  • Sécurité et confidentialité : Vous devez mettre en place des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données contre la perte, le vol, l’accès non autorisé ou la destruction.

2. Obligations spécifiques pour votre site

Politique de confidentialité (ou de protection des données personnelles)

  • Vous devez avoir une page dédiée, facile d’accès sur votre site, qui explique :
    • Les types de données personnelles que vous collectez (nom, prénom, e-mail, numéro de téléphone professionnel, adresse de l’entreprise, etc.).
    • Les finalités de la collecte (traitement des commandes, envoi de newsletters, gestion du service client).
    • La base légale du traitement (le contrat pour les commandes, l’intérêt légitime pour la prospection B2B, le consentement pour l’envoi de newsletters non liées au contrat).
    • Les destinataires des données (par exemple, le prestataire de paiement, le transporteur).
    • La durée de conservation des données.
    • L’existence des droits des personnes concernées (voir point 3).
    • Les coordonnées pour contacter votre entreprise et, si nécessaire, le Délégué à la Protection des Données (DPO).

Consentement et base légale

  • Vente de produits : Le traitement des données est fondé sur le contrat. Vous n’avez pas besoin d’un consentement explicite pour traiter les données nécessaires à la gestion de la commande.
  • Prospection commerciale B2B : Pour la prospection par e-mail, vous pouvez vous baser sur votre intérêt légitime, à condition que le message soit directement lié à la profession du destinataire et que ce dernier ait été informé de cette utilisation. Vous devez toujours lui donner un moyen simple et gratuit de s’opposer à la réception de futurs messages (lien de désabonnement). Pour d’autres types de prospection (par exemple, un e-mail qui n’est pas lié à son activité professionnelle), le consentement préalable reste obligatoire.
  • Cookies : Si vous utilisez des cookies qui ne sont pas strictement nécessaires au fonctionnement du site (cookies de performance, de marketing, etc.), vous devez obtenir le consentement des visiteurs via une bannière de cookies.

Sécurité des données

  • Connexion sécurisée : Votre site doit utiliser un certificat SSL/TLS (URL commençant par https://) pour chiffrer les données échangées.
  • Paiement sécurisé : Assurez-vous que votre prestataire de paiement utilise des protocoles sécurisés comme le 3D Secure.
  • Gestion des accès : Mettez en place des mots de passe robustes et des mesures pour empêcher l’accès non autorisé aux comptes clients.

3. Droits des personnes concernées

Vous devez mettre en place des procédures simples pour que les professionnels puissent exercer leurs droits concernant leurs données :

  • Droit d’accès : Obtenir une copie de leurs données.
  • Droit de rectification : Corriger les données inexactes.
  • Droit à l’effacement (« droit à l’oubli ») : Demander la suppression de leurs données.
  • Droit d’opposition : S’opposer au traitement de leurs données pour la prospection commerciale.
  • Droit à la portabilité : Recevoir leurs données dans un format structuré et lisible par une machine.

4. Registre des traitements

  • Si votre entreprise emploie plus de 250 salariés, ou si vos traitements de données présentent un risque pour les droits et libertés des personnes, vous devez tenir un registre de vos activités de traitement. Ce document interne recense, pour chaque traitement, sa finalité, les catégories de données et les mesures de sécurité.

5. En cas de violation de données

  • Si une violation de données personnelles (ex : piratage) se produit, vous devez le notifier à l’autorité de contrôle compétente (la CNIL en France) dans les 72 heures, et informer les personnes concernées si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.