Le temps de l’inventaire : le Registre de Traitement

Le temps de l’inventaire : le Registre de Traitement

24 Mai 2021 | Comprendre le RGPD

Le temps de l’inventaire

En tout premier lieu, vous devez rassembler tous les supports sur lesquels sont présentes des données personnelles.
Faites-en un inventaire complet : carnets, fichiers dans les postes de travail, logiciels de comptabilité et de gestion de votre personnel, réseaux sociaux et supports de communication numérique.

Pour ce qui concerne votre site internet, listez tous les formulaires de collecte de données : vos formulaires de contact, d’abonnement à votre infolettre, votre outil de blog s’il permet aux internautes de laisser un commentaire ou un avis, etc…

Le modèle de registre de traitement de la CNIL est un excellent outil pour effectuer cet inventaire.

 Rédiger votre Registre de traitement

Le registre de traitement est obligatoire pour tout organisme public ou privé, donneur d’ordres ou sous-traitant, quelle que soit sa taille.

Le principe est simple : vous listez dans un premier temps les activités de votre entreprise qui nécessitent la collecte et le traitement de données personnelles : gestion des payes, gestion des clients, des prospects et de vos fournisseurs, statistiques de ventes ou de visites sur votre site internet, gestion des accès à vos locaux, etc…
À noter : Le registre est placé sous la responsabilité du dirigeant de la structure.

Créez une fiche par activité et complétez les sections proposées par la CNIL

  • l’objectif poursuivi (la finalité – exemple : la fidélisation client),
  • les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.),
  • les personnes qui ont accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs),
  • la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive)
  • les conditions de sécurisation de ces données.

Dérogation pour les entreprises de moins de 250 salariés
Le RGPD limite cette obligation aux seuls traitements suivants :
les traitements récurrents (ex : gestion de paie, gestion des clients, des prospects, des fournisseurs…)
les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (ex : géolocalisation, vidéosurveillance…)
les traitements qui portent sur des données sensibles (ex : données de santé, infractions, opinions politiques, syndicales ou religieuses…

Tenez votre registre à jour : il vous sera demandé en cas de contrôle

Pour avoir un registre exhaustif et à jour, il est important de consulter et de rester en contact avec toutes les personnes de la structure susceptibles de traiter des données personnelles.
Vous n’avez pas à mentionner au registre les traitements purement occasionnels (exemple : fichier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).
Faites évoluer votre registre pour qu’il devienne le document de référence de toutes les démarches liées aux traitements de DP.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

Consulter l'article de la CNIL sur le Registre des Activités de Traitement

Comment modifier le contenu de la Barre de menu supérieure ?

24 Mai 2021 | Les tutoriels DIVI

Dans DIVI, la Barre supérieure est composée de 2 sections :

  • Le bloc de gauche : il peut contenir le numéro de téléphone, l’adresse e-mail, les icônes de vos réseaux sociaux.
  • Le bloc de droite : il peut contenir le menu supérieur créé dans Apparence > Menus

Comment modifier le numéro de téléphone ou l’adresse e-mail ?

Dans votre Tableau de Bord, cliquez sur Apparence > Personnaliser.
Dans le menu de l’écran suivant, cliquer sur En-tête et Navigation puis sur Éléments de l’en-tête.

Comment changer les icônes des réseaux sociaux et leur adresse ?

Rendez-vous dans le menu du Tableau de Bord, DIVI > Options du thème puis cliquez sur l’onglet « Général ».
Vos réseaux sociaux sont déclarés dans cette page.

Comment modifier le menu de la barre supérieure ?

Rendez-vous dans le menu du Tableau de Bord, Apparence > Menus.
Sélectionner dans le menu déroulant : Barre de menu supérieure.
Pour en savoir plus sur la construction des menus, je vous invite à lire l’article : Modifier ses menus de navigation.

Le temps de l’inventaire : le Registre de Traitement

Les droits des personnes sur leurs données

21 Mai 2021 | Comprendre le RGPD

Garantir aux personnes le plein exercice de leurs droits sur leurs données personnelles

Afin d’assurer à tous le contrôle de ses données à caractère personnel, le RGPD a défini 7 droits fondamentaux.

  1. Droit d’accès
  2. Droit de rectification
  3. Droit à l’effacement
  4. Droit d’opposition
  5. Droit à la portabilité
  6. Droit à la limitation du traitement
  7. Droit à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé

Le droit d’accès

Il assure aux personnes le droit de connaître l’existence d’une collecte et d’un traitement de leurs DP et de pouvoir les consulter à tout moment dans un format compréhensible afin de les corriger ou de demander leur suppression le cas échéant.
Pour cela, les personnes doivent pouvoir en faire la demande facilement au Responsable du traitement.
En retour, et dans un délai raisonnable, le responsable du traitement doit leur fournir une copie des informations suivantes :

  1. les finalités du traitement;
  2. les catégories de données à caractère personnel concernées;
  3. les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
  4. lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  5. l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;
  6. le droit d’introduire une réclamation auprès d’une autorité de contrôle;
  7. lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
  8. l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
    Source : RGPD Article 15 – Droit d’accès de la personne concernée

Le droit de rectification

Il assure aux personnes la possibilité de rectifier ses données si elles sont inexactes ou de les compléter avec des informations en lien avec le traitement du traitement prévu.

Le droit à l’effacement

Plus connu sous le terme de « droit à l’oubli », il assure aux personnes le droit de demander la suppression de leurs données à caractère personnel dans 6 situations exclusivement :

  1. Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  2. La personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;
  3. La personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;
  4. Les données à caractère personnel ont fait l’objet d’un traitement illicite;
  5. Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  6. Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
    Source : RGPD Article 17 – Droit à l’effacement («droit à l’oubli»)

A noter que la loi prévoit que le droit d’effacement ne puisse s’exercer dans certains cas (par exemple: obligation légale, motif d’intérêt publique ou juridique…).

Le droit d’opposition

Le RGPD assure à tous le droit de s’opposer à la collecte et au traitement de ses données à caractère personnel. Ce droit peut s’exercer à tout moment.
Si le traitement est réalisé dans le cadre d’une prospection, aucun motif ne peut être réclamé par le responsable du traitement à la personne qui en fait la demande.
Attention : le droit d’opposition n’implique pas l’effacement des données mais l’arrêt du traitement qui est fait des DP.

Le responsable du traitement a-t-il le droit de refuser à la personne son droit d’opposition ?

  • Non si les données à caractère personnel sont traitées à des fins de prospection.
  • Oui si le responsable du traitement « démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice ». Source : RGPD Article 21 – Droit d’opposition

Le droit à la portabilité

Si les 4 premiers points étaient déjà présents dans la loi Informatique et libertés, le RGPD introduit de nouveaux droits, dont celui de la portabilité.

Le droit à la portabilité permet à la personne concernée de pouvoir récupérer ses données personnelles dans un format structuré et couramment utilisé sur les supports de traitement (informatique par exemple).

Le droit à la portabilité introduit donc la légitimité de récupérer ses données pour soi-même, pour les transmettre à un prestataire ou à un nouveau responsable de traitement, et l’obligation pour les responsables de traitement de travailler avec des outils et fichiers répandus et largement compatibles.

Les données qui peuvent faire l’objet d’une portabilité sont :

  • les données directement fournies par la personne,
  • les données générées par son activité (historique d’achats, géolocalisation, etc…)

Les données non-concernées :

  • les données anonymes,
  • les données déduites ou dérivées (par exemple : issues de traitements d’analyse et statistiques)

Le droit à la limitation du traitement

Lorsqu’une personne souhaite exercer son droit de rectification, d’opposition, ou pour s’opposer à l’effacement, ou encore en cas de traitement illicite (et seulement dans ces 4 cas de figure), elle peut exercer son droit à la limitation du traitement durant la période nécessaire au responsable du traitement d’effectuer les opérations demandées.
Le responsable du traitement dispose d’un mois pour effectuer les opérations demandées. Durant cette période, l’organisme chargé du traitement des DP ne pourra donc plus les utiliser.

Le droit à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé

Toute personne a le droit de ne pas faire l’objet d’un traitement entièrement automatisé (par exemple un profilage) qui a un effet juridique ou qui l’affecte personnellement, sauf

  • si elle a donné son consentement explicite,
  • si ce traitement est nécessaire à l’exécution d’un contrat,
  • si le traitement automatisé est autorisé par des dispositions légales spécifiques.

En outre, la personne doit être informée qu’elle a fait l’objet d’un traitement entièrement automatisé et doit pouvoir en connaître la logique, demander une intervention corrective et contester la décision qui a découlé de ce traitement entièrement automatisé.

La réponse du responsable du traitement en cas de demande d’exercice d’un droit sur les données à caractère personnel

L’article 12 du RGPD indique dans le détail les obligations du responsable du traitement à la suite d’une demande d’une personne. Notamment :

  • le responsable du traitement a un délai d’un mois à compter de la réception de la demande pour répondre à la personne concernée,
  • il doit l’informer de sa décision concernant la demande et justifier cette décision s’il ne peut y répondre favorablement,
  • il peut dans ce délai effectuer un recours juridictionnel ou une réclamation auprès d’un organisme de contrôle,
  • il doit informer tous les organismes auxquels il a transmis les données personnelles de la personne.

Comment faire une demande pour exercer l’un de ses droits ?

Afin d’aider les personnes à exercer leurs droits sur leurs données personnelles, la CNIL propose un grand nombre de modèles de courriers : https://www.cnil.fr/fr/modeles/courrier.

Comment déposer plainte auprès de la CNIL ?

Dans tous les cas, la personne doit préalablement avoir tenté d’exercer ses droits auprès du responsable du traitement et apporter des justificatifs à la CNIL sur le fait que ses demandes n’ont pas abouti ou que ses droits concernant ses DP ne sont pas respectés.

L’obligation de Transparence

20 Mai 2021 | Comprendre le RGPD

Voilà encore un point extrêmement important du RGPD : il s’agit en effet de l’ensemble des règles à respecter et des droits des personnes intéressées par le traitement de données personnelles.

Le Droit à l’Information

Transparence et loyauté

Le responsable de traitement doit aux personnes transparence et loyauté dans le traitement de leurs données, en particulier :

  • informer des raisons de la collecte des données (que cette collecte soit directe ou indirecte, par exemple par l’acquisition de ces données auprès de tiers),
  • expliquer comment ces données seront stockées et exploitées,
  • garantir aux personnes concernées la maîtrise de leurs données (droit d’accès, de rectification, de suppression notamment).

À quel moment ?

Les personnes concernées par un traitement de données doivent être informées avant la collecte des données (en cas de collecte directe) ou dans un délai maximal d’1 mois (en cas de collecte indirecte).

Enfin, tout changement dans le traitement ou dans les conditions d’exploitation, de stockage, d’accès (etc…) doit faire l’objet d’une nouvelle information aux personnes concernées.

Et sous quelle forme ?

Le RGPD insiste sur la nécessité de diffuser ces informations « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ».
Si le volume d’informations est important, prévoyez un accès en deux temps : un texte qui résume l’essentiel des éléments à connaître et un lien vers l’information complète.
Veillez également à ce que les personnes n’aient pas à chercher ces informations. Elles doivent être facilement accessibles.

Sur un site internet

Placez un texte court à proximité de chaque outil de collecte de données personnelles (formulaire de contact, formulaire d’abonnement à la newsletter…) répondant aux questions Qui collecte / Pourquoi / Comment exercer ses droits, et insérez dans ce texte un lien vers votre page de Politique de confidentialité qui regroupera toutes les informations qu’impose le RGPD.
Cette page de Politique de confidentialité doit être facilement localisable sur votre site et son lien doit être présent sur toutes les pages (par exemple dans le menu de navigation ou dans la zone de pied de page.

Quelles sont les informations à fournir en cas de collecte directe ?

De façon systématique :

  • Identité et coordonnées du responsable du traitement,
  • Finalité et base juridique du traitement,
  • Caractère obligatoire ou facultatif de la collecte ainsi que le fondement de l’exigence de la fourniture de ces données et les conséquences en cas de non-fourniture,
  • Liste des destinataires des données,
  • Durée de conservation en précisant les critères du calcul de cette durée,
  • Droits des personnes sur les données traitées, et comment il peut exercer ces droits,
  • Droit de réclamation auprès d’une autorité de contrôle.

Et selon les cas :

  • Coordonnées du Délégué à la Protection des Données (DPO),
  • Intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (si la base juridique est l’intérêt légitime),
  • Existence du droit de retirer son consentement (si la base légale est le consentement),
  • Existence d’un transfert des données hors Union Européenne et les moyens d’accéder aux documents l’autorisant (exemple : clauses contractuelles types de la Commission Européenne),
  • Existence d’une prise de décision automatisée, y compris le profilage, et des informations utiles concernant la logique sous-jacente, l’importance du traitement et les conséquences pour la personne,
  • Toute information pertinente concernant les projets et les traitements ultérieurs pour une finalité différente.

Quelles sont les informations à fournir en cas de collecte indirecte ?

  • Les informations citées précédemment,
  • Les catégories de données traitées,
  • La source d’où proviennent les données.

Y a-t-il des exceptions au droit à l’information ?

Le RGPD prévoit quelques exceptions qui permettent au responsable du traitement de ne pas fournir les informations sur le traitement des données personnelles, notamment :

  • Lorsque la personne concernée par le traitement des DP a déjà été informée (et le responsable du traitement doit ^pouvoir en apporter la preuve),
  • Lorsque la fourniture de ces informations est impossible ou qu’elle nécessite des moyens disproportionnés,
  • Lorsque la fourniture de ces informations compromettrait gravement la réalisation des objectifs du traitement,
  • En cas de nécessité de confidentialité des données.

Le site de la CNIL fournit des exemples de mentions d’informations : https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation

CE QUE DIT LA LOI :

RGPD – Chapitre 3 – Article 12

Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

 

Activer les avis sur vos produits

Activer les avis sur vos produits

20 Mai 2021 | Créer une boutique avec WooCommerce et DIVI

Pourquoi accepter les avis sur votre boutique ?

Avez-vous activé les avis sur votre site ?
Je parierais que non. Lorsqu’on est commerçant, on élude cette question en se disant que 1/ on n’aura pas le temps de les gérer et d’y répondre 2/ on n’a pas du tout envie de s’exposer aux mauvais avis, aux faux avis de nos concurrents, et aux insultes gratuites de ceux qui aiment se défouler sur internet. Mais là encore, placez-vous du côté client : que faites-vous avant de vous décider à acheter un produit sur internet ? Vous consultez les avis !!
Sachez que WooCommerce vous permet de gérer les avis comme les commentaires, c’est-à-dire en choisissant de les contrôler ou non avant leur affichage sur le site, de proposer seulement une note (de 0 à 5 étoiles) ou d’inviter à laisser son expérience d’achat. Et dans tous les cas, répondez aux avis, même les plus mécontents apprécieront.

Comment activer les avis ?

Réglages préalables dans WordPress

Vérifiez que les réglages de WordPress autorisent bien les commentaires.
Rendez-vous sur la page Tableau de Bord > Réglages > Commentaires et vérifiez que les cases suivantes sont cochées :

  • Autoriser les commentaires sur les nouvelles publications
  • X niveaux

Réglez les notifications de nouveaux commentaires : dans la section M’envoyer un message lorsque, cochez

Enregistrez vos modifications.

Comment accepter les commentaires sur son site WordPress (et les Avis dans WooCommerce)

Réglages des avis dans WooCommerce

  • Rendez-vous dans les réglages des produits de WooCommerce (Tableau de Bord > WooCommerce > Réglages), puis cliquez sur l’onglet Produits,
  • Cochez la case Activer les avis produit,
  • Facultatif : cochez la case Afficher le libellé « acheteur certifié » sur les avis client qui indiquera que cet avis provient d’une personne qui a acheté le produit,
  • Facultatif : cochez la case Permettre les avis uniquement « acheteurs certifiés » si vous le souhaitez.

Activer les Notes sur les produits

  • Cochez la case Activer les notes sur les avis si vous souhaitez permettre à vos clients de rédiger un texte.
  • Facultatif : vous pouvez obliger le client à rédiger une note lorsqu’il souhaite laisser un avis.

Lorsque vos réglages sont terminés, pensez à les sauvegarder en cliquant sur le bouton Enregistrer.

Comment gérer les avis reçus ?

Consulter les avis

Les avis sont traités comme les commentaires. Vous pouvez les retrouver :

  • Dans le menu Commentaires de votre Tableau de Bord
  • Dans la page de votre produit (Tableau de Bord > Commentaires).

Maîtriser les avis qui s’affichent sur vos pages produit

Vous pouvez modérer les avis reçus, les supprimer et gérer les spams, tout comme vous le faites pour les commentaires sur vos articles.

Améliorer la gestion des avis

Des extensions compatibles avec WooCommerce comme Customer Reviews for WooCommerce permettent d’automatiser les invitations à vos clients à laisser leur avis après leur achat. Nous les connaissons tous : quelques jours après avoir acheté en ligne ou en magasin, nous recevons un e-mail nous demandant quel est notre degré de satisfaction de notre achat.

Ces extensions sont la plupart du temps payantes mais si vous n’en avez pas les moyens, vous pouvez consulter vos clients manuellement, et éventuellement en leur proposant un bon de réduction s’ils laissent un avis.

Les avis sont précieux (surtout les bons !), exploitez cette fonction intégrée dans WooCommerce !

Activer les avis sur vos produits

Suivre et chouchouter ses clients

18 Mai 2021 | Créer une boutique avec WooCommerce et DIVI

Qui sont vos meilleurs clients ?

Le rapport Clients, accessible depuis WooCommerce > Clients, vous permet de consulter les clients de votre boutique ainsi que leurs données d’achat (adresse de livraison et facturation, date d’inscription, achats).
Vous pouvez ainsi aisément visualiser les clients les plus fidèles et ceux qui ont le plus acheté dans votre boutique (ce ne sont pas forcément les mêmes !).

Remerciez-les !

Comment faire revenir ses clients dans sa boutique en ligne ?
Mettez-vous un instant à leur place : qu’est-ce qui vous donnera envie de retourner sur le site d’un e-commerçant chez lequel vous avez déjà effectué une commande ?

L’expérience d’achat

Si la commande s’est bien passée (de la recherche des produits à la réception du colis), votre client n’aura pas de réticence à revenir. Soignez donc chaque étape de l’expérience d’achat avec une grande attention (notifications automatiques pour l’avertir du traitement de la commande, petit mot de remerciement dans le colis, mise en avant des produits, navigation facile dans le site, etc… autant de points à vérifier avec un œil de client sur votre propre site).

Les petites attentions

Notez la date anniversaire de vos clients et envoyez-leur un petit mot sympa ou un bon de réduction. Informez-les également que leurs produits préférés sont de retour en boutique ou qu’une nouvelle collection devrait leur plaire tout particulièrement.

Les newsletters et les réseaux sociaux

Nous le savons, nous sommes tous extrêmement sollicités par les sites marchands et il ne nous viendrait pas à l’esprit, sauf à avoir un besoin précis, d’aller naviguer sur les différents sites de e-commerce pour voir si par hasard quelque chose pourrait nous tenter. Le lèche-vitrine sur le web, ça ne fonctionne pas tellement, n’est-ce pas ? Il est donc important de mettre en place des outils qui vont donner à votre client l’envie de venir sur votre site.
Les publications pour promouvoir un produit ou une gamme sur vos réseaux sociaux sont un excellent moyen : vos abonnés, vos fans, vos followers (appelez-les comme bon vous semble) recevront l’info dans leur fil d’actualité et la qualité de vos produits et la façon dont vous en parlerez feront le reste.
L’outil de newsletter est également incontournable pour une boutique en ligne : il vous permettra d’informer vos clients de vos nouveautés, des promotions en cours et de votre actualité. Choisissez un outil compatible avec WooCommerce pour bénéficier pleinement de cet outil.

Les codes promo et les soldes

Voilà deux outils précieux pour le e-commerçant.
Les codes promo sont faciles à créer et à partager dans WooCommerce (voir l’article : Comment créer des coupons de réduction dans WooCommerce ?).
Quant aux soldes, préparez-les soigneusement, créez pour l’occasion une page spéciale en créant par exemple une Catégorie de produits « Soldes » à laquelle vous relierez les produits soldés et déterminerez leur prix promotionnel (voir l’article Comment mettre un produit en promo ?), et surtout communiquez au maximum en amont pour créer l’événement.