L’essentiel : Les sites de e-commerce doivent respecter des obligations légales concernant la collecte de données personnelles, tout en bénéficiant d’une déclaration simplifiée CNIL NS 48. Ils peuvent collecter des informations telles que l’identité de l’acheteur, les données de paiement, et les détails des transactions. Les données relatives aux cartes bancaires doivent être supprimées après la transaction, sauf en cas de consentement explicite du client pour une conservation prolongée. Les destinataires des données incluent les services internes et les sous-traitants, tandis que les données peuvent être conservées jusqu’à trois ans après la fin de la relation commerciale.

En matière de données personnelles, les sites de e-commerce sont soumis à plusieurs obligations légales mais bénéficient de la déclaration simplifiée CNIL NS 48.

Données dont la collecte est autorisée

Les sites de e-commerce sont autorisés à collecter et traiter les données suivantes :

a) l’identité de l’acheteur : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses de courrier électronique, date de naissance, code interne de traitement permettant l’identification du client (ce code interne de traitement ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d’un titre d’identité). Une copie d’un titre d’identité peut être conservée aux fins de preuve de l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une obligation légale ;

b) les données relatives aux moyens de paiement : relevé d’identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte bancaire ;

c) les données relatives à la transaction telles que le numéro de la transaction, le détail de l’achat, de l’abonnement, du bien ou du service souscrit ;

d) la situation familiale, économique et financière : vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer, profession, domaine d’activité, catégorie socioprofessionnelle, présence d’animaux domestiques ;

e) les données relatives au suivi de la relation commerciale : demandes de documentation, demandes d’essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats et des prestations de services, retour des produits, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande, correspondances avec le client et service après-vente, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client ;

f) les données relatives aux règlements des factures : modalités de règlement, remises consenties, reçus, soldes et impayés n’entrainant pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat. Les informations relatives aux crédits souscrits (montant et durée, nom de l’organisme prêteur) peuvent également être traitées par le commerçant en cas de financement de la commande par crédit ;

g) les données relatives à la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion ;

h) les données relatives à l’organisation et au traitement des jeux concours, de loteries et de toute opération promotionnelle telles que la date de participation, les réponses apportées aux jeux concours et la nature des lots offerts ;

i) les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, notamment leur pseudonyme.

Quid des pièces d’identité ?

En cas d’exercice du droit d’accès ou de rectification, les données relatives aux pièces d’identité peuvent être conservées pendant le délai prévu à l’article 9 du code de procédure pénale (soit un an). En cas d’exercice du droit d’opposition, ces données peuvent être archivées pendant le délai de prescription prévu à l’article 8 du code de procédure pénale (soit trois ans).

Quid des données relatives aux cartes bancaires ?

Les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée, c’est-à-dire dès son paiement effectif. Dans le cas d’un paiement par carte bancaire, elles peuvent être conservées pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l’article L 133-24 du code monétaire et financier, en l’occurrence 13 mois suivant la date de débit. Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé.

Les données de cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement des clients réguliers par exemple). Ce consentement peut être recueilli par l’intermédiaire d’une case à cocher (mais non pré-cochée par défaut), par exemple et ne peut résulter de l’acceptation de conditions générales.

Les données relatives au cryptogramme visuel ne doivent pas être stockées. Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées.

Destinataires des données clients

Dans le cadre de l’activité de commerce électronique, doivent être seuls destinataires des données collectées :

– les personnes chargées du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ;

– les services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle…) ;

– les sous-traitants dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données (article 35 de la loi du 6 janvier 1978 modifiée) et précise notamment les objectifs de sécurité devant être atteints.

– les partenaires, les sociétés extérieures ou les filiales d’un même groupe de sociétés dans les conditions prévues par l’article 6 de la présente norme ;

– les organismes, les auxiliaires de justice et les officiers ministériels dans le cadre de leur mission de recouvrement de créances.

Durée de conservation des données clients

Les données personnelles collectées par les cybermarchands permettant d’établir la preuve d’un droit ou d’un contrat, ou, conservées au titre du respect d’une obligation légale peuvent être archivées.

Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client).

Q/R juridiques soulevées :

Quelles sont les obligations légales des sites de e-commerce concernant les données personnelles ?

Les sites de e-commerce doivent respecter plusieurs obligations légales en matière de protection des données personnelles. Ils sont soumis à la réglementation de la CNIL (Commission Nationale de l’Informatique et des Libertés) et bénéficient d’une déclaration simplifiée, la CNIL NS 48.

Cette déclaration simplifiée permet aux e-commerçants de collecter et de traiter certaines données personnelles tout en respectant les droits des utilisateurs. Les obligations incluent la transparence sur la collecte des données, l’information des utilisateurs sur leurs droits, ainsi que la mise en place de mesures de sécurité pour protéger ces données.

Quelles données peuvent être collectées par les sites de e-commerce ?

Les sites de e-commerce sont autorisés à collecter une variété de données personnelles. Cela inclut l’identité de l’acheteur, comme la civilité, le nom, les prénoms, l’adresse, le numéro de téléphone, et l’adresse e-mail.

Ils peuvent également collecter des données relatives aux moyens de paiement, telles que les numéros de carte bancaire et les relevés d’identité bancaire. D’autres informations, comme les détails des transactions, la situation familiale et économique, ainsi que les données de suivi de la relation commerciale, peuvent également être traitées.

Comment les données relatives aux pièces d’identité sont-elles gérées ?

Les données relatives aux pièces d’identité peuvent être conservées pour une durée spécifique en fonction des droits exercés par l’utilisateur. En cas d’exercice du droit d’accès ou de rectification, ces données peuvent être conservées pendant un an.

Pour le droit d’opposition, les données peuvent être archivées pendant trois ans. Cela permet aux e-commerçants de répondre aux obligations légales tout en respectant les droits des utilisateurs concernant leurs données personnelles.

Quelles sont les règles concernant les données de cartes bancaires ?

Les données de cartes bancaires doivent être supprimées immédiatement après la réalisation de la transaction, c’est-à-dire après le paiement effectif. Cependant, elles peuvent être conservées pour une durée maximale de 13 mois pour des raisons de preuve en cas de contestation.

Ce délai peut être étendu à 15 mois pour les cartes à débit différé. Les données relatives au cryptogramme visuel ne doivent pas être stockées, et les informations doivent être supprimées lorsque la carte expire.

Qui sont les destinataires des données clients collectées par les sites de e-commerce ?

Les destinataires des données clients sont principalement les personnes et services internes chargés de la gestion de la relation client, du marketing, et des opérations commerciales. Cela inclut les services administratifs, logistiques, et informatiques, ainsi que leurs responsables hiérarchiques.

Les sous-traitants peuvent également avoir accès aux données, à condition qu’un contrat stipule les obligations de protection des données. D’autres destinataires peuvent inclure des partenaires commerciaux et des organismes de recouvrement de créances, dans le cadre de leurs missions.

Quelle est la durée de conservation des données clients ?

Les données personnelles collectées par les e-commerçants peuvent être archivées tant qu’elles sont nécessaires pour établir la preuve d’un droit ou d’un contrat. Pour les données utilisées à des fins de prospection commerciale, la durée de conservation est de trois ans à compter de la fin de la relation commerciale.

Cela signifie que les données peuvent être conservées après un achat, l’expiration d’une garantie, ou le dernier contact avec le client, afin de respecter les obligations légales tout en permettant une gestion efficace de la relation client.