Face à une crise sans précédent, le gouvernement envisage la mise en place d’actions de surveillance des personnes afin d’endiguer la propagation du coronavirus au travers d’enquêtes sanitaires et d’applications rendues possibles grâce aux technologies de tracking mobile. La CNIL en a profité pour rappeler le règlement de l'Union européenne en matière de protection des données à caractère personnel (RGPD), obligatoire depuis maintenant deux ans.
Un contexte propice pour s’interroger sur la propriété des datas d’un site marchand afin de mieux protéger vos droits et ceux de vos clients.
En quoi consistent les données d’un site e-commerce ?
De nombreuses composantes constituent un site et la protection de ces éléments relève de différentes réglementations. Si les données clients font souvent l’objet des gros titres, les informations liées à l’exploitation du site sont bien moins évoquées et pourtant ce sont des données fondamentales qui constituent le fonds de commerce du marchand.
Elles comprennent toutes les informations de votre catalogue, mais aussi logistiques, transactionnelles et bien sûr clients.
En règle générale, tout ce qui concerne la conception du site peut être protégé par le droit d’auteur. Il s’agit du contenu créatif, comme le web design ou les éléments graphiques, les textes ou visuels (illustrations, photographies, dessins), les musiques ou vidéos à partir du moment où celles-ci vous appartiennent.
Les bases de données, quant à elles, relèvent d’une législation spécifique, mise en place par l'Union européenne : sui generis, un terme latin de droit, signifiant « de son propre genre », qualifiant une situation juridique dont la singularité empêche tout classement dans une catégorie déjà répertoriée.
Cette protection, reprise par la législation française, couvre le contenu de la base « lorsque la constitution, la vérification ou la présentation de celui-ci (le contenu) atteste d'un investissement financier, matériel ou humain substantiel. Cette protection est indépendante et s'exerce sans préjudice de celles résultant du droit d'auteur ou d'un autre droit sur la base de données ou un de ses éléments constitutifs. » (article L. 341-1 et suivants du Code de la propriété intellectuelle
Une réglementation majeure d’autant que les bases de données comprennent les informations stratégiques du site, à savoir :
- Le catalogue produits avec l’ensemble des caractéristiques, mais aussi parfois le sourcing (fournisseur ou fabricant, prix d’achat…) et la politique tarifaires (prix catalogue, promotions, lots)
- Les informations logistiques (frais de stockage, mode et coût d’expédition)
- Les données transactionnelles liées aux paniers d’achats et modes de paiement
- Les datas de trafic et d’interactions avec les contenus du site
- Les données comportementales de vos prospects et clients : fréquence de visite, d’achat, intentions d'achat, mises en favoris, historiques des achats, etc.
Si certaines informations sont publiques, la plupart sont confidentielles et uniquement accessibles depuis votre back-office.
Qui peut exploiter ces données ?
À première vue, seul le marchand a la possibilité d’exploiter ces données sauf s’il autorise un tiers à y accéder. C’est le cas des différents prestataires que vous pouvez être amené à choisir comme une agence partenaire, digitale ou média, mais aussi votre hébergeur, la société de maintenance ou de sauvegarde de votre site. Dans ce cas, vous pouvez protéger vos données en soumettant votre collaboration à un accord de confidentialité.
Toutefois, en fonction de la technologie utilisée pour développer votre site e-commerce, vous pouvez ne pas avoir la main sur ces différents opérateurs. En effet, si vous avez eu recours à une solution open source, comme PrestaShop, vous êtes libre de sélectionner vos partenaires. En revanche, si vous avez opté une technologie en mode SaaS, certains services vous seront imposés.
Particularités des données clients
La collecte et le traitement des données à caractère personnel de vos prospects et clients sont de votre responsabilité. Quelles sont les informations concernées et quelles sont les actions réglementées ?
Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée personnelle consiste en toute information se rapportant à une personne physique identifiée ou identifiable, c’est à dire un nom, un prénom ou un identifiant (n° client, de sécurité sociale…), un numéro de téléphone, une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image.
Un fichier ne contenant que des coordonnées d’entreprises (par exemple, nom de l’entreprise avec son adresse postale, le numéro de téléphone du standard et un email de contact générique) ne constitue pas des données personnelles.
Quelles données peut-on collecter ?
La collecte de données doit répondre à un objectif, une finalité. Elle doit évidemment être légale et légitime au regard de votre activité professionnelle. Par exemple, vous pouvez recueillir des informations concernant l’accès au lieu de résidence de votre client (adresse, code de porte) uniquement si votre activité le justifie (livraison ou visite à domicile).
En quoi consiste le traitement des données ?
Le traitement de données personnelles regroupe l’ensemble des opérations pouvant être effectuées sur les données. Tout d’abord la collecte des données au travers de formulaire le plus souvent, puis l’enregistrement, l’organisation, le stockage et la sauvegarde.
Le traitement concerne également l’extraction des données et les phases d’analyse, de consultation ou encore l’utilisation ou la mise à disposition pour des actions de marketing direct par exemple.
Le marchand est-il seul destinataire de ces données ?
Tout dépend de votre solution logicielle. Les plateformes en mode Saas, qui conservent vos données sur leurs serveurs, ont non seulement accès à ces informations, mais certaines se réservent le droit de les exploiter. C’est le cas, par exemple de Shopify, qui le mentionne dans sa Politique de Confidentialité « Vous acceptez également d'obtenir le consentement de vos clients pour l'utilisation et l'accès à leurs renseignements à caractère personnel de la part de Shopify et de tiers » et ce y compris pour des informations personnelles à caractère sensible.
Des informations que la plateforme se réserve le droit d’exploiter : « Shopify peut communiquer avec vos clients ou effectuer du démarchage auprès d'eux si nous obtenons leurs renseignements de la part d'une autre source, comme un contact direct initié par les clients (par exemple, s'ils utilisent des services visibles par les consommateurs de Shopify comme Arrive ou Shopify Pay » (l’application de suivi de commande et la solution de paiement).
Il vous appartient d’ailleurs d’en informer vos clients dans votre propre politique de confidentialité.
Si vous utilisez une solution open source, les données de vos clients sont hébergées par vos soins, via le prestataire que vous aurez choisi. L’entreprise PrestaShop, par exemple, n’héberge aucune donnée des marchands utilisant son logiciel.
Compte tenu du coût d’acquisition client, il semble donc judicieux de faire le choix d’une solution qui vous garantit la plus grande autonomie. Un critère d’autant plus primordial si votre activité vous amène à collecter des informations sensibles ou rares.
Et vos données personnelles à vous marchands ?
Vos noms d’entreprise et/ou de marques, votre (vos) logos vous appartiennent si vous avez bien évidemment procédé à leur dépôt. Toute personne souhaitant les utiliser doit préalablement vous en faire la demande. Toutefois, là encore, vérifier les conditions de votre solution logicielle. Certaines solutions SaaS spécifient qu’elles « disposent du droit non exclusif et d'une licence d'utilisation des noms, marques de commerce, marques de service et logos associés à votre Boutique pour promouvoir le service. »
À l’heure où le débat sur la protection des données personnelles revient en première ligne, il est important de nous rappeler que notre modèle européen de protection des données est l'un des plus protecteurs au monde.
Les entreprises du numérique « made in Europe » participent à garantir cette protection avec des solutions conçues en application des lois européennes. Des entreprises qu’il faut peut-être envisagées de privilégier face aux solutions outre-Atlantique moins contraintes par la notion de vie privée ou « privacy ».
