FAQ sur le RGPD

En savoir plus sur les questions fréquemment posées liées au RGPD. Ces explications sont offertes à titre informatif uniquement et ne constituent aucunement une recommandation juridique professionnelle. Veuillez consulter des conseillers juridiques indépendants pour obtenir des informations particulières à votre pays et à votre cas.

Pourquoi Shopify n'inclut pas de case à cocher « Accepter les conditions générales et la politique de confidentialité » au passage à la caisse ?

Shopify a très attentivement pensé au RGPD, et nous avons conçu notre plateforme de façon à offrir à nos marchands une expérience commerciale de premier ordre, conforme aux lois sur la confidentialité et la protection des données, comme le RGPD.

Obtenir un consentement explicite et affirmatif des clients pour traiter leurs données peut, lorsque cela est mis en œuvre correctement, être un moyen utile d'assurer la transparence et de gagner la confiance du client. Cependant, lorsque les cases à cocher ne sont pas utilisées de manière appropriée, elles peuvent être déroutantes pour le client, créer des attentes inappropriées, voire causer des problèmes juridiques pour les marchands dans le cadre du RGPD. Pour ces raisons, nous avons choisi de ne pas modifier notre flux de passage à la caisse pour y inclure une case à cocher « Accepter les conditions générales et la politique de confidentialité » lors du passage à la caisse.

En particulier, le RGPD indique clairement que les marchands peuvent collecter et traiter les données personnelles des clients pour plusieurs raisons, notamment si le client a donné son consentement éclairé. Le RGPD reconnaît toutefois qu'en de nombreuses circonstances, les données personnelles doivent être traitées séparément et indépendamment du consentement du client, telles que :

Les marchands sont susceptibles de s'appuyer sur plusieurs de ces motifs juridiques par rapport aux différentes possibilités de traitement des données de leurs clients. Par exemple, un marchand peut avoir besoin d'utiliser l'adresse d'expédition d'un client pour traiter la commande et satisfaire le contrat du marchand avec le client. De même, un marchand peut être légalement tenu de traiter des données personnelles pour répondre à une assignation ou dans le cadre d'une vérification fiscale. Et un marchand peut traiter des données personnelles pour un certain nombre d'autres intérêts légitimes.

Dans le même temps, les régulateurs européens ont précisé que le consentement est la plus importante de ces différentes justifications. En particulier, les régulateurs ont suggéré qu'une fois qu'un marchand demande le consentement pour traiter des données dans un but particulier, il peut ne plus être en mesure de se fier aux motifs légaux ci-dessus (comme des contrats ou des intérêts légitimes). De plus, les organismes de réglementation ont averti que le consentement ne peut être une condition pour recevoir des marchandises ou des services.

Pourquoi tout cela est-il important ? Pensons à ce qui se passerait si un marchand ajoutait une case à cocher « Accepter les conditions générales et la politique de confidentialité » au passage à la caisse. Si le client ne choisit pas de consentir (ou, si le client consent et retire son consentement, ce qui est un droit accordé aux individus en vertu du RGPD), le marchand peut ne plus être en mesure de se fier aux autres justifications énumérées ci-dessus. Ainsi, le marchand peut être dans une position où, en vertu du RGPD, il ne peut pas légalement traiter les données personnelles du client pour traiter ou exécuter une commande. Dans le même temps, si le marchand modifie le passage à la caisse afin que cette case soit obligatoire pour finaliser la transaction, le consentement serait une condition préalable pour recevoir des marchandises ou services et pourrait donc ne pas être valide en vertu du RGPD.

Cette complexité a amené un certain nombre d'organismes de réglementation à mettre en garde contre le fait de demander ou de se fier au consentement lorsque cela n'est pas approprié. Par exemple, le Bureau du Commissaire à l'information du Royaume-Uni a conseillé :

« Le consentement est approprié si vous pouvez offrir aux gens un véritable choix et un contrôle sur la façon dont vous utilisez leurs données, et si vous souhaitez gagner leur confiance et stimuler leur engagement. Mais si vous ne pouvez pas offrir un véritable choix, le consentement n'est pas approprié. Si vous continuez à traiter les données personnelles sans consentement, demander le consentement est trompeur et intrinsèquement injuste.

Si vous considérez le consentement comme une condition préalable à un service, il est peu probable que ce soit la base juridique la plus appropriée.

Les autorités publiques, les employeurs et les autres organismes en position de pouvoir sur les individus devraient éviter de se fier au consentement, à moins qu'ils ne soient certains de pouvoir démontrer qu'il est donné librement.

Nous souhaitons faire de notre mieux pour soutenir nos marchands et les aider à éviter des conséquences juridiques problématiques. Mais en même temps, nous comprenons que les marchands doivent, en fin de compte, être à l'aise pour gagner la confiance de leurs clients. Par conséquent, nous avons veillé à ce que les marchands puissent ajouter une case à cocher « Accepter les conditions générales » à la page Panier (pas la page Passage à la caisse). Pour plus d'informations sur la façon de procéder, veuillez consulter nos documents d'aide.

Pourquoi ne puis-je pas signer d'accord de traitement de données (ATD) avec Shopify ?

Le RGPD exige que les préposés au traitement des données soient liés par un contrat écrit (qui inclut les contrats sous format électronique) à chaque contrôleur des données afin de traiter les données personnelles. Ces contrats doivent spécifier quelles données personnelles sont traitées, ainsi que les obligations et les droits du proposé au traitement et du contrôleur. Ces contrats sont souvent appelés accords de traitement de données (ATD). En substance, un ATD est un accord que Shopify traitera uniquement les données personnelles qui lui sont données de la manière spécifiée par le marchand, car le marchand est le contrôleur des données.

Pour satisfaire à cette exigence, Shopify a ajouté un Addendum sur le traitement des données à ses conditions d'utilisation. (On parle d'« Addendum » et non d'« Accord » parce qu'il est ajouté aux conditions d'utilisation et ne constitue pas un accord en soi.)

En tant que marchand, vous acceptez les conditions d'utilisation et, par extension, l'Addendum sur le traitement des données, lorsque vous vous inscrivez aux services de Shopify, et que vous acceptez les mises à jour des conditions d'utilisation (par exemple, notre mise à jour qui ajoute l'Addendum sur le traitement des données) en continuant à utiliser les services.

Il est important de noter que les conditions d'utilisation sont régies par les lois de l'Ontario et non par les lois du pays où vous résidez. Alors que d'autres lois régionales, comme le RGPD, peuvent certainement couvrir votre entreprise et votre façon de traiter les données, et peuvent nécessiter un contrat avec vos fournisseurs de services (comme Shopify), ces autres lois régionales ne dictent pas nécessairement si un contrat est contraignant ou non. Dans le cas de votre contrat avec nous, la question de savoir si l'ATD est un contrat contraignant est déterminé par référence à la loi de l'Ontario.

Par conséquent, même si votre pays exige qu'un contrat (comme l'ATD) soit signé, cela peut ne pas avoir d'importance en ce qui concerne votre ATD. En vertu des lois de l'Ontario, nous pensons qu'en continuant à utiliser notre service une fois que nos conditions auront été mises à jour, Shopify et vous serez liés par les nouvelles conditions d'utilisation modifiées. Lorsque vous continuez à utiliser Shopify, nous pensons que vous avez passé avec nous un contrat exécutoire incluant notre Addendum sur le traitement des données, tel que le requiert le RGPD.

Que faire si j'ai d'autres questions sur le RGPD ou mes lois locales sur la confidentialité ?

Contactez un avocat local, spécialisé dans le droit au respect de la vie privée ou la protection des données.

Qui puis-je contacter pour obtenir plus d'informations sur les pratiques de Shopify ?

Contactez privacy@shopify.com pour en savoir plus sur les pratiques de Shopify.

Si j'utilise Shopify pour héberger ma boutique, est-ce que mon entreprise est conforme au RGPD ?

Pas automatiquement. Tandis que les activités de Shopify sont conformes au RGPD et que Shopify fournit des outils pour aider ses marchands à être en conformité, chaque marchand est responsable de s'assurer que ses activités sont conformes aux lois du pays dans lequel il exerce.

L'utilisation de la plateforme Shopify seule ne garantit pas qu'une société soit conforme au RGPD.

Est-ce que Shopify signera des clauses contractuelles standard ?

Comme décrit dans la section sur les transferts de données de notre livre blanc (en anglais), Shopify a structuré ses flux de données de sorte que les marchands transfèrent les données à la filiale irlandaise de Shopify en Europe. Pour cette raison, les clauses contractuelles types ne sont pas appropriées, car elles sont approuvées pour les transferts entre une partie européenne et une partie non européenne.

Par ailleurs, en ce qui concerne les transferts effectués directement à Shopify Inc., Shopify se baserait, dans ce cas, sur la décision de la Commission européenne concernant l'adéquation de la loi canadienne sur la protection de la vie privée, qui s'étend à Shopify Inc. en tant que société canadienne.

Prêt(e) à commencer à vendre avec Shopify ?

Essayez gratuitement