Traitement des demandes de données RGPD

Le RGPD étend le droit d'un individu à accéder à ses données personnelles et à les contrôler. Cette page comprend :

  • une ventilation de ces droits ;
  • la façon d'utiliser la plateforme de Shopify pour répondre aux demandes de chaque droit ;
  • ce que vous devrez peut-être faire indépendamment de Shopify si vous recevez une demande pour chaque droit.

Comprendre les demandes d'accès et de portabilité

Le RGPD donne aux individus le droit, dans certaines circonstances, de demander une copie de leurs données personnelles qui sont traitées par une entreprise.

Le RGPD exige, par conséquent, que vous soyez en mesure de fournir à vos clients une copie de leurs données personnelles dans un format qui soit :

  • courant ;
  • facilement lisible ;
  • portable.

Cela permet aux clients d'utiliser leurs données avec un fournisseur de services différent. Shopify vous permet d'exporter la plupart des données au format CSV ou Excel directement depuis votre interface administrateur (par exemple, commande, paiement, produits et informations clients).

En règle générale, vous devez répondre à une demande dans les 30 jours. Les extensions sont autorisées si la demande est exceptionnellement difficile à traiter.

Traiter les demandes d'accès et de portabilité

Si vous recevez une demande d'accès ou de portabilité, vous devez d'abord vérifier l'identité du demandeur (afin de ne pas fournir par inadvertance à quelqu'un d'autre les renseignements personnels privés de votre client).

Étapes :

  1. Depuis votre interface administrateur Shopify, cliquez sur Clients.

  2. Cliquez sur le nom du client pour lequel vous souhaitez demander un journal.

  3. Cliquez sur Demander des données client.

Les informations du client seront envoyées par e-mail au propriétaire du compte afin de les fournir au client demandeur.

L'Article 15 du RGPD requiert également qu'un contexte supplémentaire soit fourni sur la façon dont vous utilisez les données que vous transmettez, notamment :

  • les finalités pour lesquelles les données du client ont été traitées ;
  • les tiers ayant reçu ces données ;
  • toutes les périodes de fidélisation pertinente ;
  • la source des informations (si ce n'est directement du client) ;
  • si les données ont été utilisées ou non dans le cadre d'une prise de décision automatisée.

De plus, vous devez être en mesure de garantir :

  • le droit du client de demander que des informations soient corrigées ou effacées ;
  • le droit du client de s'opposer à la manière dont ses informations ont été traitées ;
  • le droit du client de se plaindre à un organisme de réglementation.

Pensez aux questions suivantes :

  • Êtes-vous capable de fournir tout le contexte requis des données d'un client s'il le demande ? Essayez de planifier à l'avance une demande en maintenant un journal de toutes les données personnelles que vous (ou les fournisseurs de services que vous utilisez, comme Shopify) stockez sur vos clients.
  • Avez-vous envisagé d'autres fournisseurs de services que vous pourriez utiliser et qui pourraient avoir accès aux données personnelles de vos clients ? Ceux-ci peuvent inclure des applications tierces, des canaux et des passerelles de paiement.
  • Avez-vous les coordonnées de tous les services tiers que vous utilisez et qui pourraient stocker les données personnelles de vos clients ?

Traiter les demandes d'effacement

Le RGPD donne aux personnes le droit, dans certaines circonstances, de demander que leurs données personnelles soient supprimées, ou qu'une entreprise limite le traitement de leurs données personnelles.

Par « données personnelles », on entend toutes les données pouvant être utilisées pour identifier un individu, notamment :

  • Nom
  • Adresse
  • Adresse e-mail
  • Adresse IP
  • Numéro de carte de crédit

Les données personnelles n'incluent pas les informations strictement financières qui ne peuvent pas être reliées à un individu, telles que :

  • Le nombre de fois où un produit spécifique a été vendu
  • Le montant des recettes de votre boutique

Si vous recevez une demande d'effacement (parfois appelée demande de caviardage ou de suppression), vous devez d'abord vérifier l'identité du client. Vous devez également vous assurer que vous n'avez aucune raison de conserver les données du client (par exemple, si le client est également un employé).

Étapes :

  1. Depuis votre interface administrateur Shopify, cliquez sur Clients.

  2. Cliquez sur le nom du client pour lequel vous souhaitez demander un effacement.

  3. Cliquez sur Erase personal data (Effacer les données personnelles).

Une fois votre demande d'effacement envoyée par le biais de votre interface administrateur, Shopify transmet votre demande à toutes les applications que vous avez installées au moment de la demande et qui pourraient avoir accès aux données de ce client.

La demande d'effacement envoyée par le biais de votre interface administrateur est suivie d'une période tampon de 10 jours au cours de laquelle vous pouvez l'annuler en cas de demande accidentelle. Pour annuler une demande d'effacement en cours, veuillez adresser un e-mail à Shopify à l'adresse privacy@shopify.com en incluant les informations relatives à votre boutique et l'identifiant du client correspondant.

Lorsque vous demandez un effacement, Shopify ne supprime que les informations personnelles (telles que le nom et l'adresse). Vos informations de commande anonymisées restent intactes, au cas où vous en auriez besoin à des fins comptables. Une fois les données personnelles pertinentes effacées, nous vous envoyons un e-mail de confirmation.

Par défaut, Shopify n'efface pas les données personnelles si le client a passé une commande au cours des 6 derniers mois (180 jours), au cas où une rétrofacturation surviendrait. Toute demande d'effacement soumise dans ce laps de temps est mise en attente et Shopify ne la prend en compte qu'une fois ce délai écoulé. Vous n'avez donc pas besoin de renouveler votre demande.

Si vous souhaitez annuler ce délai (malgré le risque de rétrofacturation), envoyez un e-mail à Shopify à l'adresse suivante : privacy@shopify.com.

Pensez aux questions suivantes :

  • Conservez-vous des données client sur vos ordinateurs personnels ou sur papier ?
  • Existe-t-il d'autres tiers, tels que des canaux ou des passerelles de paiement, que vous devrez peut-être contacter pour demander qu'ils effacent les informations personnelles d'un client ?
  • Existe-t-il des obligations locales, telles que des lois fiscales, qui pourraient vous obliger à conserver les informations personnelles de vos clients, même s'ils demandent leur suppression ? Songez à consulter un avocat local connaissant les obligations de conservation des données pour mieux répondre à cette question.

Télécharger le livre blanc de Shopify sur le RGPD (en anglais)

Pour en savoir plus sur les mesures prises par Shopify pour se conformer au RGPD et pour vous assurer que vous serez en mesure de le respecter dans votre utilisation de Shopify, téléchargez le livre blanc de Shopify sur le RGPD (en anglais).

Prêt(e) à commencer à vendre avec Shopify ?

Essayez gratuitement