RGPD : quel impact pour votre marketplace ?

Depuis le 25 mai 2018, les entreprises qui collectent et traitent des données personnelles sur le web sont soumises au respect du RGPD, le Règlement général sur la protection des données. Si vous êtes basés dans l’Union Européenne ou si vous avez des clients qui le sont, vous vous devez de respecter ce texte. Visant à harmoniser la législation européenne et à renforcer les droits des utilisateurs, le RGPD concerne directement les marketplaces. Comment s’assurer d’être en règle ? Voici nos recommandations.

RGPD : définition

Nom, prénom, adresse e-mail, adresse IP, coordonnées bancaires, numéro de téléphone… Selon le RGPD, toutes les informations collectées et/ou stockées qui permettent d’identifier un individu sont considérées comme des données personnelles. L’objectif de cette loi européenne est de garantir davantage de droits aux citoyens quant à leurs données personnelles :

• Droit de consultation
• Droit de correction
• Droit de limitation de l’utilisation des données
• Droit d’opposition
• Droit de suppression

Diagnostic des traitements de données existants, création d’un registre des activités de traitement, réalisation d’une étude d’impact sur la vie privée (PIA), mise en place d’un référentiel de sécurité, sécurisation des relations contractuelles avec son écosystème de partenaires, désignation d’un délégué à la protection des données (DPO)… Respecter le RGPD nécessite de mettre en place un certain nombre de processus, visant à renforcer les devoirs et responsabilités de toute la chaîne d’acteurs traitant des données. Un ensemble de règles à ne pas prendre à la légère, car le non-respect du RGPD pour une entreprise peut se traduire par une sanction allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.   

Marketplace et RGPD : comment être en règle ?

Pour assurer le bon déroulé des transactions entre acheteurs et vendeurs, les marketplaces sont obligées de traiter des données personnelles. Afin de respecter le RGPD, l’opérateur de la marketplace doit dans un premier temps s’assurer de recueillir le consentement de ses utilisateurs quant au traitement de leurs données personnelles, au travers d’une phrase simple et sans équivoque. Il s’agit de les informer du type de données collectées et des raisons pour lesquelles elles le sont, en stipulant la finalité de leur utilisation. L’opérateur de la marketplace doit pouvoir prouver que le consentement a été donné de façon libre et éclairée, exit donc les cases pré-cochées. Les bonnes pratiques à mettre en œuvre consistent à :

• Tenir à jour un registre des activités de traitement des données, en indiquant quelles catégories de données de quelles catégories de personnes (prospects, clients) sont traitées et dans quel but
• Désigner un Data Privacy Officer (DPO): une personne référente en charge de la bonne application du RGPD au sein de l’entreprise
• Communiquer auprès des utilisateurs sur les changements opérés au niveau de la politique de traitement des données
• S’assurer que les vendeurs respectent eux aussi le RGPD, en stipulant ces aspects dans les conditions générales de la plateforme et dans le contrat d’intermédiation

L’autre point de vigilance porte sur la sécurisation de son écosystème. L’opérateur de la marketplace est a minima responsable du co-traitement des données personnelles avec les services tiers de sa plateforme. Étant donné que le RGPD est venu renforcer la responsabilité de chacun des acteurs, il s’agit de s’assurer que ses sous-traitants respectent bien le RGPD. Du côté de la solution de paiement, il faut donc s’assurer que le prestataire de services de paiement (PSP) de la plateforme respecte bien le RGPD. Établissement de paiement pan-européen, Lemonway a pris toutes les dispositions nécessaires pour respecter le RGPD, ainsi que les interprétations qui en ont été faites dans chaque pays de l’Union Européenne. RGPD, DSP2, LCB-FT… Partenaire de votre conformité, Lemonway a fait du respect de la réglementation son fer de lance. Contactez-nous pour en savoir plus !