Ecommerce – Le compte invité est-il conforme au RGPD ?

Avec un taux d’abandon de panier des sites d’e-commerce de plus de 70%, le checkout est une étape du parcours d’achat qui mérite une attention particulière. L’une des possibilités utilisées pour réduire le nombre de clic et améliorer le taux de conversion est l’implémentation de la fonctionnalité « Guest Checkout», également appelée « Commande Invité » ou « Commande sans création de compte ». Permettant à vos visiteurs de passer leur commande sans créer de compte client, ils peuvent ainsi rapidement procéder à leurs achats en fournissant un minimum d’information (nom, prénom, email, adresse et informations relatives au paiement). Entre rapidité et conformité, le compte invité est-il une bonne idée vis-à-vis du RGPD ?

Sommaire

1 Que demande le RGPD ?
2 Que dois-je mentionner sur mon site web ?
- 2.1 Exemple 1 : loreal-paris.fr
- 2.2 Exemple 2 : moleskine.com
3 Comment gérer les demandes d’exercice de droit ?

Que demande le RGPD ?

Lorsqu’un client commande sur votre site, vous avez besoin de ses données personnelles pour pouvoir effectuer la facturation et la livraison.

A ce titre, le RGPD demande :

que vous obteniez le consentement éclairé de votre client pour traiter ses données personnelles, c’est-à-dire de leur indiquer précisément à quoi vont servir les données récoltées et la durée de conservation ;
que vous lui indiquiez le moyen d’exercer ses droits sur ses données personnelles en votre possession (accès, rectification, suppression…).

Lors de votre parcours d’achat invité, il est facilement possible de respecter ces exigences, nous allons le voir dans les exemples ci-dessous.

Que dois-je mentionner sur mon site web ?

Pour informer votre client de l’utilisation qui est fait de ses données et de ses droits, le meilleur moyen est d’ajouter les informations nécessaires en quelques lignes avant l’acceptation du paiement, avec un lien vers votre politique de confidentialité.

Exemple 1 : loreal-paris.fr

Lors du checkout, Loreal propose différentes options dont la commande en tant qu’invité.

Avant de continuer vers le moyen de paiement, le site présente l’utilisation qui est faite des données, la durée de conservation, et le lien vers la politique de confidentialité et permet donc au client de donner un consentement éclairé avant de continuer son achat.

Exemple 2 : moleskine.com

Moleskine adopte une autre stratégie avec un compte invité par défaut pour les nouveaux utilisateurs. Le site donne la possibilité de créer un compte en cochant une case et demande le consentement explicite pour l’envoi des newsletters et le profilage, avec lien vers la politique de confidentialité.

Pour bien faire les choses, Moleskine demande explicitement de confirmer la lecture de la politique de confidentialité pour pouvoir passer au paiement.

Et lorsque l’on jette un coup d’œil à la politique de confidentialité, on y retrouve les informations pour exercer ses droits.

Ainsi que l’utilisation qui est faite des données en cas de commande invité, ainsi que leur durée de conservation (10 ans selon le droit Italien dont dépend la société).

Comment gérer les demandes d’exercice de droit ?

Comme pour tout type de demande d’exercice de droits liée aux données personnelles, vous avez 30 jours pour répondre à votre client compter de la date de réception de la requête.

Un compte client nominatif peur avoir ici l’avantage de simplifier certaines demandes, en permettant à l’utilisateur de pouvoir facilement consulter et modifier ses données, voire de supprimer son compte, si votre solution d’e-commerce le permet. En effet, certaines ont mis à disposition des modules qui vous permettent d’implémenter ces fonctionnalités. Quelques exemples :

Prestashop : le module RGPD Officiel
WooCommerce : l’extension WP Delete User Accounts

Dans tous les cas, attention, la demande d’exercice de droit ne se limite pas à la suppression du compte utilisateur. En effet, vous êtes également responsable des données qui sont transmises à vos applications tierces et fournisseurs.

Êtes-vous sûr de pouvoir localiser et supprimer rapidement toutes les données que vous avez sur un client donné ?

Établir une cartographie de toutes les données personnelles que vous utilisez dans le cadre de votre activité vous aidera à vous y retrouver.

Quelques autres questions à se poser :

Avez-vous les coordonnées de tous les fournisseurs d’applications et de services que vous utilisez et qui pourraient stocker les données personnelles de vos utilisateurs ?
Quels sont ceux que vous avez besoin de contacter pour leur demander de supprimer les données de vos clients ?
Stockez-vous des données personnelles de vos clients sur votre propre ordinateur ou supports externes ?
Existe-t-il des lois locales qui pourraient exiger que vous conserviez certaines données même si vos clients en demandent la suppression ?

Nous pouvons vous aider à répondre à ces questions.

Wala CHEBBI

Consultante Cybersécurité & Data Privacy