Checklist RGPD e-commerce : 12 points que toute boutique en ligne devrait passer
Une checklist courte et tranchée pour les opérateurs e-commerce de l'UE. Chaque point renvoie à un article RGPD ou à la directive ePrivacy, et chacun est quelque chose qu'un régulateur pourrait tester sur votre site en production aujourd'hui.
Lukas Kontur · · 2 min de lecture
Ceci est une checklist pour les opérateurs e-commerce dans l'Union européenne. Elle ne remplace pas une analyse d'impact relative à la protection des données et ne remplace pas l'avis d'un Datenschutzbeauftragter allemand ou d'un Délégué à la Protection des Données français. C'est la liste courte des éléments qui, d'après notre expérience à scanner le web européen, sont assez bien documentés pour qu'un opérateur puisse répondre aux questions d'un régulateur sur la façon dont le système a traité une requête spécifique, avec horodatage.
Les points figurent dans le frontmatter et sont rendus par le template de la page checklist. Chacun est une assertion discrète et testable, et chacun renvoie soit au GDPR, soit à l'ePrivacy Directive. Là où le cadre juridique est plus nuancé — par exemple, sur les mécanismes de transfert depuis l'entrée en vigueur du EU-US Data Privacy Framework — nous l'avons indiqué dans la ligne de détail.
Les deux points qui échouent le plus souvent, de loin, sont :
- Point 2 : tracking avant consentement. C'est le même constat que notre scanner étiquette comme pre_consent_tracking. Voir l'article de connaissance sur le tracking avant consentement pour les détails techniques.
- Point 3 : refuser ne refuse pas. Notre recherche a constaté que 80 % des boutons de refus, sur 28 891 sites mesurés, n'arrêtaient pas réellement le tracking. Le chiffre du corpus est l'élément phare ; le comportement spécifique à l'e-commerce est quelque chose que nous mesurerons séparément, car la dynamique du consentement sur les pages transactionnelles diffère de celle des sites d'actualités ou de contenu.
Pour une démonstration en direct de ce à quoi ressemble un scan non conforme :
Un score de risque moyen sur cette échelle indique généralement que la bannière est présente et que le bouton de refus fonctionne, mais qu'au moins un traceur se déclenche avant consentement. Confirmez qu'aucun traceur non essentiel ne se déclenche avant la décision de consentement.
La cadence recommandée est de parcourir cette checklist trimestriellement, de stocker les résultats comme preuve de responsabilité au titre de l'GDPR Art. 5(2), et de traiter tout point qui a échoué deux fois consécutives comme un problème P1. La plupart des opérateurs ne connaîtront pas d'événement d'application. Ceux qui en connaîtront un seront contents d'avoir tenu les registres.
Dernière mise à jour: