RGPD 5 – Modèle de clause relative aux données personnelles, conforme au RGPD, pour un site e-commerce

Auteurs : FB Juris et Franck Beaudoin, avocat

Publié le 9 mai 2018 sur idroit.co

Guide

Un site Internet marchand suppose un traitement de données personnelles. Le RGPD impose de fournir certaines informations à la personne dont les données sont collectées, au moment où les données sont obtenues (article 13 du RGPD). Les informations doivent être fournies de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (article 12, paragraphe 1, du RGPD).

En pratique, l’idéal est de faire figurer ces mentions au niveau du formulaire de collecte des données. Il est également possible de faire figurer les mentions d’information dans une clause des conditions générales de vente ou sur une page dédiée, auquel cas il convient d’insérer, au niveau du formulaire, une mention renvoyant à la clause.

Le modèle qui suit est adapté pour la collecte de données personnelles sur un site marchand, exclusivement afin de traiter les commandes des clients. Des mentions complémentaires sont nécessaires si les données doivent être utilisées pour d’autres finalités.

Modèle

Données personnelles

Nous effectuons un traitement de données personnelles destiné à l’exécution des commandes passées sur notre site Internet et à la gestion de la relation avec nos clients. Ce traitement est nécessaire à l’exécution de mesures précontractuelles prises à votre demande et à l’exécution du contrat conclu entre nous. Il est fondé sur l’article 6, paragraphe 1, point b), du règlement général sur la protection des données (règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 – RGPD). La demande de données conditionne la conclusion du contrat. Elle a un caractère contractuel. La personne concernée est tenue de fournir les données. À défaut, elle ne pourra pas passer de commande sur notre site.

Le responsable du traitement est l’éditeur du site, dont l’identité et les coordonnées XXX [OPTION 1 : sont indiquées dans la rubrique mentions légales du site // OPTION 2 : sont indiquées ci-dessous].

[[Si applicable : Le représentant du responsable du traitement est XXX [identité de la personne physique ou morale : cliquer ici pour sélectionner le modèle approprié]. Ses coordonnées sont : XXX [coordonnées : téléphone, courriel, site Internet].]]

[[Si le responsable du traitement a nommé un DPD / DPO : Les coordonnées du délégué à la protection des données sont : XXX [coordonnées : téléphone, courriel, site Internet].]]

Les destinataires des données sont le responsable du traitement de données et ses prestataires qui interviennent dans l’exécution des commandes : XXX [si applicable, préciser les destinataires ou catégories de destinataires, par exemple : prestataires logistiques et transporteurs].

Le responsable du traitement XXX [OPTION 1 : n’a pas // OPTION 2 : a] l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale. XXX [En cas de transfert, préciser l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition].

Les données seront conservées XXX [OPTION 1 : pendant une durée de XXX à compter de leur collecte // OPTION 2 : XXX [s’il n’est pas possible d’indiquer la durée, préciser les critères utilisés pour la déterminer].

La personne dont les données personnelles sont collectées a le droit :

– de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée,

– de s’opposer au traitement,

– à la portabilité de ses données,

– d’introduire une réclamation auprès d’une autorité de contrôle.

XXX [[OPTION 1 : Aucun profilage ne sera réalisé et plus généralement aucune décision automatisée ne sera prise sur la base des données collectées. // OPTION 2 : Des décisions automatisées seront prises sur la base des données collectées. La logique sous-jacente de ces décisions automatisées est la suivante : XXX [informations utiles concernant la logique sous-jacente]. L’importance et les conséquences prévues de ce traitement pour la personne concernée sont les suivantes : XXX [compléter].]]