RGPD

Bonjour,

De nombreux sujets sont soulevés par l'entrée en vigueur des RGPD (Règlement Européen pour la Protection des Données) le 25 Mai prochain.
Parmi ceux-ci figure la nécessité du consentement de l'utilisateur pour permettre au site de conserver ses données personnelles.
Ce consentement doit être explicite et le fruit d'une action de l'utilisateur.
Avez-vous prévu une case à cocher, un peu dans le même esprit que les CGV, avec un espace de texte libre ? Le texte libre est nécessaire pour expliquer à l'utilisateur qu'il autorise bien le site à conserver ses données pendant N années, qu'il peut les modifier à l'url Y, qu'il peut demander l'effacement de ses informations à l''url Z etc...

Merci d'avance pour votre réponse.

Bien cordialement.

Bonjour Nicolas,

Merci pour votre réponse.
Votre idée est-elle compatible avec toutes les versions d'Hikashop? N'est-elle pas un peu complexe pour une grande majorité de sites utilisant Hikashop ?
Avez-vous prévu une information spécifique à vos clients pour exposer ce type de préconisations?
Le champ personnalisé de type "utilisateur" sera-t-il modifiable par l'utilisateur dans son compte client?
La modification d'un tel champ peut-il entraîner la génération d'un mail d'alerte vers l'administrateur?

Par ailleurs, concernant le sujet de la durée de conservation des données, travaillez-vous sur la possibilité de supprimer automatiquement les clients qui n'ont pas sollicité la boutique en ligne depuis X années ?

Merci d'avance pour toutes vos réponses.

Bien cordialement.

Merci Nicolas pour vos réponses,

Je précise juste que les 29 pays Européens ont voté la RGPD, ces règles s'appliquent donc à tous en Europe de manière uniforme.
Effectivement, peu d'éditeurs de composants se sont, pour le moment, investis pour implémenter de nouvelles fonctions destinées à la conformité au RGPD. Mais nous sommes convaincu que ce sera bientôt un des critères majeurs de différenciation.
Bonne journée.

Bonjour Nicolas,

Cette extension storejextensions.org/extensions/gdpr.html permet, concernant Hikashop :
<> de crypter un utilisateur supprimé (liste des Utilisateurs)
<> de supprimer ses commentaires sur des articles, s'il est supprimé
Les commandes ne sont pas impactées par la suppression de l'utilisateur.
Bonne journée.

Bonjour,

Attention avec la RGPD :

- "de crypter un utilisateur supprimé (liste des Utilisateurs)" (.../...) "Les commandes ne sont pas impactées par la suppression de l'utilisateur.":

Si ces utilisateurs sont des personnes ayant passé une commande par le biais du script Hikashop, elles ne sont pas concernées par la RGPD puisque le traitement de leur commande et la relation client habituelle nécessitent l'utilisation des données personnelles de base. Tout ce qui doit être modifié, c'est l'information concernant la durée de conservation des données personnelles après la finalisation de la commande. En tout état de cause, si un client veut être supprimé d'un site où il a passé une commande, le cryptage n'est pas suffisant, c'est même hors la loi à partir du 25 mai, il faut supprimer complètement le compte du client, commentaires sur un produit, commandes et factures comprises (la facture devant de toutes façons être imprimée ou enregistrée en dehors du site internet pour archivage légal, la loi ne change pas à ce niveau).

Par contre, il faut désactiver par défaut l'ajout automatique d'un nouveau client à Acymailing ou tout autre script de newsletters, les développeurs d'Hikashop devront donc proposer une nouvelle version d'Hikashop où l'association Hikashop/newsletters n'est pas activée par défaut puisque l'inscription à une newsletter ne peut plus se faire sans un accord explicite.

Comme indiqué par Nicolas, l'ajout den simples champs personnalisés suffit amplement à respecter les obligations liés à la RGPD sur une boutique Hikashop. Par contre, il faut améliorer la gestion des données personnelles suite à une commande.

Un exemple de l'application du RGPD sur une boutique en ligne avec Hikashop :

- un visiteur arrive sur la boutique en ligne, il doit être informé de la présence de cookies sur le site et donner son accord à leur installation sur son navigateur. Il doit pouvoir changer d'avis et revenir sur cet accord de façon simple. Il existe de nombreux scripts gratuits qui permettent cela comme par exemple Tarte au citron utilisé sur le site de la CNIL et facile à utiliser.

- Le visiteur passe une commande. Sur le bon de commande final, il doit être informé de l'utilisation des données personnelles qu'il aura indiqué dans le formulaire de création de compte et doit donner son accord à cette utilisation. Si besoin, il doit également donné son accord à son inscription à la newsletter de la boutique si celle-ci en a une ou à tout autre script utilisant tout ou partie de ses données personnelles.

- enfin, le visiteur devenu client doit pouvoir consulter, modifier ou supprimer l'ensemble de ses données personnelles par le biais de son compte sur la boutique en ligne (ce qui existe déjà partiellement sur Hikashop).

Bref, ces obligations issues de la RGPD étant communes à tous les sites se trouvant dans l'Union européenne mais aussi à tous les sites internet de la planète ayant des clients ou des utilisateurs citoyens de l'UE et utilisant les données personnelles récoltées sur le territoire de l'UE, les développeurs d'Hikashop peuvent d'ores et déjà ajouter en standard à leur script les trois champs :
- accord traitement données personnelles
- accord inscription newsletter ou autre script
- ajout dans la gestion du compte du client une case ou un lien clairement visible "je désire supprimer mon compte et toutes les données personnelles me concernant".

Pour rappel : le non respect de la RGPD peut entrainer à compter du 25 mai, il n'y aura aucune période d'observation ou d'adaptation, une amende allant jusqu'à 4% du chiffre d'affaire annuel ... Cette nouvelle réglementation doit donc être prise très au sérieux d'autant que l'UE a d'ores et déjà annoncé l'intensification des contrôles.

Autre information très importante : désormais les sous-traitants seront co-responsables de la gestion des données personnelles sur un site, ce qui signifie qu'Hikashop (comme Joomla) peut être poursuivi si le script qu'elle propose ne permet pas la possibilité de respecter la RGPD.

Nota : toutes les informations données ci-dessus sont issues d'une réunion d'information à laquelle j'ai participé et organisée par la CNIL à la fin de l'année dernière à Paris.

Bonjour,

Merci pour cette synthèse.
Quelques précisions à l'attention des développeurs d'Hikashop:
<> la suppression d'un utilisateur ne peut pas supprimer ses commandes, sinon toute analyse de CA serait impossible. Il faut garder la commande et l'anonymiser (actuellement la commande conserve l'adresse mail de l'utilisateur)
<> on ne peut supprimer un utilisateur Hikashop que si toutes ses commandes se trouvent au statut final (payée, livrée ...)
<> également, on ne peut anonymiser la commande que si elle se trouve au statut final (payée, livrée ...)
<> ces règles devront être clairement mentionnées dans les interfaces de gestion du compte utilisateur
<> ces règles ou toute autre devront être transmises aux composants qui se proposent de centraliser la suppression des données personnelles

Pour la durée de conservation des données :
<> elle doit pouvoir être facilement paramétrable, la fonction "Actions en masse" est utile pour cela mais elle devrait être livrée avec un scénario pré-établi de suppression des utilisateurs après 3 ans d'inactivité (par exemple), de suppression des commandes après 3 ans d'ancienneté (par exemple)
<> la fonction "Action en masse" ou du moins ces scénarios RGPD devra être accessible sur toutes les versions d'Hikashop (gratuite y compris)

Pour info, la réflexion est en cours au niveau du team Joomla, il est très probable que la JED mette en place un critère majeur de sélection "Compatible RGPD"

Bonne journée

Bonjour,

Plutôt que d'ouvrir un nouveau sujet, je reprend celui-là puisque cela concerne et l'extension cité par Nosyweb et Hikashop.

Sur 2 sites cela ne fonctionne pas, sur l'un impossible de passer à l'étape paiement une fois toutes les cases cochées ça boucle et revient sur la même page, le second impossible au client de se connecter !

Nicolas tu parles de rajouter un champ personnalisé type user, j'ai essayé mais rien ne s'affiche ! J'ai du rater quelque chose quelque part ! De plus avec ce champ je n'ai pas trouvé la possibilité de lier avec un article concernant la politique de confidentialité, comme pour les cg.

Bonjour Nicolas,

Oui vous avez raison, j'ai envoyé une demande à l'auteur. En attendant j'ai réussi à contourner mon souci d'affichage avec un champ order et là cela s'affiche bel et bien. Merci pour l'extension Modals c'est encore mieux comme ça.