La conformité des CGV avec le RGPD
En réponse aux enjeux du numérique et dans le but de protéger les consommateurs contre une utilisation abusive de leurs données à caractère personnel, le règlement européen sur les données personnelles (RGPD) entrera en vigueur le 25 mai 2018. Les entreprises sont au cœur du dispositif et elles doivent mettre à jour l’un des documents pivots de leurs échanges avec leurs clients : les conditions générales de vente, les fameuses CGV.
Quels changements pour les CGV après l’entrée en vigueur du RGPD ?
Il a toujours été primordial pour une entreprise de rédiger avec précision ses CGV, puisque celles-ci viennent fixer les contours du contrat de prestation de service ou de vente. Sous l’égide de la loi Informatique et Liberté, l’acheteur était présumé avoir lu et accepté les CGV simplement en y apposant sa signature ou en cochant la case « accepter » sur un site en ligne.
À l’instar de bon nombre de documents et de contrats d’entreprise, les CGV doivent être remaniées en profondeur pour être mises en conformité avec le RGPD. Désormais, elles doivent inclure une clause spécifique aux données à caractère personnel et leur acceptation par le consommateur doit être active et sans réserve. Une simple mention sur le traitement de données et la possibilité pour la personne d’accéder et de rectifier ses données n’est plus suffisante. De la même manière, l’acceptation pleine et entière des CGV rend impossible l’acceptation dans le même temps d’une autre mention du site. Par exemple, vous ne pouvez plus coupler les actions « accepter les CGV » avec « vous acceptez de recevoir des offres promotionnelles ».
Quelles sont les clauses à intégrer dans les CGV pour être conforme au RGPD ?
Les CGV doivent être le plus détaillées possibles concernant les traitements de données personnelles et doivent notamment figurer :
- La base juridique envisagée pour le traitement des données (règlement, contrat…)
- Si oui ou non la personne est obligée de se soumettre au recueil de ses données et quelles sont les conséquences si elle s’y refuse.
- Dans le cas où un transfert des données vers des pays hors Union européenne est envisagé, une mention doit être apposée sur les garanties de protection des droits des personnes ou sur l’existence d’une décision d’approbation de la Commission
- À côté des traditionnelles mentions sur le droit d’accès, de rectification ou de suppression des données, il faut également mentionner le droit de refuser le traitement, de solliciter une limitation de celui-ci et enfin le droit à la portabilité des données à caractère personnel.
- Le droit de faire une réclamation auprès d’une autorité de contrôle, la Cnil en France.
- La finalité du traitement (démarchage commerciale, études…)
Attention, dans l’hypothèse où le traitement est fondé sur des « intérêts légitimes poursuivis par le responsable du traitement ou par un tiers » (article 6 du RGPD), les CGV doivent comporter une mention sur ces intérêts légitimes.
Quelles sont les sanctions en cas de non-respect de la conformité des CGV au RGPD ?
Le RGPD repose sur un principe de responsabilisation des entreprises et c’est ainsi à celles-ci de tout mettre en œuvre pour se mettre en conformité. Conséquence, les sanctions en cas de non-respect des dispositions du RGPD sont très lourdes : une amende peut être prononcée, d’un montant allant jusqu’à 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros, étant entendu que la somme la plus élevée sera retenue.