Fait partie de notre série Compliance & Regulation
Lire le guide completGuide de mise en œuvre du RGPD : Confidentialité des données pour les systèmes de commerce électronique et ERP
Depuis le début de l’application du RGPD en 2018, les régulateurs ont infligé plus de 5,3 milliards d’euros d’amendes. L’amende la plus élevée – 1,2 milliard d’euros contre Meta en 2023 – a démontré qu’aucune entreprise n’est trop grande pour être pénalisée. Mais la réglementation frappe plus durement au niveau du marché intermédiaire, où les entreprises traitent des volumes importants de données personnelles sans les équipes juridiques et les budgets de conformité des entreprises mondiales.
Pour les entreprises de commerce électronique et les entreprises dépendantes d'un ERP, le RGPD touche tous les systèmes qui stockent les données clients : votre boutique en ligne, votre CRM, votre gestion des commandes, votre marketing par e-mail et vos analyses. Ce guide fournit un plan de mise en œuvre pratique, article par article.
Points clés à retenir
- Le mappage des données est la première étape non négociable --- vous ne pouvez pas protéger les données que vous n'avez pas inventoriées
- La gestion du consentement nécessite des opt-ins granulaires et spécifiques à un objectif, et non une seule case à cocher générale
- L'automatisation DSAR est essentielle --- le délai de réponse de 30 jours ne laisse aucune place aux processus manuels à grande échelle
- Votre système ERP est probablement votre plus grand référentiel de données personnelles et doit être configuré pour être conforme dès le premier jour.
Comprendre la portée du RGPD pour les entreprises numériques
Le RGPD s'applique à toute organisation qui traite les données personnelles des résidents de l'UE, quel que soit le lieu où elle est basée. Pour une entreprise de commerce électronique expédiant des marchandises dans le monde entier ou une plateforme SaaS avec des utilisateurs européens, la portée extraterritoriale rend le RGPD incontournable.
Ce qui compte comme données personnelles
Les données personnelles en vertu du RGPD sont plus larges que ce que la plupart des entreprises pensent :
| Catégorie de données | Exemples | Couramment trouvé dans |
|---|---|---|
| Données d'identité | Nom, email, téléphone, adresse | Contacts CRM, système de commande, ERP |
| Données financières | Détails de carte de crédit, comptes bancaires, factures | Processeur de paiement, module de comptabilité |
| Données comportementales | Historique de navigation, modèles d'achat, données de clics | Analyse, automatisation du marketing |
| Données techniques | Adresses IP, identifiants d'appareil, cookies | Journaux du serveur Web, CDN, analyses |
| Données de communication | Contenu des e-mails, transcriptions de chat, tickets d'assistance | Helpdesk, marketing par e-mail, notes CRM |
| Données de localisation | Coordonnées GPS, adresses de livraison, géolocalisation IP | Applications mobiles, module d'expédition, analyses |
| Données sur l'emploi | Salaire, évaluations de performance, assiduité | Module RH, système de paie |
La prise de conscience essentielle pour la plupart des entreprises est que leur système ERP – Odoo, SAP ou autre – contient chacune de ces catégories de données dans ses modules.
Étape 1 : Cartographie des données et inventaire du traitement
L'article 30 du RGPD exige un enregistrement des activités de traitement (ROPA). Il ne s’agit pas d’une documentation facultative : c’est une exigence légale et le fondement de tout le reste.
Comment cartographier vos données
Pour chaque système qui traite des données personnelles, documentez :
- Quelles données personnelles sont collectées (champs spécifiques, pas de catégories vagues)
- Pourquoi les informations sont collectées (la base juridique --- consentement, contrat, intérêt légitime, obligation légale)
- Où il est stocké (base de données, emplacement du serveur, région cloud)
- Qui a accès (rôles, tiers, sous-traitants)
- Combien de temps ils sont conservés (avec justification de la durée de conservation)
- Comment il est protégé (cryptage, contrôles d'accès, anonymisation)
Article RGPD de la liste de contrôle de mise en œuvre
| Article RGPD | Exigence | Mesures de mise en œuvre |
|---|---|---|
| Art. 5 | Minimisation des données | Auditez tous les formulaires --- supprimez les champs dont vous n'avez pas besoin |
| Art. 6 | Base légale | Documenter la base juridique de chaque activité de traitement |
| Art. 7 | Conditions de consentement | Mettre en œuvre des mécanismes de consentement granulaires et retirables |
| Art. 12-14 | Transparence | Publier des avis de confidentialité clairs et hiérarchisés |
| Art. 15-20 | Droits des personnes concernées | Créez un flux de travail de gestion DSAR avec un SLA de 30 jours |
| Art. 17 | Droit à l'effacement | Implémenter la suppression des données en cascade sur tous les systèmes |
| Art. 20 | Portabilité des données | Activer l'exportation JSON/CSV des données personnelles |
| Art. 25 | Confidentialité dès la conception | Les paramètres par défaut doivent protéger la confidentialité |
| Art. 28 | Accords de processeur | Exécuter des DPA avec tous les fournisseurs traitant des données personnelles |
| Art. 30 | Registres de traitement | Maintenir ROPA avec des mises à jour régulières |
| Art. 32 | Mesures de sécurité | Chiffrement, contrôle d'accès, pseudonymisation |
| Art. 33-34 | Notification de violation | Processus de notification sous 72 heures à l'autorité de contrôle |
| Art. 35 | Analyse d'impact | Mener des DPIA pour les traitements à haut risque |
| Art. 37-39 | Délégué à la protection des données | Nommer un DPO si l'échelle de traitement l'exige |
Étape 2 : Gestion du consentement
Le consentement au titre du RGPD doit être libre, spécifique, éclairé et sans ambiguïté. L’époque des cases à cocher pré-cochées et du consentement général est révolue.
Architecture de consentement pour le commerce électronique
Votre plateforme de commerce électronique a besoin de plusieurs mécanismes de consentement indépendants :
Consentement marketing. Opt-in séparé pour le marketing par e-mail, le marketing par SMS et la publicité personnalisée. Chaque canal a besoin de sa propre case à cocher. Pas de présélection.
Consentement analytique. Bannière de consentement aux cookies qui permet une sélection granulaire : cookies nécessaires (aucun consentement requis), cookies analytiques, cookies marketing, cookies de préférence. Implémentez une plate-forme de gestion du consentement (CMP) appropriée qui bloque les scripts jusqu'à ce que le consentement soit accordé.
Communication transactionnelle. Aucun consentement n'est requis pour les confirmations de commande, les mises à jour d'expédition et les alertes de sécurité du compte --- celles-ci relèvent de la « nécessité contractuelle » (article 6(1)(b)). Mais n’insérez pas de contenu marketing dans les e-mails transactionnels.
Partage avec des tiers. Si vous partagez des données avec des partenaires (réseaux d'affiliation, plateformes d'avis, fournisseurs d'analyses), chaque relation de partage nécessite sa propre divulgation et, le cas échéant, son consentement.
Implémentation dans les systèmes ERP
Dans Odoo et les systèmes ERP similaires, mettez en œuvre le suivi du consentement comme suit :
- Ajouter des champs de consentement au modèle de contact :
marketing_consent,analytics_consent,consent_date,consent_source - Enregistrez la version exacte de l'avis de confidentialité que l'utilisateur a accepté
- Implémenter un mécanisme de retrait de consentement qui se propage dans tous les modules
- Enregistrez toutes les modifications de consentement dans une [piste d'audit] immuable (/blog/audit-trail-compliance-erp-systems) avec des horodatages
Conformité des cookies
Les exigences du RGPD en matière de cookies, renforcées par la directive ePrivacy, exigent :
- Aucun cookie non essentiel défini avant le consentement explicite
- Même importance pour les boutons « Accepter » et « Rejeter » (pas de motifs sombres)
- Sélection granulaire de la catégorie de cookies
- Retrait facile du consentement
- Enregistrements de consentement aux cookies conservés à des fins d'audit
Étape 3 : Demandes d'accès aux personnes concernées (DSAR)
Les articles 15 à 22 confèrent aux résidents de l’UE de puissants droits sur leurs données. Vous devez répondre dans les 30 jours et le chronomètre démarre à la réception de la demande, et non à la vérification de votre identité.
Types de DSAR et exigences de réponse
| Droite | Article | Délai de réponse | Ce que vous devez fournir |
|---|---|---|---|
| Accès | Art. 15 | 30 jours | Copie de toutes les données personnelles + détails du traitement |
| Rectification | Art. 16 | 30 jours (ou "sans retard injustifié") | Corriger les données inexactes |
| Effacement | Art. 17 | 30 jours (ou "sans retard injustifié") | Supprimer les données sauf obligation légale de les conserver |
| Restriction | Art. 18 | 30 jours | Arrêter le traitement mais conserver les données |
| Portabilité | Art. 20 | 30 jours | Exportation lisible par machine (JSON/CSV) |
| Opposition | Art. 21 | 30 jours | Arrêter le traitement dans un but spécifique |
Création d'un flux de travail DSAR
À grande échelle, la gestion manuelle des DSAR n’est pas viable. Créez un flux de travail automatisé :
- Admission. Adresse e-mail dédiée et formulaire Web pour les DSAR. Accusé de réception automatique.
- Vérification de l'identité. Vérifiez l'identité du demandeur sans collecter de données supplémentaires excessives.
- Découverte de données. Recherche automatisée sur tous les systèmes : ERP, CRM, marketing par e-mail, analyses, service d'assistance, sauvegardes.
- Compilation des réponses. Regroupez les données dans un format structuré. Pour les demandes d'accès, indiquez les finalités du traitement, les catégories, les destinataires, les périodes de conservation et la source des données.
- Réviser. L'équipe juridique/confidentialité examine avant l'envoi. Expurgez les données personnelles de tiers.
- Exécution. Envoyez la réponse dans les 30 jours. Enregistrez la demande, la réponse et le calendrier.
- Exécution de l'effacement. Pour les demandes de suppression, effectuez l'effacement en cascade sur tous les systèmes, y compris les sauvegardes (avec des exceptions documentées pour les exigences légales de conservation).
Défis DSAR spécifiques à l'ERP
Les systèmes ERP présentent des défis DSAR uniques car les données personnelles sont profondément intégrées dans les modules :
- Le nom d'un client apparaît dans les contacts, les factures, les bons de livraison, les tickets d'assistance et les écritures comptables
- Les documents financiers peuvent être soumis à des exigences légales de conservation (généralement 7 à 10 ans) qui prévalent sur le droit à l'effacement.
- La pseudonymisation est souvent préférable à la suppression pour les dossiers financiers : remplacer le nom par un identifiant anonyme tout en conservant les données de transaction à des fins comptables
Étape 4 : Minimisation et conservation des données
L’article 5(1)(c) exige que les données personnelles soient « adéquates, pertinentes et limitées à ce qui est nécessaire ». L’article 5(1)(e) exige que les données soient conservées « pas plus longtemps que nécessaire ».
Minimisation pratique des données
Auditez chaque point de collecte de données :
- Formulaires d'inscription. Avez-vous vraiment besoin de votre date de naissance, de votre sexe ou de votre numéro de téléphone lors de votre inscription ? Sinon, supprimez-les.
- Flux de paiement. Collectez uniquement ce qui est nécessaire pour exécuter la commande. Proposez le paiement aux invités pour éviter de créer des comptes inutiles.
- Analytics. Utilisez des analyses préservant la confidentialité (Plausible, Fathom) ou configurez GA4 pour réduire la collecte de données. Anonymisation IP, durée des cookies raccourcie, suivi de l'ID utilisateur désactivé.
- Champs ERP. Consultez les champs personnalisés ajoutés aux contacts, commandes et autres modules. Supprimez tout ce qui ne répond pas à un objectif commercial documenté.
Politique de conservation par type de données
| Type de données | Rétention suggérée | Base juridique |
|---|---|---|
| Données du compte client | Durée de la relation + 30 jours | Contrat |
| Données de commande/transaction | 7-10 ans (lois fiscales/comptables) | Obligation légale |
| Enregistrements de consentement à la commercialisation | Durée du consentement + 3 ans | Intérêt légitime (preuve) |
| Billets d'assistance | 2 ans après la résolution | Intérêt légitime |
| Analyse de sites Web | 14-26 mois | Consentement |
| Données RH des salariés | Durée d'emploi + période statutaire | Obligation légale |
| Tentatives de paiement échouées | 90 jours | Intérêt légitime |
| Données de candidature/CV | 6 mois (sauf consentement pour une durée plus longue) | Consentement |
Automatiser la rétention dans votre ERP
Configurez votre système ERP pour appliquer automatiquement les politiques de rétention :
- Travaux planifiés qui identifient les enregistrements après la date de conservation
- Scripts d'anonymisation qui remplacent les données personnelles par des valeurs génériques tout en préservant les données agrégées pour le reporting
- Politiques de rotation des sauvegardes qui garantissent que les données supprimées ne persistent pas indéfiniment dans les sauvegardes
- Exceptions documentées pour les retenues légales et les litiges en cours
Étape 5 : Accords de processeur et gestion des fournisseurs
L'article 28 exige un accord écrit sur le traitement des données (DPA) avec chaque fournisseur qui traite des données personnelles en votre nom. Ce n’est pas une obligation – c’est une exigence légale.
### Clauses essentielles du DPA
Chaque DPA doit inclure :
- Objet et durée du traitement
- Nature et finalité du traitement
- Types de données personnelles traitées
- Catégories de personnes concernées
- Obligations et droits du responsable du traitement
- Processus d'approbation du sous-traitant
- Obligations de notification des violations de données (sans retard injustifié)
- Suppression des données ou restitution en cas de résiliation
- Droits d'audit pour le contrôleur
- Mécanismes de transfert transfrontalier (SCC ou décisions d'adéquation)
Évaluation de la conformité des fournisseurs
Créez une évaluation des risques liés aux fournisseurs qui évalue :
- Le fournisseur a-t-il publié un DPA ? (La plupart des principaux fournisseurs SaaS le font)
- Quelles certifications le fournisseur détient-il ? (SOC2, ISO 27001)
- Où le fournisseur stocke-t-il les données ? (Voir notre guide sur la résidence des données)
- Le fournisseur utilise-t-il des sous-traitants et comment sont-ils gérés ?
- Quel est le délai de notification de violation du fournisseur ?
Pour une vision plus large de la manière dont le RGPD s'intègre dans le paysage global de la conformité, consultez notre manuel de conformité d'entreprise.
Questions fréquemment posées
Le RGPD s'applique-t-il aux entreprises B2B qui n'ont que des contacts professionnels ?
Oui. Le RGPD s'applique à toutes les données personnelles des résidents de l'UE, y compris les adresses e-mail professionnelles et les numéros de téléphone directs. Les données de contact professionnelles, telles que l'adresse e-mail professionnelle d'une personne nommée ([email protected]), sont des données personnelles. Les e-mails génériques de l'entreprise ([email protected]) ne le sont pas. La plupart des entreprises B2B traitent les données personnelles via des systèmes CRM, du marketing par e-mail et des analyses de sites Web.
Quelle est la différence entre un responsable du traitement et un sous-traitant ?
Le responsable du traitement détermine les finalités et les moyens du traitement des données personnelles : il s'agit généralement de votre entreprise pour vos propres données clients. Le processeur de données traite les données pour le compte du responsable du traitement – cela inclut vos fournisseurs SaaS, vos fournisseurs de cloud et vos processeurs de paiement. Les responsables du traitement ont des obligations plus larges au RGPD, mais les sous-traitants doivent également se conformer aux exigences de l'article 28 et conserver leurs propres registres de traitement.
Pouvons-nous nous fier à un « intérêt légitime » plutôt qu'au consentement pour le marketing ?
En théorie oui, mais en pratique c’est risqué pour le marketing direct. L'ICO (Royaume-Uni) et la CNIL (France) ont adopté des positions strictes selon lesquelles le marketing par courrier électronique nécessite généralement un consentement en vertu du RGPD et de la directive ePrivacy. L'intérêt légitime peut fonctionner pour le marketing B2B dans certaines juridictions, mais vous devez documenter une évaluation de l'intérêt légitime (LIA) et fournir un mécanisme de désinscription clair. En cas de doute, obtenez le consentement.
Comment gérons-nous le RGPD pour les données stockées dans les sauvegardes ?
Les sauvegardes représentent un véritable défi. L'ICO a reconnu que la suppression d'enregistrements spécifiques des sauvegardes peut être techniquement peu pratique. L'approche acceptée consiste à maintenir une « liste de suppression » des personnes concernées supprimées et à appliquer les suppressions lorsque les sauvegardes sont restaurées. Documentez cette approche dans votre politique de confidentialité et vos réponses DSAR. Assurez-vous que les périodes de conservation des sauvegardes sont aussi courtes que possible.
À quelles sanctions une petite entreprise de commerce électronique peut-elle réellement être confrontée ?
Même si les amendes se chiffrent en millions, les autorités de contrôle tiennent compte de la taille et du chiffre d'affaires de l'entreprise lorsqu'elles fixent les sanctions. Les petites entreprises sont plus susceptibles de recevoir des avertissements, des ordonnances de conformité ou des amendes proportionnelles à leurs revenus. Cependant, l’atteinte à la réputation et le coût des mesures correctives peuvent être dévastateurs, même sans amende. L’approche la plus sûre est la conformité proactive.
Quelle est la prochaine étape
La conformité au RGPD n'est pas un projet ponctuel mais un programme continu qui doit évoluer à mesure que votre entreprise se développe, que vos activités de traitement de données évoluent et que les orientations réglementaires se développent. La bonne nouvelle est que la conformité au RGPD crée une base solide pour tout autre cadre de conformité.
ECOSIRE construit à partir de zéro des systèmes de commerce électronique et ERP conformes au RGPD. Nos implémentations Odoo ERP incluent la gestion du consentement, l'automatisation DSAR, les pistes d'audit et l'application des politiques de rétention. Pour la découverte de données et l'automatisation de la confidentialité basées sur l'IA, explorez notre plateforme OpenClaw AI. Contactez-nous pour planifier une évaluation de préparation au RGPD.
Publié par ECOSIRE — aider les entreprises à évoluer grâce à des solutions basées sur l'IA dans Odoo ERP, Shopify eCommerce et OpenClaw AI.
Rédigé par
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Transformez votre entreprise avec Odoo ERP
Implémentation, personnalisation et assistance expertes d'Odoo pour rationaliser vos opérations.
Articles connexes
Comparaison Odoo vs NetSuite Mid-Market : Guide d'achat complet 2026
Odoo vs NetSuite pour le marché intermédiaire en 2026 : notation fonctionnalité par fonctionnalité, coût total de possession sur 5 ans pour 50 utilisateurs, délais de mise en œuvre, adéquation avec l'industrie et conseils de migration bidirectionnelle.
Génération de contenu IA pour le commerce électronique : descriptions de produits, référencement et plus
Faites évoluer le contenu de commerce électronique avec l'IA : descriptions de produits, balises méta SEO, copie d'e-mails et réseaux sociaux. Cadres de contrôle qualité et guide de cohérence de la voix de la marque.
Tarification dynamique basée sur l'IA : optimisez vos revenus en temps réel
Mettez en œuvre une tarification dynamique par l'IA pour optimiser les revenus grâce à une modélisation de l'élasticité de la demande, à la surveillance des concurrents et à des stratégies de tarification éthiques. Guide d'architecture et de retour sur investissement.
Plus de Compliance & Regulation
Cybersécurité pour le commerce électronique : protégez votre entreprise en 2026
Guide complet de cybersécurité du commerce électronique pour 2026. PCI DSS 4.0, configuration WAF, protection contre les robots, prévention de la fraude aux paiements, en-têtes de sécurité et réponse aux incidents.
ERP pour l'industrie chimique : sécurité, conformité et traitement par lots
Comment les systèmes ERP gèrent les documents FDS, la conformité REACH et GHS, le traitement des lots, le contrôle qualité, l'expédition des matières dangereuses et la gestion des formules pour les entreprises chimiques.
ERP pour le commerce import/export : multidevises, logistique et conformité
Comment les systèmes ERP gèrent les lettres de crédit, les documents douaniers, les incoterms, les comptes de résultat multidevises, le suivi des conteneurs et le calcul des droits pour les sociétés commerciales.
Reporting développement durable et ESG avec ERP : Guide de conformité 2026
Naviguez dans la conformité des rapports ESG en 2026 avec les systèmes ERP. Couvre les émissions CSRD, GRI, SASB, Scope 1/2/3, le suivi du carbone et la durabilité Odoo.
Liste de contrôle pour la préparation à l'audit : préparer vos livres
Liste de contrôle complète de préparation à l'audit couvrant la préparation des états financiers, les pièces justificatives, la documentation sur les contrôles internes, les listes PBC de l'auditeur et les conclusions d'audit courantes.
Guide australien de la TPS pour les entreprises de commerce électronique
Guide complet de la TPS australienne pour les entreprises de commerce électronique couvrant l'enregistrement ATO, le seuil de 75 000 $, les importations de faible valeur, le dépôt BAS et la TPS pour les services numériques.