Vente directe en agriculture : les données personnelles de votre fichier clients respectent-elles le RGPD ?
La vente de produits agricoles n’échappe pas au règlement général sur la protection des données (RGPD). Les viticulteurs, les agriculteurs et leurs collectifs de vente (magasins de producteurs, coopératives…) qui pratiquent la vente directe aux particuliers doivent être très attentifs à la gestion des données personnelles de leurs clients particuliers. Le non-respect des règles peut s’avérer salé !
Lorsqu’ils passent des commandes en direct auprès d’exploitations agricoles, les consommateurs fournissent librement des données personnelles : adresse électronique personnelle, adresse de livraison (souvent leur domicile), numéro de téléphone, voire date de naissance garantissant qu’ils sont majeurs pour l’achat de produits alcoolisés. Que ces informations soient collectées lors d’une commande, d’un salon, d’un séjour à la ferme ou par l’intermédiaire de relations, et quelle que soit la forme du fichier (application, site internet, tableau Excel, répertoire papier…), le règlement général sur la protection des données ou RGPD, s’applique. Le RGPD constitue le cadre juridique européen régulant la collecte et l’utilisation des données à caractère personnel depuis 2018.
Il est indispensable de se conformer aux exigences du RGPD pour éviter les ennuis, car les conséquences peuvent être lourdes : le traitement de données personnelles obtenues sans le consentement de la personne concernée est puni pénalement de 5 ans d’emprisonnement et de 300 000 € d’amende pour les entrepreneurs individuels, et de 1 500 000 € pour les sociétés.
Comment collecter les données du consommateur en toute transparence ?
Au moment de l’achat, le consommateur fournit volontairement des données. Si vous souhaitez les conserver dans un fichier clients, il faut donc lui demander son consentement. La création d’un compte client, réutilisé pour chaque commande, doit mentionner expressément ce consentement, par exemple en cochant une case. Attention : une case cochée par défaut ne vaut pas consentement univoque, selon le RGPD. Il n’existe pas de consentement par défaut, il doit être univoque. En absence de consentement, le client devra ressaisir ses données à chaque commande. En cas de commande papier ou par SMS, la règle est la même. Mais, par SMS, il est moins aisé de conserver la preuve du consentement initial.
Le consentement est limité dans le temps (2 ans par exemple) et à un usage spécifique à préciser : par exemple pour faciliter les prochaines commandes ou plus largement à des fins commerciales, ce qui donne droit à l’entreprise d’envoyer des offres promotionnelles, génériques ou personnalisées. En dehors des données fournies par le consommateur concerné, il n’est pas autorisé d’ajouter au fichier clients d’autres critères personnels.
Les fichés ont le droit de demander quelles données sont détenues, et de solliciter des modifications ou leur suppression. Afin qu’ils puissent faire jouer ce droit, le nom du responsable de cette base de données, a priori le gérant, doit leur être indiqué. Il ne faudra pas oublier, à la fin de la durée consentie, de leur redemander leur consentement. C’est une bonne occasion de mettre à jour le fichier clients.
Comment réagir en cas de piratage de votre fichier clients ?
Comme beaucoup de PME, les exploitations agricoles sont mal protégées contre les cyberattaques. Si votre fichier clients venait à subir une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles) de manière accidentelle ou illicite, il faut en avertir les personnes concernées et signaler l’intrusion à la Commission nationale de l’informatique et des libertés (CNIL), au maximum dans les 72 heures.
Enfin, la portabilité, c’est-à-dire le transfert à des tiers, est aussi réglementée. En effet, la vente tout comme la mise à disposition gratuite d’un fichier clients ne peut se faire sans avoir recueilli l’autorisation préalable des concernés, d’où l’intérêt de bien conserver le consentement initial.
Exemple de formulaire de collecte de données à caractère personnel
« Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par la [nom de la structure] à des fins commerciales. La base légale du traitement de ces données est votre consentement.
Les données collectées ne seront utilisées qu’à la gestion des clients et des livraisons, à la prospection commerciale, à des enquêtes de satisfaction.
Les données sont conservées pendant [préciser la durée] à compter de votre première commande.
Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données. Vous pouvez également vous opposer à la portabilité de vos données.
Consultez le site cnil.fr pour plus d’informations sur vos droits.
Pour exercer ces droits ou pour toute question sur le traitement de vos données, vous pouvez contacter [email du responsable de la base] »
