RGPD pour Prestashop

Prestashop 1.7 – Respecter le RGPD (ép. 53)

Vous avez entendu parler du règlement RGPD ? Celui-ci sera en application à partir du 25 mai 2018… Est-ce que vous êtes en règle ? Je vous propose une méthode simple pour respecter les grands principes de cette nouvelle loi sur la protection des données.

Le RGPD c’est quoi ?

Dans le cas présent je ne vais pas vous lire un texte de droit… mais une loi a été votée pour que la protection des données des utilisateurs soit mieux assurée sur internet. C’est une bonne initiative sur le fond, mais n’est-il pas un peu trop tard maintenant qu’internet sait déjà presque tout de vous ? En l’espace de quelques mois j’ai l’impression que le RGPD est devenu « vital » alors que pendant 20 ans on a vécu sans.

Vos clients sur votre site e-commerce

Sur le principe, il faudrait donner la possibilité à vos clients d’effacer toutes leurs traces sur votre boutique en ligne. Comment faire ? De mon point de vue la méthode la plus simple c’est de donner la possibilité au client de supprimer son compte et d’anonymiser les informations saisies par le passé.

Quelle approche possible sur le plan technique ?

Dans l’idée je suggère que dans le compte du client un nouveau bouton soit intégré « suppression du compte », ce qui aura pour effet de passer le compte client en mode « supprimé ». Par la même occasion on fait une mise à jour de ses coordonnées en remplaçant toutes ses informations par la mention « anonymous » ou par des valeurs vides. Cette manière de faire permettra de quand même conserver la trace comptable des commandes.

Faut-il s’inquiéter de cette loi ?

A mon sens ce qui est important,  c’est surtout de montrer qu’on veut aller dans le sens de cette loi en prenant les précautions nécessaires. Il y’a une part de preuve de la bonne foi, si vous avez fait quelque chose pour aller dans le sens du RGPD, cela sera toujours plus facile de vous jutifier que si vous n’avez pas adapté votre boutique à cette nouvelle règlementation. Il faut dire aussi que les grosses entreprises sont quand même beaucoup plus visées que les PME et indépendants.

3 autres astuces simples pour le RGPD

La première chose est de demander à votre hébergeur s’il est compatible avec la loi RGPD afin que vous puissiez être rassuré. Ensuite, regardez aussi pour que votre shop soit sécurisé HTTPS… et même Google attends que ça (il faut le faire). Ensuite, ajoutez une mention RGPD dans vos conditions Générales, sur ce que vous avez mis en oeuvre pour répondre à ces exigences (je le montre dans le tutoriel en dessous).

Ressources

Pour ce tutoriel vous aurez à disposition :

  • 1 x module RGPD basique pour Prestashop
  • 1 x fichier « my-account.tpl »  pour l’option de suppression de compte
  • 1 x exemple d’extrait de conditions générales pour le RGPD

Télécharger

Résumé de la vidéo : se mettre en conformité pour le RGPD sous Prestashop

  • Intégrer le module RGPD avec ajout de l’option de suppression du compte client dans le fichier de template.
  • Création d’un compte client, puis passage d’une commande sur Prestashop. Analyse ensuite du résultat dans PHPmyAdmin avec les données en clair.
  • Suppression d’un compte client, avec analyse du résultat dans la base de données. Les données sont remplacées par « anonymous » et le compte client ainsi que ses adresses associées sont désactivées.
  • Mise à jour de la page CMS des conditions générales, avec l’ajout d’une clause concernant le RGPD. Il est important de montrer son implication et de faire mention des éléments mis en oeuvre pour aller dans leur sens (vous pourrez-voir mon exemple en live).
  • Enfin, pensez à établir une protection juridique pour votre entreprise, car il est important de se protéger en cas d’attaque / litige, c’est toujours une sécurité de plus qui peut vous éviter des frais d’avocats.
Notez mon billet, Google va adorer :
1 étoiles - J'aime pas !2 étoiles - Bof !3 étoiles - Bien !4 étoiles - Très bien !5 étoiles - Génial ! (16 votes, moyenne : 4,88 sur 5)
Loading...

31 commentaires sur “Prestashop 1.7 – Respecter le RGPD (ép. 53)”

    1. Bonjour Catherine, pour ce faire tu fais toute la manip de la vidéo, sauf la modification du fichier my-account.tpl.
      Tu vas à la ligne : 48
      et tu rajoutes dessous :

      <a href="{$urls.base_url}modules/rgpd/account.php" rel="nofollow"><i></i>
                  <i class="icon-trash"></i>
                  {l s='Supprimer mon compte' d='Shop.Theme.Customeraccount'}
                </a>
      

      Tu peux aller faire un test sur le site d’un client decoacoeur[.]com
      Bon courage,
      Patrick

  1. Hello,

    Pourquoi ne pas avoir pris comme point de départ à ce tuto le module GDPR gratuit fourni en 1.7 par prestashop ? Il est amélioré avec cette fonctionnalité.
    Je vais tenter d’intégrer cette fonction bien utile sur ma version 1.6
    en espérant que ce soit possible.
    Merci !

    1. Hello,

      C’est certainement la méthode la plus simple je pense oui (de prendre un module externe). Ici je le fais plutôt par « fun » pour montrer une alternative différente de penser la chose.

      A bientôt !

  2. Bonjour,

    je ne vais pas l’installer, pourquoi?
    L’année dernière j’ai eu une arnaque à la carte avec une multitude d’achat de petits montant qui ne nécessitaient pas de code 3D par sms, mais une simple date de naissance.
    Je ne préfère pas dire le protocole des larcins qui ont fait en tout sur plusieurs sites 130K€ d’achats ou tentatives d’achats, je ne cherche pas à cultiver la fibre malhonnête.

    En tout 120€ pour mon cas… Et encore, quand je suis allé visiter 2 postes de police ceux-ci n’ont pas voulu prendre ma plainte… M’invitant plutôt à visiter le tribunal de commerce… Pourtant le délit pénal était caractérisé

    J’ai dû écrire au parquet, Mr le procureur et déposer ma plainte. J’étais à ce sujet bien content de reprendre toutes les infos sur mon site avec adresses des arnaqueurs, téléphones et emails, refus bancaires, montants commandés, etc.

    2 semaines plus tard, la brigade financière me téléphone, je les rencontre avec dans une autre pièce les prévenus de 15 ans d’age, vocabulaire très limité, ingénieux, mais stupide d’indiquer leur vrai nom, adresse et téléphone. Pour les montants et tentatives de de paiement s’élevant à 130K€ sur le web, ils ont eu droit à 72 heures de garde à vue, chaussures sans lacet.

    Dans la perquisition, je reconnais certains des objets commandés, mais déjà utilisés, donc plus vendables.
    Je fais ma déposition et ils arrêtent une douzaine de personnes, je ne connais pas les suites à ce jour.

    Là je dois relancer le parquet car je me nomme partie civile… La justice les a peut être mis en détention, mais j’attends encore mon argent. J’ai coopéré, mais j’ai rien en retour pour l’instant

    L’alternative, pour pas que les voleurs se blanchissent (alternative stupide comme le RGPD) c’est que les prospects ou clients fassent une demande papier du droit à l’oubli, datée par l’envoi avec lettre timbrée qui justifie la date. Il y a prescription sur 6 ans pour un délit pénal, donc, le client doit s’engager à avoir un compte inactif sans tentative de paiement pendant 6 ans, alors oui, le module ou le gérnt du site peut effacer ses données le concernant.

    Moralité, on crée une loi sans en modifier d’autres, sachant que le RGPD s’applique pour des clients en zone euro où chaque pays est souverain en matière pénale…

    Ceux qui ont pensé le RGPD ont une vision bien sectaire et réductrice. Par ailleurs, elle s’applique aussi aux fournisseurs qui travaillent avec vous, comme par exemple les transporteurs à qui vous renseignez les infos des clients, adresse, portables, etc.
    Donc, vous devez aussi faire une requête auprès de ceux-ci pour effacer les données les concernant. Quand j’en ai parlé à la poste française, ils m’ont demandé d’où je tirai ma requête. Je leur ai demandé, quelle est votre procédure affichée et visible pour appliquer le RGPD, alors là… Je parlais une autre langue.

    Si quelqu’un à une idée pour allier RGPD tout en permettant à la justice de faire son travail et de faire en sorte que le système marche, alors je suis preneur.

    1. Bonjour,

      Actuellement la RGPD n’est pas réellement applicable à mon sens… techniquement les moyens techniques à mettre en oeuvre sont bien trop complexes.

      Maintenant que toutes les données sont étalées à travers le web, sortir une loi en 2018 à ce sujet… c’est déjà trop tard.

      Merci de nous avoir partagé votre expérience, je croise les doigts pour que cela ne se reproduise pas pour vous.

      A bientôt !

  3. Tout d’abord un grand merci pour vos formidables tutos !

    J’ai une petite question sur l’action de suppression de son compte par le client.

    Imaginons, le client passe commande, ce dernier a payé et lui prend l’envie de supprimer son compte et la commande n’a pas encore été traité.
    Toutes ces données sont supprimées dont les plus importantes pour pouvoir honorer et expédier sa commande. L’adresse de livraison, son email ou son numéro de tel pour le contacter.

    N’avez-vous pas une solution pour qu’ils ne puissent pas supprimer son compte tant que sa commande n’a pas été livrée ?

    Merci d’avance

    1. Finalement après réflexion ça ne pose pas de problème puisque lors d’une commande on reçoit par email une confirmation de cette dernière avec toutes les informations pour l’honorer…

    2. Bonjour,

      Pour palier à ce problème j’installerai le module « alerte mails » qui vous permettra quand même d’avoir une copie de la commande du client.

      A bientôt !

  4. Bonjour,
    Merci pour le tuto. Mais effectivement, il y a une énorme part de boutiques qui fonctionnement encore sous Prestashop 1.6
    Pour la version 1.7 Prestashop met à disposition un module gratuit.

  5. Attention!!!! Ne surtout pas mettre en oeuvre cette solution telle quelle car dans les fait, cela risque de causer de gros problème comme la justement indiqué Audrey un peut plus haut.
    Suppressions du compte client juste après le passage d’une commande.
    La seule solution pour que cela soit parfaitement fonctionnel et de mettre en place un système de validation manuelle de la suppression.
    C’est à dire que le client peut effectuer la démarche de demander la suppression de son compte (Pour aller plus loin on peut imaginer de mettre en place une sélection des données que le client veut supprimer) et ensuite seul le commerçant valide la suppression manuellement afin de ne pas bloquer une commande en cours.

  6. Bonjour,

    oui, mais un bouton c’est sur le papier.

    Tous les vendeurs sérieux ont des back up de leur boutique a différentes périodes. Les infos sont dupliqués, le client n’a pas la main sur toutes ces copies.

    Demain nous nous faisons auditer par des auditeurs RGPD, ils verront que le système est appliqué uniquement sur la forme.

    Je crois qu’il faut surtout mentionner que nous ne vendons pas les données des clients à leur insu.

    1. Bonjour,

      Après chacun applique le RGPD comme il l’entend et fait au mieux selon son business et sa situation. A mon sens même les modules officiels ne peuvent pas répondre à 100% aux critères de la RGPD, parce que cette loi doit s’appliquer à tous les niveaux (y compris sur les échanges mails etc… et tout le reste).

      A bientôt !

  7. Bonjour,
    Pour ma part et en version 1.6, en modifiant par rapport à son propre code (thème perso), cela fonctionne parfaitement. Merci a webbax, car je partage comme lui le point de vue de la RGPD.

  8. Bonjour,

    Pour les versions Prestashop 1.6 faire ceci, dans le fichier : \themes\default-bootstrap\my-account.tpl

    Juste avant la balise :

    </ul>

    Mettre ce code :

    <li><a href="{$base_dir_ssl}modules/rgpd/account.php" title="{l s='Supprimer mon compte'}"><i class="icon-trash"></i><span>{l s='Supprimer mon compte'}</span></a></li>

    A bientôt !

    1. Bonjour,

      Il faut éviter de faire cela, car sinon ça va casser l’intégrité de la base de données, vous ne pourrez ensuite plus accéder à l’historique des commandes.

      A bientôt !

      1. Bonjour,

        Je l’ai fait sur mon site en dev (suppression des comptes clients + adresses + autres données e-mail dans d’autres tables), et j’ai toujours accès aux anciennes commandes. Je n’ai juste plus les noms et adresses sur ces commandes (les champs sont vides).

        En quoi cela perturbe l’intégrité de la base ? (je voudrais savoir si j’ai loupé quelque chose car je préfère procéder en suppression manuelle pour les raisons évoquées plus haut) Je précise que je suis en 1.6. Merci.

        1. Bonjour,

          Chaque commande est relié à un « id_customer » et si on supprime le client en base, la commande sera liée à un « id_customer » qui n’existe plus. Techniquement on peut le faire, mais je n’ai pas proposé cette solution, car en terme de liaison de tables ce n’est pas recommandé.

          Par la suite par ex. si on doit exporter des informations liées aux commandes, ça génèrerait potentiellement des erreurs fatales.

          A bientôt !

          1. Merci pour ce complément d’infos. Dans tous les cas, je pense qu’un module qui permet d’anonymiser les comptes mais uniquement en BO (par le site donc) et qui crée un bouton « demande de suppression de compte » dans le compte client (en front donc) serait mieux.
            Le client peut demander en un clic de supprimer son compte, le site reçoit la demande, fait les vérifications nécessaires , supprime le compte avec le module d’anonymisation. Un mail est envoyé directement au client pour l’informer de la suppression.
            Pour les petits sites, la gestion manuelle des demandes est tout à fait envisageable et le RGPD demande simplement à ce que le client puisse demander la suppression du compte. Le bouton « supprimer » dans son compte client est un extra mais non nécessaire à mon sens.
            En tout cas, pour ma part, c’est vers ce type de module que je vais aller. Si vous en développez un, faîtes-moi signe !

          2. Bonjour,

            Bien sûr que le top du top reste d’acheter un module Prestashop dédié au RGPD. Ici il s’agit surtout de montrer une astuce possible / manière de faire, en faisant un tutoriel express.

            Bonne continuation !

  9. Bonjour,
    je comprends pas trop cette histoire de RPGD ça me saoule, le module RPGD et gratuit sous prestashop 1.7 mais coûte 100€ pour 1.6! Sous PS1.7 J’ai vu qu’il y avait des boutons « imprimer cette page » en bas des pages cms conditions générales des ventes, livraison, paiement.
    J’ai donc voulu rajouter ce fameux bouton sous 1.6 mais impossible! j’ai essayé tout les codes disponibles sur internet mais rien y fait…
    quand je veux enregistrer la page cms ça dit tout le temps que le champ content est manquant ou invalide…

    Bien cordialement

    1. Bonjour,

      Ce tutoriel est valable pour Prestashop 1.7 uniquement. Dans un 1er temps vous pouvez aussi faire simple en mettant simplement une page CMS avec les informations liées à le RGPD et que la suppression des données peut-être faites en faisant une demande par mail à votre société.

      A bientôt !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *