Les marketplaces et le traitement des données personnelles : des obligations renforcées, une responsabilité accrue.

En tant qu’opérateur de marketplace, vous serez amené à détenir des données personnelles concernant les utilisateurs de votre plateforme, données que vous utiliserez pour votre compte mais que vous pouvez aussi monétiser. Il est indispensable que votre marketplace assure la sécurité de ces données et respecte la règlementation applicable en matière de traitement de données personnelles, notamment le règlement général sur la protection des données (« RGPD »).

Nous rappellerons dans le présent article les principales obligations pesant sur les marketplaces relatives au traitement de données personnelles et reviendrons sur l’actualité récente en la matière.

La protection des données personnelles est un sujet essentiel lors de la création d’une marketplace (et dans le cadre de son exploitation) dans la mesure où tout manquement à la réglementation peut entraîner :

• des sanctions administratives particulièrement lourdes (amende pouvant aller jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires annuel mondial si ce montant est plus élevé),
• une condamnation à indemniser le préjudice de la personne qui se prétend victime du manquement,
• éventuellement des sanctions pénales s’agissant de certains types de manquement.

1. Quelles sont les principales obligations des marketplaces concernant le traitement de données personnelles de leurs utilisateurs ?

Identifier le responsable du traitement des données et les sous-traitants

En votre qualité d’opérateur, il convient de cibler la finalité de chaque traitement de données réalisé via votre plateforme afin de désigner au préalable le responsable du traitement des données.

Qu’il s’agisse donc de sous-traitants, fournisseurs, prestataires de services de paiement ou encore logisticiens, vous devez déterminer rigoureusement le rôle de chacun de vos partenaires dans le traitement des données personnelles afin de savoir qui sera le responsable de chaque traitement.

Lorsque par exemple la finalité du traitement est la mise en relation des vendeurs et des acheteurs, vous serez le responsable du traitement. Lorsqu’en revanche la finalité du traitement des données est la vente et la livraison d’un produit, vous pouvez être le co-responsable du traitement avec le vendeur.

De votre statut (responsable / co-responsable / sous-traitant) dépendra votre niveau de responsabilité.

Lorsque vous intervenez en qualité de responsable des traitements de données que vous mettez en œuvre, c’est-à-dire lorsque vous déterminez les finalités et les moyens du traitement mis en œuvre, des responsabilités importantes pèseront sur vous en qualité d’opérateur de plateforme, responsabilités que nous rappellerons ci-après.

Lorsque vous intervenez en qualité de sous-traitant pour un autre responsable de traitement, vos responsabilités seront moins extensives mais il vous appartient de respecter les instructions qui vous sont données par le responsable de traitement à ce sujet.

Assurer et garantir la sécurité des données des utilisateurs

Le traitement de données personnelles suppose de garantir la sécurité des données traitées.

Assurer la sécurité des données implique de :

• mettre en place en interne des mesures techniques et organisationnelles appropriées au risque encouru,
• former les collaborateurs au respect de la réglementation applicable au traitement de données personnelles,
• réaliser des études d’impact (AIPD) pour les traitements de données à risque,
• s’assurer auprès des partenaires / sous-traitants des données qu’ils puissent garantir la sécurité des données dont le traitement leur est confié et encadrer contractuellement dans le cadre de « data agreements» les relations avec ces derniers pour garantir un niveau de sécurité suffisant.

Elaborer un registre des traitements de données 

Vous devez identifier l’ensemble des données personnelles stockées dans le cadre de l’exploitation de la plateforme, leur lieu de stockage dans le système d’information et les éventuels transferts des données mis en place.

Pour cela, vous devez élaborer et tenir à jour un « registre des traitements » de données contenant les différentes catégories des données collectées, leur propriétaire, leur durée de conservation, la finalité de leur collecte, les cas dans lesquels elles peuvent être transférées à un tiers ou vers un pays hors UE, les mesures de sécurité prévues et les différents responsables du traitement.

Ce document doit pouvoir être mis à disposition de l’autorité de contrôle à tout moment.

Désigner un délégué à la protection des données (« DPO ») 

Il est fortement conseillé de désigner un délégué à la protection des données, c’est-à-dire une personne référente en matière de règlementation RGPD qui sera chargée du contrôle de la protection des données au sein votre entreprise. Dans certains cas, la désignation d’un DPO est obligatoire.

Elaborer une politique de confidentialité et informer les utilisateurs

Afin d’informer au mieux vos utilisateurs sur le traitement de leurs données personnelles, il est impératif de mettre en place une politique de confidentialité dans laquelle seront notamment indiqué :

• les coordonnées du DPO,
• la finalité du traitement,
• la base juridique du traitement,
• le nom des tiers qui auront accès aux données,
• les droits des utilisateurs, à savoir :
  • le droit d’accès à leurs données personnelles ;
  • le droit d’obtenir la rectification des données ;
  • le droit d’obtenir l’effacement des données ;
  • le droit à la limitation des données ;
  • le droit à la portabilité des données personnelles ;
  • le droit d’opposition ;
  • le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.
• les modalités d’exercice des droits des utilisateurs,
• et la possibilité d’introduire une réclamation à la CNIL.

A l’exception des cas où le traitement de données repose sur un autre fondement juridique que le consentement, il est en outre absolument impératif de recueillir le consentement des utilisateurs pour le traitement de leurs données.

2. Quelles sont les mesures facultatives que la marketplace peut en outre mettre en place ?

 Bien que cela ne soit pas obligatoire, si vous souhaitez communiquer vis-à-vis de vos utilisateurs sur le niveau de protection des données offert par votre marketplace, il est possible de solliciter une certification.

La demande de certification doit être adressée à un tiers certificateur agréé par une autorité de contrôle compétente (la Cnil au niveau national ou le CEPD au niveau européen) ou par un organisme national d’accréditation (en France le COFRAC) qui procèdera à une évaluation de la plateforme sur la base, soit de critères établis par la CNIL ou le CEPD, soit sur la base de critères propres (mais qui doivent dans ce cas être approuvés par la CNIL / le CEPD).

A l’issue de d’évaluation et si les critères de certification sont remplis, l’organisme certificateur délivrera une certification.

Le 10 octobre 2022, le CEPD a reconnu au mécanisme de certification Europrivacy le caractère de label européen de protection des données. Pour l’heure, il s’agit de la seule certification RGPD à être reconnu dans tous les Etats membres de l’UE. Pour pouvoir l’utiliser, le tiers certificateur doit obtenir un agrément auprès de son organisme national d’accréditation, le COFRAC en France.

3. Qu’est-ce que le cyberscore ?

 La loi n°2022-309 du 3 mars 2022 complète l’obligation d’information des utilisateurs de plateformes numériques en prévoyant la mise en application d’un cyberscore, sorte d’équivalent du nutri-score, dont l’objectif est de certifier le niveau de cybersécurité des plateformes numériques.

Cette loi entrera en vigueur le 1^er octobre 2023.

Les plateformes numériques visées 

Cela concernera les plateformes numériques dont l’activité dépasse un ou plusieurs seuils qui seront définis par décret.

L’objectif à ce stade est essentiellement de viser les plateformes les plus importantes utilisées (plateformes numériques, réseaux sociaux, messageries instantanées, services de visioconférence) qui auront l’obligation de procéder à un audit de cybersécurité.

Comment le cyberscore fonctionne-t-il ?

Les plateformes concernées, en ce compris éventuellement les marketplaces, auront l’obligation de faire réaliser un audit de cybersécurité par des prestataires d’audits qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et devront rendre public les résultats de ce dernier de manière lisible, claire et compréhensible au moyen d’un système d’information coloriel.

L’objectif de l’audit sera de contrôler la sécurisation et la localisation des données hébergées et sur la sécurisation des plateformes en elles-mêmes et d’informer le public sur le niveau de sécurité de la plateforme en question.

Les sanctions encourues en cas de manquement 

Après contrôle de la DGCCRF, la sanction encourue en cas de manquement des plateformes numériques concernées à l’obligation d’établir un cyberscore sera de 375 000 euros d’amende en application de l’article L.131-4 du code de la consommation.

***

Compte tenu de la complexité de la réglementation applicable en matière de données personnelles et des lourdes sanctions encourues, il est important de se faire accompagner et conseiller sur ces sujets délicats.

L’équipe du cabinet HLG Avocats composée de Me Helen Coulibaly-le Gac, Me Julia Coste et Me Marie Doisy, accompagne régulièrement ses clients au sujet de ces problématiques et saura vous aiguiller dans vos démarches lors la création de votre marketplace.