Lecture 9 minutes
Vous êtes e-commerçant et vous utilisez la solution Magento 1 EE ?
Maintenant que vous savez tout sur le RGPD grâce à notre super checklist du e-commerçant, il est l’heure de regarder dans le détail ce que vous permet votre Solution e-commerce Magento 1 !
Le RGPD apporte des changements dans la manière dont nous récoltons, manipulons et stockons les données personnelles au quotidien. En dépit du lot de bouleversements que cela semble apporter, le fonctionnel standard de Magento 1 peut répondre à une partie des besoins lié au RGPD.
Pour vous donner toutes les clés, nous vous avons préparé un petit résumé des fonctionnalités et configurations sur lesquelles vous pouvez vous appuyer pour vous rapprocher du Graal de la conformité RGPD. En parallèle, nous ferons le point sur les limites du standard de la solution Magento 1.
Récapitulatif des principaux pre-requis RGPD et leur gestion
dans Magento 1
| Check list des principaux pré-requis RGPD | Magento 1 |
|---|---|
| CGV & Politique de confidentialité | |
| Afficher une page CGV et de confidentialité administrable | Standard – Configuration BO |
| Demander la validation explicite des CGV au moment de la commande | Standard – Configuration BO |
| Bandeau Cookies | |
| Afficher un bandeau Cookies avec les informations nécessaires | Développement spécifique |
| Obtenir le consentement de l’utilisateur pour les outils externes de collecte de données personnelles (Analytics, GTM …) | Développement spécifique |
| Formulaire de contact | |
| Préciser la finalité du formulaire | Développement spécifique |
| Inscription à la Newsletter | |
| Appliquer un opt-in à l’inscription | Standard - Automatique |
| Historiser la date d’inscription à la newsletter standard | Développement spécifique |
| Supprimer un inscrit à la newsletter | Standard – Configuration BO |
| Proposer un lien de désabonnement pour les NL Magento | Standard - Automatique |
| Proposer un double opt-in lors de l’inscription à la NL (facultatif) | Standard – Configuration BO |
| Création de compte | |
| Préciser la finalité des champs demandés | Développement spécifique |
| Distinguer les champs facultatifs des champs obligatoires | Standard – Configuration BO |
| Imposer un mot de passe complexe | Développement spécifique |
| Vérifier l’âge de l’internaute (>16 ans) | Développement spécifique |
| Proposer un lien vers la page acceptation de la « politique de confidentialité » | Développement spécifique |
| Ne pas envoyer de mot de passe en clair par mail | Standard – Configuration BO |
| Ne pas stocker le mot de passe en clair | Standard - Automatique |
| Compte client | |
| Permettre à l’utilisateur de consulter et modifier ses données personnelles | Standard - Automatique |
| Supprimer un compte | Standard – Configuration BO * |
| Ajouter dans les CGV un mail pour que l’internaute demande la suppression de son compte et/ou l’extraction des données le concernant | Standard – Configuration BO |
| Extraire des informations client depuis le BO via un export | Standard – Configuration BO * |
| Sécurisation des données | |
| Gérer des niveaux de droits utilisateurs | Standard – Configuration BO |
| Appliquer les mises à jour Magento 1 | Développement spécifique |
* Fonctionnalité disponible, mais ne couvrant que partiellement le niveau d’attente lié au RGPD. Nous vous donnons plus d’informations à ce sujet dans la suite de l’article.
Force est de constater que tous les impératifs RGPD ne sont pas couverts nativement par Magento 1. Il est alors nécessaire de passer par des développements spécifiques pour répondre au besoin de mise en conformité. Néanmoins, Magento 1 permettra de couvrir une partie des besoins, parfois nativement sans action nécessaire, d’autre fois à l’aide de configurations dans le back office. La liste ci-après devrait vous aider à y voir plus clair...
8 fonctionnalités BO à connaître pour la mise en conformité de votre plateforme
-
Faire valider les CGV au moment de la commande
Légalement, vous devez faire valider vos CGV à l’internaute au moment du passage de commande. Il s’agit d’une fonctionnalité standard de Magento 1, qui peut être configurée en BO :
Activer la fonctionnalité :
System > Configuration > Sales > Checkout > Checkout option > Enable terms and conditions -> YES
Modifier le contenu du texte affiché : Sales > Terms and conditions
-
Supprimer un abonné à la Newsletter
Newsletter > Newsletter subscriber : sélectionner les inscrits à supprimer, puis action en masse « delete » > Bouton submit
Attention, la désinscription et la suppression sont donc deux notions différentes : dans le premier cas l’adresse e-mail de l’utilisateur est conservée tandis que dans le second cas, elle est supprimée. Légalement, si un inscrit à la newsletter demande à être supprimé de votre base de données, le désabonnement n’est pas suffisant.
-
Mise en place d’un double opt-in à l’inscription newsletter
Vous pouvez demander à l’internaute de valider son inscription à la newsletter en cliquant sur un lien de confirmation qui lui est envoyé par email. Cette double confirmation s’applique aux inscriptions via le footer et à la création de compte si vous vous basez sur le standard de la solution Magento 1.
Cette double validation n’est pas une obligation légale, elle est toutefois possible et permet d’aller plus loin dans le recueil de consentement.
Il s’agit d’une configuration en BO :
System > Configuration > Customer > Newsletter > « Subscription options > « Need to confirm » à passer sur oui
Attention, même si l’internaute ne valide pas son inscription en cliquant sur le lien, il est ajouté dans la liste d’abonnés avec un statut « Non activé ». Ses informations personnelles (emails) sont donc récoltées.
-
Sécuriser l’envoi des mots de passe
L’envoi de mots de passe en clair constitue d’une part une faille de sécurité et d’autre part peut paraître inquiétant, notamment pour les utilisateurs avertis. Vous pouvez supprimer les mots de passe envoyés aux clients en modifiant les templates e-mail concernés.
Une astuce consiste à simplement remplacer la variable qui permet d’insérer le mot de passe de l’utilisateur dans le mail par des ****** :
La marche à suivre : vous rendre dans System > Transactional emails > Add new template
Puis sélectionner le template envoyé lors de l’inscription et remplacer la variable mot de passe.Habituellement seul l’email de confirmation d’inscription est concerné par cette manipulation. Il est toutefois nécessaire de vérifier les autres templates que vous utilisez, notamment ceux qui ont pu être customisés par vos soins.
-
Distinguer les champs facultatifs des champs obligatoires
Dans une logique de ne pas récolter plus d’informations personnelles que nécessaire, il est important de clairement spécifier à l’utilisateur les informations obligatoires et celles qui ne le sont pas.
C’est notamment le cas pour le formulaire d’inscription. Deux configurations permettent de gérer cela :
→ Customers > attributes > Manage Customer adresses attributes (ex : ville, société, …)→ Customers > attributes > Manage Customer attributes (ex : date de naissance, autres attributs clients créés dans le contexte de votre projet comme sa tailles, ses activités,…)
Vous avez la possibilité pour chaque attribut de préciser si la valeur est requise ou non :
À noter : les attributs obligatoires pour Magento tels que le nom, le prénom, le mail, sont à « Oui » par défaut et ne peuvent pas être modifiés en BO. -
Gérer les droits de vos utilisateurs
Magento vous permet de créer des rôles et des utilisateurs (rattachés à ces rôles).
Cette gestion des rôles va permettre de définir pour un rôle donné (ex: service client) les éléments qui sont accessibles ou non aux utilisateurs associés à ce rôle.
Il s’agit d’une configuration en BO dans Système permissions > User > Roles.
Vous pourrez ici créer vos rôles et définir les droits pour chacun d’entre eux :
Une fois ce travail de création des rôles réalisé, vous pourrez associer vos utilisateurs au rôle que vous souhaitez attribuer à chacun. Là encore, cela est possible via une simple configuration au niveau de l’utilisateur :
System > Permissions > Users > Sélectionnez votre utilisateur > User Role -
Supprimer les comptes (ne répond que partiellement aux exigences RGPD)
Magento 1 permet une suppression de compte client en BO. Pour cela il faut se rendre sur le compte client concerné depuis le BO Magento :
Customers > Manage customers > Sélectionnez votre client > Delete Customer
Cette fonctionnalité couvre en partie le besoin RGPD qui consiste à pouvoir supprimer les données personnelles d’un client si celui-ci le demande. Pourquoi parle-t-on ici de besoin couvert partiellement ?D’une part car certaines informations ne sont toutefois pas supprimées lors de la suppression de compte :
→ Les commandes
→ Factures
→ Abonnements newsletter
→ Invitations parrainage
→ …Les deux premiers points ne sont pas incompatibles avec le RGPD, ces éléments étant des pièces comptables.
Il est en revanche nécessaire de supprimer les abonnements newsletter et les invitations parrainage.
Pour contourner ce problème, il vous faudra donc aller manuellement vérifier si ce même client est abonné et supprimer son compte dans la foulée. Pour les invitations, le standard ne permet pas sa suppression, il faudra donc vous rapprocher de votre prestataire.D’autre part, parce qu’il y a généralement des connexions en place avec des outils tiers (ERP, CRM), il faut systématiquement répercuter les modifications dans ces outils. Ce qui implique une action manuelle ou la mise en place de développements spécifiques.
-
Exporter les informations d’un client
Avec l’entrée en vigueur du RGPD, il devient obligatoire d’être en mesure de fournir à un individu les informations personnelles le concernant et qui sont en votre possession.
Magento dispose d’une fonctionnalité d’export, laquelle vous permet d’exporter au format CSV les données clients. Cette option est disponible en BO dans System > Import / Export > Export
Il est nécessaire de sélectionner le type d’entité « Customers » , filtrer à l’aide de l’email du client (champ email), puis valider sur le bouton « continuer ».Par précaution, nous vous invitons à vérifier que l’ensemble de vos champs standards et custom sont présents dans cet export. En standard, vous retrouverez tous les champs de base : email, date de création du compte, les adresses, le genre…
Ce fichier pourra alors être transmis à l’internaute qui en fait la demande sous forme de fichier csv lisible et interprétable.
Pour aller encore plus loin dans les données clients conservées dans Magento, voici un article qui vous présente l’architecture mise en place sur Magento 1.
Cet article vous a plu mais vous utilisez la plateforme Magento 2 ? Pas d’inquiétude, nous préparons un article dédié à Magento 2.
Auteures : Alexandra Molette, chef de projet E-commerce & Stéphanie Grégis, chef de projet E-commerce – Synolia
