Discussion :

[XanatosAO]

Bonjour,

J'ai lu l'excellent article de Bozhidar Bozhanov, RGPD : Un guide pratique pour les développeurs.
Je suis en train d'estimer mon temps de développement pour ajouter les fonctionnalités manquantes sur un site client.

Ma question porte sur le droit à l'oubli, dans le cadre d'un site e-commerce jusqu'où faut-il aller ?

En effet côté admin, j'ai ma liste de commandes, chaque commande est reliée à un utilisateur, une adresse d'expédition (elle-même reliée à l'utilisateur), de facturation, etc.

Lorsque j'affiche les données, j'interroge la base de données en live.
Le jour ou un utilisateur demander à être oublié, je vais avoir des trous dans mes petits tableaux.

Faut-il être carré et générer tous les documents qui eux seront figées (bon de commande, facture, bon livraison, etc) ? et tant pis pour les trous côté admin ?
Peut-on supprimer l'utilisateur et garder du texte statique et non relié à un ID user ?

En base de données ou pourrait imaginer quelque chose comme ça :
order (id ..., #shipping_id, shipping_text)
Si l'utilisateur demande une suppression je peux mettre #shipping_id à null et je garde une copie dans shipping_text ?

Vous l'aurez compris, je suis un peu perdu
ou je veux peut-être trop appliquer le règlement au pied de la lettre.

Merci pour vos éclaircissement

[max-mag]

Bonjour,

Je ne vais pas répondre à la question, mais la complexifier
Un avocat ou un expert comptable pourrait sans doute aider.

Le droit à l'oubli est contredit par la réglementation en matière d'archivage et de conservation des factures. Donc je pense qu'il ne faut pas effacer ces données.
Ceci dit, il ne faut pas oublier l'article 88 de la loi des finances 2016. Il y a eu beaucoup d'articles sur le net à ce sujet.
Un logiciel de facturation doit être certifié par l'éditeur. Si c'est toi, la NF525 peut aider.
Si ce n'est pas toi, je filerai la patate chaude à un logiciel certifié dont tu as le certificat (essentiel pour les contrôles éventuels) et j'effacerai les données dont je suis responsable.

[disclaimer]
Je ne suis pas juriste !
[/disclaimer]

[XanatosAO]

Bonjour,

Oui je pensais notamment à la NF525,

Mais quand je regarde une solution comme PrestaShop :
- ils se sont mis en conformité avec la NF525 en début d'année,
- et ont créé un module pour aider à la mise en conformité avec le RGPD

En analysant un peu le module , ils n'implémentent pas grand chose du RGPD :
- Le téléchargement des données au format CSV & PDF,
- un registre des activités
- et un message du type « Pour toute autre demande que vous pourriez avoir concernant la rectification et / ou l'effacement de vos données personnelles, veuillez nous contacter via notre »
+ les fonctionnalités de base qui existaient déjà comme pouvoir modifier toutes ses informations personnelles, et peut-être d'autres

Pour refiler la patate chaude ça va être compliqué ici,
mais on fait notre travail de conseil en proposant la mise en conformité... après c'est au client de prendre le risque

Effectivement un avocat ou un juriste serait utile, merci pour ton retour.