En tant que site de vente en ligne, la suppression des comptes anciens doit être effectuée conformément aux dispositions du Règlement général sur la protection des données (RGPD) de l’Union européenne. Voici quelques règles importantes à suivre pour supprimer les comptes anciens dans le respect du RGPD :
- Informer les utilisateurs : avant de supprimer les comptes anciens, vous devez informer les utilisateurs concernés par la suppression de leur compte. Vous pouvez le faire par e-mail ou en publiant une notification sur le site. L’avis doit préciser la raison de la suppression et la date à laquelle elle aura lieu.
- Respecter les délais de conservation : le RGPD impose des délais de conservation pour certaines données personnelles. Vous devez vous assurer que vous respectez ces délais avant de supprimer les comptes. Si vous conservez des données au-delà des délais autorisés, vous risquez de violer le RGPD.
- Permettre l’accès aux données personnelles : les utilisateurs ont le droit d’accéder à leurs données personnelles et de les exporter. Vous devez leur permettre d’accéder à leurs données avant de supprimer leur compte.
- Effacer les données personnelles : vous devez effacer toutes les données personnelles des utilisateurs après la suppression de leur compte. Cela comprend les données d’achat, de paiement, de facturation et de profil.
- Prendre des mesures de sécurité : vous devez prendre des mesures de sécurité appropriées pour empêcher la perte ou l’accès non autorisé aux données personnelles des utilisateurs pendant le processus de suppression.
- Fournir un recours : si les utilisateurs ont des préoccupations ou des plaintes concernant la suppression de leur compte, vous devez leur fournir un recours. Cela peut inclure un processus de réclamation ou la possibilité de contacter un responsable de la protection des données.
Quels sont les délais ?
| Règles pour supprimer les comptes anciens | Délais en mois |
|---|---|
| Informer les utilisateurs de la suppression de leur compte | N/A (peut varier en fonction des termes du contrat) |
| Respecter les délais de conservation des données personnelles | 1 à 10 mois |
| Permettre l’accès et l’exportation des données personnelles | 1 mois |
| Effacer toutes les données personnelles après la suppression | 1 à 3 mois |
| Prendre des mesures de sécurité appropriées | N/A (continuellement) |
| Fournir un recours aux utilisateurs | 1 mois |
Procédure interne pour se conforter au RGPD
- Identifier les comptes utilisateurs inactifs : Le responsable de la protection des données (DPO) ou l’équipe chargée de la gestion des comptes doit identifier les comptes inactifs qui doivent être supprimés conformément aux termes du contrat et du RGPD.
- Informer les utilisateurs de la suppression de leur compte : L’équipe chargée de la gestion des comptes doit informer les utilisateurs concernés de la suppression de leur compte via une notification envoyée par e-mail ou affichée sur le site Web. Cette notification doit expliquer la raison de la suppression du compte et la date à laquelle elle aura lieu.
- Respecter les délais de conservation des données personnelles : Le DPO ou l’équipe chargée de la gestion des comptes doit s’assurer que toutes les données personnelles des utilisateurs sont conservées conformément aux exigences du RGPD et à la politique interne de l’entreprise.
- Permettre l’accès et l’exportation des données personnelles : Les utilisateurs doivent être en mesure d’accéder et d’exporter leurs données personnelles avant la suppression de leur compte. L’équipe chargée de la gestion des comptes doit fournir des instructions claires aux utilisateurs pour leur permettre d’accéder et d’exporter leurs données personnelles.
- Effacer toutes les données personnelles après la suppression : L’équipe chargée de la gestion des comptes doit effacer toutes les données personnelles des utilisateurs après la suppression de leur compte.
- Prendre des mesures de sécurité appropriées : L’équipe chargée de la gestion des comptes doit prendre toutes les mesures de sécurité appropriées pour empêcher la perte ou l’accès non autorisé aux données personnelles des utilisateurs.
- Fournir un recours aux utilisateurs : Si les utilisateurs ont des préoccupations ou des plaintes concernant la suppression de leur compte, l’équipe chargée de la gestion des comptes doit leur fournir un recours en leur fournissant des informations sur la façon de soumettre une plainte et en mettant à leur disposition un point de contact pour le responsable de la protection des données de l’entreprise.
Respecter le RGPD compte clients : Les source RGPD
| Règles pour supprimer les comptes anciens | Articles du RGPD |
|---|---|
| Informer les utilisateurs de la suppression de leur compte | Article 13(1)(c) du RGPD |
| Respecter les délais de conservation des données personnelles | Article 5(1)(e) du RGPD |
| Permettre l’accès et l’exportation des données personnelles | Articles 15 et 20 du RGPD |
| Effacer toutes les données personnelles après la suppression | Article 17(1)(a) du RGPD |
| Prendre des mesures de sécurité appropriées | Article 32 du RGPD |
| Fournir un recours aux utilisateurs | Article 77 du RGPD |
