En mars 2018, lorsque le fiasco des données Cambridge Analytica-Facebook est devenu notoire, il a créé des répercussions dans le monde entier. Les gouvernements de plusieurs pays ont pris note du tollé général et ont commencé à jeter les bases de la protection des données et de la vie privée de leurs citoyens.

Les législateurs de l'Union européenne (UE) ont mené la charge. De nombreuses lois et directives ont été créées tandis que certaines des lois obsolètes ont été réexaminées, imposant de nouvelles obligations et responsabilités aux responsables du traitement et aux sous-traitants.

Dans ce guide informatif, nous présentons nos recherches sur les réglementations et les lois européennes en matière de commerce électronique qu'un propriétaire d'entreprise doit connaître avant de démarrer son marché de commerce électronique comme Flubit, ASOS ou Allegro. Commençons par le largement accepté et mis en œuvre ; RGPD.

Table des matières

• Les bases du RGPD
• Le RGPD est important pour l'industrie du commerce électronique. Voici pourquoi!
• E-Commerce, TVA & Brexit, et leur harmonie de travail
• Passerelles de paiement et paiements en ligne
• Directive sur la vente à distance
• Industrie des cartes de paiement - Conformité à la norme de sécurité des données (PCI DSS)
• Directive européenne DEEE
• Conclusion

Les bases du RGPD

Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, est un règlement sur la protection des données et la vie privée dans l'Union européenne (UE) et son espace économique. Il s'agit de protéger les données des résidents de l'UE.

Les données personnelles font référence à toute information pouvant être retracée jusqu'à une personne identifiable. Il peut inclure le nom, l'adresse e-mail, l'adresse IP, etc.

Le RGPD s'applique à toute entreprise ou entreprise, indépendamment de son emplacement et/ou de la nationalité ou de la résidence des personnes concernées (individus). Si vous traitez les informations personnelles d'individus à l'intérieur de l'Espace économique européen (EEE) ou si vous avez des clients de l'UE, vous devez en être conscient. Il existe six bases légales précisées par le RGPD (consentement, contrat, mission publique, intérêt vital, intérêt légitime ou obligation légale).

Outre la base légale, certains droits sont accordés aux personnes concernées de l'UE en vertu du nouveau règlement, qui sont les suivants :

• Le droit d'accès signifie que les clients ont le droit de savoir comment leurs données sont utilisées. Par conséquent, les entreprises doivent évaluer les personnes disposant de ces informations.
• Le droit de transfert stipule que les clients ou les personnes concernées ont le droit de transférer leurs données d'une entreprise à une autre.
• Le droit à l'oubli implique que si un client souhaite que toutes ses données soient effacées, les entreprises doivent se conformer à la demande.
• Le droit d'être informé implique que les clients doivent être explicitement informés que leurs données sont collectées et qu'un consentement libre doit être obtenu.
• Le droit d'être corrigé donne aux clients le droit de faire mettre à jour leurs données si elles sont obsolètes ou incorrectes.
• Le droit de ne pas traiter implique qu'un client peut choisir de ne pas faire traiter ses données, mais ses enregistrements peuvent rester dans le système.
• Le droit d'opposition signifie qu'un client peut choisir que ses données ne soient pas traitées pour le marketing direct.

En outre, il existe certains devoirs et droits que les entreprises doivent respecter conformément aux nouvelles directives GDPR :

• En cas de violation de données, une entreprise doit le divulguer et le signaler dans les 72 heures aux autorités nationales de surveillance.
• Toutes les entreprises doivent désigner un délégué à la protection des données (DPO) en cas de traitement de données en masse.
• Pour protéger les données, les entreprises doivent prendre les mesures nécessaires.
• Même si les entreprises doivent collecter des données, cela doit être le strict minimum requis.
• Les entreprises/entreprises doivent obtenir un consentement explicite avant de collecter des données personnelles.
• Si les entreprises internationales ou nationales ne se conforment pas à la réglementation sur la protection des données, elles peuvent être condamnées à une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires mondial annuel de l'exercice précédent, selon le montant le plus élevé.

En raison de la dépendance de l'Union européenne au RGPD, il est devenu un modèle à suivre pour d'autres pays et États. Des pays comme le Chili, le Japon, le Brésil, le Kenya et les États-Unis d'Amérique présentent de nombreuses similitudes avec leurs réglementations, ce qui en fait une règle mondiale que les entreprises et les entreprises doivent suivre et respecter.

Le RGPD est important pour l'industrie du commerce électronique. Voici pourquoi!

GDPR a remodelé l'industrie du commerce électronique en Europe et sur d'autres continents. Étant donné que les entreprises opérant dans le domaine du commerce électronique doivent traiter les données personnelles des clients et collecter, stocker ou utiliser les données d'une autre manière, elles doivent elles-mêmes suivre une pléthore de réglementations en raison du traitement des données des clients de l'UE.

• Une entreprise doit divulguer les coordonnées de sa boutique de commerce électronique.
• Même si vous n'avez pas de bureau physique en Europe mais que vous avez des clients dans l'UE, vous devrez vous conformer au RGPD.

Bien qu'une entreprise n'ait rien à faire d'extraordinaire pour s'assurer que son entreprise est conforme au RGPD, elle doit toujours s'assurer que ses conditions générales et sa politique de confidentialité ainsi que les paramètres de cookies sont à jour.

Remarque : De 1 à 10 000 employés, le RGPD s'applique à tout le monde, mais la tenue de registres n'est requise que pour les entreprises qui comptent plus de 250 employés.

Certains aspects doivent être pris en compte pour être conforme au RGPD :

• Donner aux utilisateurs le choix et le contrôle de donner ou non leur consentement
• Demander aux utilisateurs de s'inscrire signifie que les cases pré-cochées ne comptent pas comme un consentement, par conséquent l'utilisateur doit s'inscrire lui-même
• Soulignez explicitement ce à quoi la personne consent
• Les demandes de consentement doivent être séparées des autres conditions de service
• Être spécifique; n'utilisez pas de parapluie pour attraper tout à la fois
• Soyez clair et concis : il n'y a pas de place pour les doubles négatifs
• Les tiers qui s'appuieront sur le consentement doivent être nommés
• Retrait facile du consentement, et comment le faire est important
• Documenter et conserver la preuve du consentement en termes de qui a consenti, quand, comment et quel était le message communiqué à ce moment-là
• Vérifiez le consentement que vous avez reçu et mettez-le à jour si quelque chose change
• Évitez de faire du consentement une condition préalable à l'utilisation de votre service

Paiements transfrontaliers et risques de conversion de devises :

Les frais de paiement transfrontaliers à travers l'Europe sont interchangeables, quelle que soit sa participation à la zone euro. De plus, les paiements nationaux en euros sont très coûteux, ce qui permet aux prestataires de services de paiement (PSP) de facturer de manière variable.

Pour répondre à ce problème, le Parlement européen a mis à jour ses règles de paiement. Le CBPR2 ou règlement transfrontalier prévoit d'introduire plus de transparence dans les frais de conversion de devises et d'établir des normes aux points de vente (point de vente) et aux guichets automatiques.

Les PSP doivent fournir les éléments suivants aux utilisateurs qui initient un transfert direct par carte de crédit en ligne :

• une estimation des frais de conversion
• un montant total estimé dans la devise du compte du payeur
• une estimation du montant total à payer à l'utilisateur de services de paiement dans la devise du compte du payeur
• frais de transaction, le cas échéant
• frais de conversion de devises, le cas échéant

Le CBPR2 exige en outre qu'avant le lancement de toute transaction par carte impliquant une conversion de devise à un guichet automatique ou à un point de vente, les PSP doivent divulguer les informations suivantes à l'utilisateur/bénéficiaire du service de paiement :

Déclaration:

• Les frais de conversion de devises ainsi que les taux de change utilisés.

Conformité fiscale :

• Le pourcentage de majoration par rapport au taux de change de l'euro le plus récent publié par la Banque centrale européenne
• Le montant total à payer dans la devise utilisée par le bénéficiaire et dans la devise du compte du PSP du payeur

Garnitures de sécurité :

• La possibilité de payer dans la devise utilisée par le bénéficiaire et de faire effectuer ultérieurement la conversion de devise par le PSP des payeurs.
• Le droit du bénéficiaire de refuser le service de conversion de devises et de payer dans la devise utilisée par le bénéficiaire à la place.

Partagé à l'origine ici

Droit du E-Commerce en Europe & conversions de devises :

En raison de la conversion des devises, plusieurs risques surviennent compte tenu de l'échange constant d'argent. Conformément à la nouvelle réglementation, le taux de change utilisé sera toujours le taux au moment de la transaction. Trois types de devises associées à une boutique en ligne sont :

• Devise du magasin - C'est la devise qui apparaît dans les rapports et qui appartient à l'administrateur utilisé pour fixer les prix de vos produits et de ses variantes.
• Devise locale - C'est la devise que le client utilise pour payer sa commande à la caisse et qui est également visible dans votre magasin.
• Devise de paiement - C'est la devise utilisée pour déposer de l'argent sur le compte bancaire d'un utilisateur qui peut être prise en charge par l'administrateur ou directement par les propriétaires de magasins.

Des risques:

• En cas de retards de traitement ou de remboursements, il est possible que vous perdiez ou gagniez de l'argent en raison de la fluctuation continue des taux de change.
• Si votre magasin traite dans plusieurs devises, les prix sont automatiquement convertis et mis à jour avec les taux du marché (il y a également des frais de conversion mineurs).

E-Commerce, TVA & Brexit, et leur harmonie de travail

La Grande-Bretagne se compose de l'Angleterre, du Pays de Galles et de l'Écosse, et a de nouvelles règles de TVA pour les marchandises importées du Royaume-Uni depuis le jour de l'an 2021. L'Irlande du Nord a désormais un double statut après le Brexit, elle fera donc partie du territoire douanier du Royaume-Uni, mais fait également partie du marché unique de l'UE aux fins de la TVA.

Désormais, les e-commerçants doivent s'occuper de certains aspects techniques pour s'assurer de ne pas traîner les pieds en eaux troubles :

• Tout d'abord, demandez le numéro de TVA britannique dans chaque pays dans lequel vous vendez puisque la règle du guichet unique est entrée en vigueur le 1er juillet 2021.
• Percevez la TVA sur les commandes expédiées au Royaume-Uni qui sont inférieures à 135 livres,
• Dans le cas d'une place de marché en ligne, la responsabilité incombe à la plate-forme.
• Produisez et versez la TVA au HMRC chaque trimestre.
• Demander un numéro d'enregistrement et d'identification économique (EORI) ; il est utilisé sur les déclarations en douane, ce qui aide à identifier les exportateurs dans les procédures et documents douaniers.
• Réévaluez et mettez à jour vos paramètres fiscaux ; si vous utilisez Avalara, cela se fera automatiquement.
• Les règles varient pour le B2B et le B2C, et les codes marchandises sont essentiels car si vous obtenez les mauvais codes, vous risquez de payer les mauvais tarifs ou de voir vos marchandises bloquées par les douanes.

Besoin d'un représentant fiscal local :

Bien que cela ne soit pas encore devenu officiel, on pense que 19 des 27 pays d'Europe sont tenus d'avoir un représentant local de la TVA conformément au nouveau règlement TVA et UE sur le commerce électronique. La Norvège, l'Australie, le Japon ou la Corée du Sud suivent déjà cet arrangement où le représentant fiscal local est généralement un avocat ou un comptable.

Le défaut de désignation d'un Représentant Fiscal peut entraîner des amendes. Sachant que ces représentants seront tenus responsables si votre plateforme n'est pas fiscalement conforme, vous devrez peut-être leur verser une belle somme d'argent ou une garantie bancaire.

Passerelles de paiement et paiements en ligne

Une authentification client forte (SCA) est rendue obligatoire, ce qui contribue à réduire les cas de fraude client en Grande-Bretagne et en Europe. Selon Silicon Canals, une société de technologie financière, les entreprises basées sur le commerce électronique devraient atteindre 1 billion de dollars d'ici 2022 en Europe, et plus de 1 milliard de dollars est la fraude attendue sur les cartes européennes selon la BCE chaque année.

SCA est requis pour la plupart des paiements par carte. Le non-respect de la SCA pourrait entraîner l'échec des transactions de paiement et d'autres conséquences coûteuses. Conformément à la nouvelle réglementation, l'authentification à deux facteurs est obligatoire pour que les clients fournissent 2 informations clés sur 3 pour prouver leur identité, qui sont les suivantes :

• quelque chose qu'ils possèdent (un mobile, un jeton ou une carte à puce) ,
• quelque chose qu'ils connaissent (code PIN ou mot de passe) ,
• quelque chose qu'ils sont (empreintes digitales ou modèle de voix) .

L'avènement des fournisseurs tiers a encore accru la concurrence et la complexité. Depuis 2018, il existe deux types de fournisseurs de services bancaires ouverts, tous deux servant des objectifs différents.

• Fournisseurs de services d'initiation de paiement (PISP)
• Fournisseurs de services d'information sur les comptes (AISP)

Les PISP sont autorisés à initier des paiements entrants et sortants du compte d'un utilisateur tandis que les AISP ont le pouvoir de récupérer les informations de compte fournies par les banques et les institutions.

Ces deux gèrent les consentements des clients requis pour accéder aux données de cuisson ouvertes. En termes simples, ils expliquent aux clients ce qui sera accessible, pendant combien de temps et avec qui il sera partagé.

Les choses peuvent être accablantes pour les entreprises qui n'ont jamais été exposées à un tel niveau de données auparavant, cependant, comprendre les nuances, et les lois concernées devraient être mises en œuvre par les organisations pour protéger leurs intérêts et ceux de leurs actionnaires.

Avantages pour les marchands en ligne :

• Réduction des taux de fraude et confiance accrue dans les clients
• Authentification à deux facteurs pour rendre le processus plus fluide.
• Plus d'options pour les consommateurs de commerce électronique

Que peuvent faire les entreprises Internet :

Affichez les moyens de paiement appropriés en fonction du contexte et assurez-vous que votre plateforme dispose d'un standard 3D secure à 2 facteurs.

Outre les choses à faire, il existe également quelques exemptions aux réglementations sur l'authentification forte du client qui ont été expliquées par Stripe , qui effectue une analyse en temps réel pour déterminer s'il faut appliquer SCA à une transaction ou non.

Transactions à faible risque :

Les transactions à faible risque ne sont considérées comme valides pour SCA que si le prestataire de paiement le juge nécessaire, après l'avoir analysé en temps réel. Cependant, certaines exemptions sont possibles si les paiements par carte des taux de fraude globaux du fournisseur de paiement ou de la banque ne dépassent pas les seuils suivants :

• 0,13 % pour exonérer les transactions inférieures à 100 €
• 0,06 % pour exonérer les transactions inférieures à 250 €
• 0,01 % pour exonérer les transactions inférieures à 500 €

Paiements inférieurs à 30 euros :

Les transactions inférieures à 30 euros sont considérées comme de faible valeur et peuvent donc être exemptées de SCA , cependant, si ce scénario se répète plus de 5 fois et que le montant dépasse 100 euros, les banques devront demander une authentification. De plus, les banques sont tenues de contrôler le nombre de transactions.

Souscription forfaitaire :

Dans ce cas, le premier paiement du client nécessite SCA, et le paiement suivant peut cependant en être exempté.

Bénéficiaires de confiance :

Lors de l'authentification pour un paiement , les clients ont la possibilité d'ajouter une entreprise à la liste d'autorisation qui sera ensuite ajoutée à la liste des « bénéficiaires de confiance » de la banque. Cela garantira que moins d'échecs d'authentification se produiront.

Vente par téléphone :

Les détails de la carte du client recueillis par téléphone sont exemptés de SCA et ne nécessitent pas d'authentification.

Paiement corporatif :

Les paiements effectués à l'aide de numéros de cartes virtuelles couramment utilisés par le secteur du voyage sont également en dehors de SCA.

Paiements initiés par le marchand :

Lorsqu'une carte est enregistrée dans le système du commerçant et que le paiement est effectué à l'aide des cartes enregistrées, elle est dispensée de l'authentification puisque techniquement, ces paiements sont hors du champ d'application des SCA.

Directive sur la vente à distance

La vente à distance consiste, en termes simples, à vendre via n'importe quelle forme de support, y compris numérique, en ligne, par courrier, entre autres. Si votre entreprise Internet enregistrée à la TVA vend, par exemple, en Grande-Bretagne, mais que vous n'y êtes pas enregistrée, mais dans un autre pays d'Europe, vous vendez à distance. Ce n'est pas facile à comprendre mais très important pour les entreprises qui ont leurs clients et clients potentiels en Europe.

Avant de vendre à un client à distance, veuillez vous assurer que les informations suivantes sont incluses :

• Nom, coordonnées et adresse de votre entreprise
• Une description détaillée de votre entreprise
• Prix ​​total toutes taxes comprises et instructions sur la façon de les payer.
• Paiement, calendrier et coût de livraison
• Période de facturation et durée minimale du contrat
• Conditions des cautions, garanties financières et fin des contrats
• Critères d'annulation de la commande accompagnés d'un formulaire, des frais d'annulation éventuels et d'un délai jusqu'à ce qu'ils aient le droit d'annuler

Toutes ces informations doivent être fournies dans un format facile à comprendre.

En vertu de cette directive, les entreprises de commerce électronique doivent informer leurs clients qu'ils peuvent annuler leur commande dans les 14 jours suivant sa livraison, et aucune raison d'annulation n'est requise.

Ces règles de commerce électronique dans l'UE s'appliquent aux entreprises qui vendent des services numériques en ligne et doivent être suivies avec diligence.

Industrie des cartes de paiement - Conformité à la norme de sécurité des données (PCI DSS)

Si votre entreprise de commerce électronique accepte les paiements par carte de crédit, vous devez connaître le fonctionnement de la norme PCI DSS et, plus important encore, son impact sur votre entreprise.

Bien que sous de nombreux aspects, les champs d'application PCI et GDPR se chevauchent, la différence réside cependant dans leur objectif. GDPR agit comme un moyen pour les utilisateurs de comprendre leurs droits et devoirs lorsqu'une entreprise Internet collecte leurs données, mais il n'assure pas la sécurité.

PCI, d'autre part, traite directement des aspects de sécurité et de protection des données des titulaires de carte. La perte de données, les violations, le vol d'identité, entre autres, relèvent du PCI. Même si dans cette norme, les clients n'ont pas beaucoup de contrôle sur leurs données, PCI se concentre sur la sécurité des serveurs, la limitation de l'accès et la concentration sur l'atténuation et la gestion des risques.

Directive européenne DEEE

Cette directive est particulièrement importante pour les entreprises qui vendent et achètent des produits électroniques. La directive sur les déchets d'équipements électriques et électroniques (ou DEEE) fixe des objectifs de collecte, de recyclage et de valorisation pour tous les types de produits électroniques.

Conformément au DEEE, tous les équipements électriques mis sur le marché doivent être enregistrés dans le pays respectif qui reçoit en outre des instructions pour maintenir un répertoire de ceux-ci.

Tous les États membres sont tenus de tenir des rapports annuels sur tous les équipements électriques mis sur le marché, et tous les équipements enregistrés doivent être étiquetés en conséquence.

Cela devient difficile pour les vendeurs qui souhaitent vendre leurs produits dans plusieurs pays de l'UE puisqu'ils devront être enregistrés individuellement dans chaque pays pour s'assurer qu'ils sont conformes aux obligations des fabricants locaux. Si les organisations ne respectent pas cette directive, de lourdes amendes peuvent être imposées.

Même si cette directive a encore du travail à faire pour les fabricants, les entreprises Internet doivent encore s'assurer que leurs produits sont conformes aux réglementations en vigueur.

Un jargon courant utilisé en Europe dont vous devez être conscient.

Définissons quelques-uns des termes clés que vous verrez lors de vos recherches sur le RGPD.

• Personne concernée : la personne dont les données privées sont stockées, collectées, partagées ou supprimées.
• Données privées et personnelles : Toute information qui identifie directement ou indirectement une personne vivante. Par exemple, les informations de compte, les informations de santé, l'âge, le sexe, l'adresse e-mail, la date de naissance, l'adresse, l'adresse IP, etc.
• Contrôleur de données : C'est une personne ou des personnes qui déterminent comment les données personnelles sont traitées.
• Processeur de données : il s'agit d'une personne ou de personnes qui traitent ces données pour le compte du responsable du traitement.
• Obligations des sous-traitants – Les sous-traitants doivent suivre les instructions du responsable du traitement et doivent être en mesure de démontrer la conformité au RGPD
• Délégué à la protection des données – Pour superviser le RGPD, la conformité générale à la gestion de la confidentialité et les pratiques de protection des données, les entreprises peuvent avoir besoin de nommer un membre du personnel ou un fournisseur de services pour superviser le RGPD.
• Évaluations de l'impact sur la vie privée (PIA) - Des évaluations de l'impact sur la vie privée doivent être menées pour le traitement de données à grande échelle afin de minimiser les risques et d'identifier des mesures pour les atténuer.
• Notification de violation - Les parties prenantes doivent être informées par le contrôleur dans les 72 heures suivant la prise de connaissance d'une violation.

La source d'information

Autres directives et règlements à considérer :

Directive européenne sur le droit d'auteur (pas une loi mais un cadre pour aider les États membres à rédiger et rédiger leurs lois)

• Envoyez un avis de paiement aux clients une fois le paiement effectué.
• Assurez-vous que votre entreprise est enregistrée auprès de la Chambre de commerce.

Donnez à vos utilisateurs Aucune case pré-cochée

• Avis de paiement obligatoire
• Conversion de devises
• Gestion de l'inventaire

Conclusion

Compte tenu de l'examen auquel une entreprise peut être confrontée si elle ne respecte pas les réglementations légales en matière de commerce électronique dans l'Espace économique européen (EEE), il est conseillé de comprendre les lois les concernant. En outre, il est important que les nouveaux propriétaires d'entreprise s'assurent qu'ils ne négligent pas leurs droits et devoirs fondamentaux en tant que prestataires de services et citoyens du monde. En outre, l'impact pourrait être plus grave sur les PME ou les startups que sur les grandes entreprises.