cloud mon club elec

Conformité RGPD pour les marketplaces en ligne : guide complet pour protéger les données personnelles

par

Quentin Boguere
dans

Dans l’écosystème numérique actuel, la conformité au Règlement Général sur la Protection des Données (RGPD) représente un défi majeur pour les plateformes de marketplace en ligne. Loin d’être une simple formalité administrative, cette conformité constitue un impératif stratégique qui conditionne la confiance des utilisateurs et la pérennité même de votre activité. Ce guide approfondi vous permettra de naviguer à travers les exigences complexes du RGPD et d’implémenter des solutions efficaces pour protéger les données personnelles sur votre marketplace.

Les enjeux sont considérables : de nombreuses plateformes comme LeBonCoin, Amazon ou Cdiscount ont déjà fait l’objet de sanctions économiques importantes pour non-respect de ces règles. Comprendre et appliquer correctement le cadre réglementaire du RGPD n’est donc pas une option, mais une nécessité absolue pour toute marketplace opérant en Europe.

Définition des rôles et responsabilités dans l’écosystème d’une marketplace

La première étape cruciale pour assurer la conformité RGPD de votre marketplace consiste à définir clairement qui fait quoi en matière de traitement des données personnelles. Cette clarification n’est pas qu’une formalité juridique : elle détermine les obligations spécifiques de chaque acteur.

Comprendre les différents statuts selon le RGPD

Dans l’univers complexe d’une marketplace, plusieurs acteurs interagissent avec les données personnelles, chacun avec des responsabilités distinctes :

  • Responsable de traitement : généralement la marketplace elle-même, qui détermine les finalités et les moyens du traitement des données (inscription, gestion des comptes, transactions, sécurité).
  • Sous-traitant : souvent les vendeurs, qui traitent les données pour le compte de la marketplace (exécution des commandes, livraison).
  • Co-responsables : la marketplace et les vendeurs, lorsqu’ils déterminent conjointement les finalités et moyens du traitement (marketing personnalisé, recommandations produits).

Cette distinction est fondamentale car elle conditionne les obligations légales de chaque partie. Par exemple, en tant que responsable de traitement, la marketplace doit s’assurer que tous ses sous-traitants offrent des garanties suffisantes quant à la protection des données.

Formaliser les relations par des accords contractuels

Pour éviter toute ambiguïté et assurer une protection optimale des données, il est essentiel de formaliser ces relations par des accords contractuels clairs, notamment à travers un guide complet du registre des traitements RGPD. Ces accords doivent préciser :

  • Les rôles et responsabilités de chaque partie
  • Les obligations en matière de sécurité des données
  • Les procédures de notification en cas de violation de données
  • Les modalités d’exercice des droits des personnes concernées
  • Les conditions de transfert de données vers des pays tiers

Le Data Processing Agreement (DPA), conforme à l’article 28 du RGPD, constitue l’outil contractuel privilégié pour encadrer ces relations. Ce document juridique formalise les engagements des parties et sécurise l’ensemble de la chaîne de traitement des données.

Bases légales valides pour le traitement des données sur une marketplace

Chaque traitement de données personnelles sur votre marketplace doit reposer sur l’une des six bases légales prévues par l’article 6 du RGPD. Le choix de la base légale appropriée est crucial car il détermine les droits des personnes concernées et les obligations qui vous incombent.

Identifier la base légale adaptée à chaque traitement

Votre marketplace effectue de nombreux traitements de données, chacun devant s’appuyer sur une base légale spécifique :

  • Consentement (Article 6(1)(a)) : indispensable pour le marketing direct, la personnalisation des services ou l’utilisation de cookies non essentiels. Le consentement doit être libre, spécifique, éclairé et univoque.
  • Exécution du contrat (Article 6(1)(b)) : applicable pour les traitements nécessaires à la fourniture du service, comme la gestion des commandes ou le traitement des paiements.
  • Obligation légale (Article 6(1)(c)) : concerne les traitements imposés par la loi, comme la conservation des factures pour des raisons fiscales.
  • Intérêt légitime (Article 6(1)(f)) : peut justifier certains traitements comme la prévention de la fraude ou la sécurité de la plateforme, sous réserve d’une évaluation rigoureuse des intérêts en présence.

L’intérêt légitime : une base légale à manier avec précaution

L’intérêt légitime est souvent invoqué par les marketplaces, mais son utilisation requiert une attention particulière. Pour être valable, cette base légale exige :

  • Une identification claire de l’intérêt légitime poursuivi
  • Une évaluation documentée (balancing test) démontrant que cet intérêt n’est pas supplanté par les intérêts ou droits fondamentaux des personnes concernées
  • La mise en place de garanties appropriées pour minimiser l’impact sur la vie privée
  • Une information transparente aux utilisateurs et la possibilité de s’opposer au traitement

Par exemple, la surveillance des transactions pour prévenir la fraude peut relever de l’intérêt légitime, mais doit être proportionnée et transparente.

Gestion efficace du consentement des utilisateurs

Le consentement constitue l’une des bases légales les plus utilisées sur les marketplaces, notamment pour les activités de marketing et de personnalisation. Sa gestion efficace est essentielle pour garantir la conformité au RGPD et maintenir la confiance des utilisateurs.

Les critères d’un consentement valide selon le RGPD

Pour être conforme, le consentement doit répondre à plusieurs critères stricts :

  • Libre : obtenu sans pression ni conditionnement à l’accès au service
  • Spécifique : demandé pour chaque finalité distincte de traitement
  • Éclairé : précédé d’une information claire sur les traitements envisagés
  • Univoque : manifesté par un acte positif clair (les cases pré-cochées sont interdites)
  • Démontrable : le responsable doit pouvoir prouver que le consentement a été donné
  • Révocable : aussi facile à retirer qu’à donner

Ces exigences imposent la mise en place de mécanismes techniques et organisationnels adaptés pour recueillir, enregistrer et gérer les consentements.

Implémentation d’un système de gestion des consentements

Pour gérer efficacement les consentements sur votre marketplace, plusieurs bonnes pratiques s’imposent :

  • Mettre en place un guide ultime sur la gestion des consentements en ligne avec des cases à cocher non pré-cochées pour chaque finalité
  • Développer un centre de préférences permettant aux utilisateurs de gérer facilement leurs consentements
  • Implémenter des pistes d’audit (audit trails) pour tracer les consentements (date, heure, méthode de recueil)
  • Distinguer clairement les différents types de consentement (cookies, marketing, traitements spécifiques)
  • Prévoir des mécanismes simples de retrait du consentement (lien de désinscription dans les emails, boutons explicites dans l’interface)

Un système de gestion des consentements bien conçu constitue non seulement un gage de conformité, mais aussi un atout pour la transparence et la confiance des utilisateurs.

Respect des droits des personnes concernées

Le RGPD renforce considérablement les droits des personnes concernées par le traitement de leurs données personnelles. Pour votre marketplace, faciliter l’exercice de ces droits n’est pas seulement une obligation légale, mais aussi un facteur de différenciation et de confiance.

Panorama des droits garantis par le RGPD

Les personnes dont vous traitez les données disposent de nombreux droits que votre marketplace doit respecter :

  • Droit d’accès : obtenir une copie des données personnelles traitées
  • Droit de rectification : corriger des données inexactes ou incomplètes
  • Droit à l’effacement : demander la suppression des données dans certaines conditions
  • Droit à la limitation du traitement : restreindre temporairement l’utilisation des données
  • Droit à la portabilité : récupérer ses données dans un format structuré
  • Droit d’opposition : s’opposer au traitement pour des raisons tenant à sa situation particulière
  • Droit de ne pas faire l’objet d’une décision automatisée : contester une décision prise uniquement sur la base d’un traitement automatisé

Mise en place de procédures efficaces

Pour garantir l’exercice effectif de ces droits, votre marketplace doit mettre en place des procédures opérationnelles adaptées :

  • Créer des canaux dédiés et facilement accessibles pour recevoir les demandes (formulaires en ligne, adresse email spécifique)
  • Établir des processus internes pour traiter les demandes dans le délai légal d’un mois
  • Implémenter des mécanismes de vérification d’identité pour éviter les usurpations
  • Former le personnel en contact avec les utilisateurs à la gestion de ces demandes
  • Documenter systématiquement les demandes et les réponses apportées
  • Prévoir des procédures spécifiques pour les cas complexes (demandes excessives, impact sur des tiers)

Ces procédures doivent être régulièrement testées et mises à jour pour garantir leur efficacité face à l’évolution des pratiques et des technologies.

Sécurisation des données personnelles sur votre marketplace

La sécurité des données constitue l’une des pierres angulaires du RGPD. L’article 32 impose la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Pour une marketplace, qui traite souvent des données sensibles comme les informations de paiement, cet enjeu est particulièrement crucial.

Mesures techniques essentielles

La protection technique des données repose sur plusieurs piliers fondamentaux :

  • Chiffrement : utiliser des algorithmes robustes comme AES-256 pour les données au repos et TLS 1.3 pour les données en transit
  • Pseudonymisation : remplacer les identifiants directs par des identifiants indirects pour limiter les risques en cas de fuite
  • Contrôle d’accès : implémenter un modèle RBAC (Role-Based Access Control) limitant strictement l’accès aux données selon le principe du moindre privilège
  • Détection des intrusions : déployer des systèmes IDS/IPS et des solutions SIEM pour identifier rapidement les tentatives d’accès non autorisées
  • Protection contre la fuite de données : mettre en place des solutions DLP (Data Loss Prevention) pour prévenir les exfiltrations de données sensibles
  • Sécurité applicative : protéger les interfaces web avec un WAF (Web Application Firewall) contre les attaques courantes (OWASP Top 10)

Mesures organisationnelles complémentaires

La sécurité technique doit être complétée par des mesures organisationnelles solides :

  • Politiques de sécurité : définir et documenter des politiques claires (gestion des mots de passe, sauvegarde, réponse aux incidents)
  • Sensibilisation : former régulièrement le personnel aux risques et bonnes pratiques de sécurité
  • Tests de sécurité : réaliser des audits et tests d’intrusion périodiques pour identifier les vulnérabilités
  • Gestion des incidents : établir un plan de réponse aux incidents de sécurité, incluant la notification des violations de données
  • Revue de code : mettre en place des processus de revue de code et d’analyse de vulnérabilités avant déploiement

La combinaison de ces mesures techniques et organisationnelles permet de créer un environnement sécurisé pour les données personnelles de vos utilisateurs, réduisant significativement les risques de violation.

Élaboration d’une politique de confidentialité transparente et complète

La politique de confidentialité constitue la pierre angulaire de votre stratégie de conformité au RGPD. Ce document, obligatoire en vertu des articles 13 et 14 du règlement, doit fournir aux utilisateurs une information claire et complète sur le traitement de leurs données personnelles.

Contenu obligatoire de la politique de confidentialité

Pour être conforme, votre politique de confidentialité doit impérativement couvrir les éléments suivants :

  • Identité du responsable de traitement : nom, coordonnées de votre marketplace et de votre DPO le cas échéant
  • Finalités du traitement : description précise de chaque utilisation des données (gestion des comptes, traitement des commandes, marketing, etc.)
  • Bases légales : justification juridique pour chaque traitement (consentement, contrat, intérêt légitime, etc.)
  • Catégories de données collectées : liste exhaustive des types de données personnelles traitées
  • Destinataires des données : information sur les tiers qui accèdent aux données (vendeurs, prestataires logistiques, etc.)
  • Durées de conservation : période pendant laquelle les données sont conservées, avec justification
  • Transferts hors UE : information sur les transferts internationaux et les garanties mises en place
  • Droits des personnes : explication des droits et de la procédure pour les exercer
  • Utilisation de décisions automatisées : information sur les processus de décision automatisés et leur logique
  • Mesures de sécurité : description des principales mesures de protection mises en œuvre

Bonnes pratiques pour une politique efficace

Au-delà du contenu obligatoire, plusieurs bonnes pratiques permettent d’optimiser l’efficacité de votre politique de confidentialité :

  • Langage clair et accessible : éviter le jargon juridique et technique, privilégier des explications simples
  • Structure hiérarchisée : organiser l’information en sections logiques avec des titres explicites
  • Format adaptatif : proposer différents formats (texte complet, résumé, infographie) pour s’adapter aux préférences des utilisateurs
  • Mise à jour régulière : réviser la politique en fonction des évolutions de vos pratiques et signaler clairement les modifications
  • Accessibilité : rendre la politique facilement accessible depuis toutes les pages du site et lors des moments clés (inscription, commande)
  • Adaptabilité aux supports : optimiser l’affichage pour tous les appareils (responsive design)

Une politique de confidentialité bien conçue renforce la transparence de votre marketplace et contribue à instaurer une relation de confiance avec vos utilisateurs.

Encadrement contractuel des relations avec les vendeurs

Sur une marketplace, les vendeurs jouent un rôle crucial dans le traitement des données personnelles des acheteurs. Il est donc essentiel d’encadrer contractuellement ces relations pour garantir la conformité de l’ensemble de l’écosystème au RGPD.

Clauses RGPD indispensables dans vos contrats

Vos accords avec les vendeurs doivent impérativement inclure des clauses spécifiques relatives à la protection des données :

  • Définition des rôles : clarification du statut de chaque partie (responsable de traitement, sous-traitant, co-responsable)
  • Obligations du vendeur : engagement à traiter les données conformément aux instructions de la marketplace et au RGPD
  • Mesures de sécurité : description des mesures techniques et organisationnelles que le vendeur doit mettre en œuvre
  • Confidentialité : engagement de confidentialité des personnes autorisées à traiter les données
  • Sous-traitance ultérieure : conditions d’autorisation et obligations en cas de recours à d’autres sous-traitants
  • Assistance : modalités d’assistance du vendeur pour permettre à la marketplace de respecter ses obligations
  • Notification des violations : procédure et délai (idéalement 24h) pour signaler les violations de données
  • Droits des personnes : collaboration pour répondre aux demandes d’exercice des droits
  • Sort des données : obligations concernant la suppression ou la restitution des données en fin de contrat
  • Audit : droit pour la marketplace de vérifier la conformité du vendeur

Mise en œuvre d’un programme de conformité des vendeurs

Au-delà des clauses contractuelles, il est recommandé de mettre en place un véritable programme de conformité des vendeurs :

  • Due diligence initiale : évaluation de la conformité RGPD avant l’intégration d’un nouveau vendeur
  • Formation : sensibilisation des vendeurs aux exigences du RGPD et aux politiques de la marketplace
  • Documentation : fourniture de guides et modèles pour faciliter la mise en conformité
  • Audits périodiques : vérification régulière du respect des engagements
  • Accompagnement : support technique et juridique pour les vendeurs rencontrant des difficultés

Ce programme permet non seulement de réduire les risques de non-conformité, mais aussi de créer un écosystème vertueux où la protection des données devient un standard partagé par tous les acteurs.

Réalisation d’analyses d’impact sur la protection des données (AIPD)

L’Analyse d’Impact relative à la Protection des Données (AIPD) constitue un outil essentiel pour identifier et minimiser les risques liés au traitement des données personnelles. Pour certains traitements à risque élevé, cette analyse est même obligatoire en vertu de l’article 35 du RGPD.

Identification des traitements nécessitant une AIPD

Sur une marketplace, plusieurs types de traitements peuvent nécessiter la réalisation d’une AIPD :

  • Profilage et décisions automatisées : systèmes de recommandation produits, scoring de crédit
  • Surveillance systématique : suivi du comportement des utilisateurs, géolocalisation
  • Traitement à grande échelle : collecte massive de données sur les habitudes d’achat
  • Données sensibles : traitement d’informations de santé pour des produits spécifiques
  • Croisement de données : combinaison de données provenant de différentes sources
  • Nouvelles technologies : utilisation d’IA, de reconnaissance faciale ou d’autres technologies innovantes

En cas de doute, il est recommandé de consulter votre autorité de protection des données ou votre DPO.

Méthodologie pour réaliser une AIPD efficace

La réalisation d’une AIPD suit une méthodologie structurée en plusieurs étapes :

  1. Description systématique du traitement : finalités, données traitées, flux de données, acteurs impliqués
  2. Évaluation de la nécessité et de la proportionnalité : justification du traitement au regard des finalités poursuivies
  3. Identification des risques : menaces potentielles pour les droits et libertés des personnes
  4. Évaluation des risques : analyse de la probabilité et de la gravité des impacts potentiels
  5. Identification des mesures : définition des contrôles pour réduire les risques identifiés
  6. Documentation : formalisation de l’analyse et des conclusions
  7. Mise en œuvre : application des mesures identifiées
  8. Révision périodique : mise à jour de l’AIPD en fonction des évolutions du traitement

Pour faciliter ce processus, de nombreuses autorités de protection des données proposent des modèles et outils méthodologiques, comme le logiciel PIA de la CNIL.

Une AIPD bien réalisée permet non seulement de se conformer au RGPD, mais aussi d’améliorer la conception même de vos traitements selon les principes de privacy by design et privacy by default.

Gestion des transferts internationaux de données

Les marketplaces opèrent souvent à l’échelle internationale, ce qui implique des transferts de données personnelles vers des pays situés en dehors de l’Union européenne. Ces transferts sont strictement encadrés par le Chapitre V du RGPD et nécessitent une attention particulière suite à l’invalidation du Privacy Shield par l’arrêt Schrems II.

Cartographie et évaluation des transferts

La première étape consiste à identifier précisément tous les transferts internationaux de données :

  • Vendeurs situés hors UE
  • Prestataires techniques (hébergement, analyse, support) localisés à l’étranger
  • Filiales ou sociétés mères du groupe implantées dans des pays tiers
  • Outils SaaS utilisés dont les serveurs sont hors UE

Pour chaque transfert identifié, il convient d’évaluer :

  • Les catégories de données concernées
  • Les pays de destination
  • Les acteurs impliqués
  • Le volume et la fréquence des transferts
  • Les risques spécifiques liés à la législation locale du pays destinataire

Mise en place de garanties appropriées

Une fois les transferts cartographiés, il faut mettre en place des mécanismes de transfert conformes au RGPD :

  • Décisions d’adéquation : vérifier si le pays destinataire bénéficie d’une décision d’adéquation de la Commission européenne (comme le Japon, la Suisse ou le Royaume-Uni)
  • Clauses Contractuelles Types (CCT) : implémenter les nouvelles CCT adoptées par la Commission européenne en juin 2021
  • Règles d’entreprise contraignantes (BCR) : pour les transferts au sein d’un même groupe multinational
  • Codes de conduite ou certifications : adhérer à des mécanismes sectoriels approuvés

Suite à l’arrêt Schrems II, ces mécanismes doivent être complétés par une évaluation d’impact du transfert (Transfer Impact Assessment ou TIA) pour vérifier que la législation du pays destinataire n’entrave pas l’efficacité des garanties mises en place.

En fonction des résultats de cette évaluation, des mesures supplémentaires techniques (chiffrement de bout en bout, pseudonymisation), contractuelles (engagements spécifiques) ou organisationnelles (politiques internes) peuvent être nécessaires pour assurer un niveau de protection adéquat.

Gestion des violations de données personnelles

Les violations de données personnelles représentent un risque majeur pour les marketplaces, tant en termes d’impact sur les personnes concernées que de conséquences réputationnelles et juridiques. Le RGPD impose des obligations strictes en matière de détection, de documentation et de notification de ces incidents.

Préparation et détection des violations

Une gestion efficace des violations de données commence par une préparation adéquate :

  • Définition : clarifier ce qui constitue une violation de données (accès non autorisé, perte, altération, divulgation)
  • Détection : mettre en place des outils de surveillance (SIEM, DLP, IDS) pour identifier rapidement les incidents
  • Formation : sensibiliser les équipes à la reconnaissance des signes d’une violation
  • Procédure : établir un processus clair de remontée et de qualification des incidents
  • Équipe de réponse : constituer une équipe pluridisciplinaire (IT, juridique, communication) prête à intervenir

Gestion et notification des violations

En cas de violation avérée, un guide pour gérer une violation de données RGPD est essentiel pour suivre les étapes suivantes :

  1. Qualification : évaluer la nature, la portée et les conséquences potentielles de la violation
  2. Confinement : prendre des mesures immédiates pour limiter l’impact de la violation
  3. Documentation : consigner tous les éléments relatifs à la violation dans un registre dédié
  4. Notification à l’autorité : informer l’autorité de protection des données dans les 72 heures si la violation présente un risque pour les droits et libertés des personnes
  5. Communication aux personnes concernées : informer les personnes affectées si la violation présente un risque élevé pour leurs droits et libertés
  6. Remédiation : mettre en œuvre des mesures correctives pour résoudre la faille et prévenir de futures violations
  7. Retour d’expérience : analyser l’incident pour améliorer les procédures de sécurité

La notification à l’autorité doit contenir des informations précises sur la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou envisagées pour remédier à la violation et en atténuer les éventuelles conséquences négatives.

Une gestion efficace des violations de données démontre votre engagement en faveur de la protection des données et peut considérablement limiter les conséquences négatives d’un incident.

Risques de non-conformité et sanctions

Le non-respect du RGPD expose les marketplaces à des risques significatifs, tant sur le plan juridique que réputationnel. Comprendre ces risques est essentiel pour prioriser vos actions de mise en conformité.

Panorama des sanctions possibles

Le RGPD prévoit un régime de sanctions dissuasif en cas de non-conformité :

  • Amendes administratives : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Ces amendes sont prononcées par les autorités de protection des données et tiennent compte de divers facteurs comme la nature et la gravité de l’infraction, son caractère intentionnel, les mesures prises pour atténuer les dommages, etc.
  • Injonctions et mesures correctrices : les autorités peuvent ordonner la mise en conformité, la limitation temporaire ou définitive d’un traitement, ou même son interdiction.
  • Actions en réparation : les personnes ayant subi un préjudice matériel ou moral du fait d’une violation du RGPD peuvent obtenir réparation auprès du responsable du traitement ou du sous-traitant.
  • Actions collectives : possibilité pour des associations de protection des données d’introduire des recours collectifs au nom des personnes concernées.

À ces sanctions officielles s’ajoutent des conséquences indirectes tout aussi préjudiciables :

  • Atteinte à la réputation : perte de confiance des utilisateurs et partenaires
  • Impact commercial : baisse de fréquentation et de conversion
  • Coûts opérationnels : ressources mobilisées pour gérer la crise et se mettre en conformité

Exemples concrets de sanctions

Plusieurs marketplaces et acteurs du e-commerce ont déjà fait l’objet de sanctions importantes :

  • Amazon : amende de 746 millions d’euros par la CNPD luxembourgeoise en 2021 pour des pratiques publicitaires non conformes
  • H&M : amende de 35 millions d’euros par l’autorité allemande en 2020 pour surveillance excessive des employés
  • Cdiscount : mise en demeure par la CNIL en 2018 pour des failles de sécurité
  • Booking.com : amende de 475 000 euros par l’autorité néerlandaise en 2021 pour notification tardive d’une violation de données

Ces exemples illustrent la détermination des autorités à faire respecter le RGPD et l’importance d’une approche proactive de la conformité.

Conclusion : transformer la conformité RGPD en avantage concurrentiel

La conformité au RGPD représente certes un défi complexe pour les marketplaces, mais elle constitue également une opportunité stratégique pour se différencier dans un marché hautement concurrentiel.

Au-delà de l’évitement des sanctions, une approche proactive de la protection des données apporte de nombreux bénéfices :

  • Confiance renforcée : les utilisateurs privilégient les plateformes qui respectent leur vie privée
  • Qualité des données améliorée : les principes de minimisation et d’exactitude contribuent à une meilleure gestion des données
  • Processus optimisés : la cartographie des traitements permet d’identifier et d’éliminer les redondances
  • Sécurité renforcée : les mesures de protection des données réduisent également les risques cyber globaux
  • Innovation responsable : l’intégration de la protection des données dès la conception (privacy by design) favorise une innovation durable

Pour transformer la conformité RGPD en avantage concurrentiel, adoptez une approche stratégique :

  1. Intégrez la protection des données dans votre gouvernance au plus haut niveau
  2. Développez une culture de la confidentialité dans toute l’organisation
  3. Communiquez de manière transparente sur vos pratiques et engagements
  4. Impliquez les utilisateurs dans la gestion de leurs données
  5. Anticipez les évolutions réglementaires (ePrivacy, Digital Services Act, etc.)

En définitive, la conformité au RGPD n’est pas simplement une obligation légale, mais un impératif stratégique qui conditionne la pérennité et le développement de votre marketplace dans l’économie numérique de demain.

Les plateformes qui sauront faire de la protection des données un élément central de leur proposition de valeur bénéficieront d’un avantage concurrentiel durable, fondé sur la confiance et l’éthique.