Depuis le premier jour, Shopify s’est donné pour mission d’améliorer le commerce pour tous. Nous pensons que la création d’une entreprise doit être facile, que les outils de gestion de cette entreprise doivent être simples et que tous ceux qui contribuent à l’écosystème du commerce doivent toujours donner la priorité aux clients.
Avec l’augmentation des violations de données et d’autres types de fraude, nous sommes également parfaitement conscients que la sécurité est essentielle à la création et à l’exploitation d’une entreprise de commerce électronique pour les commerçants et les développeurs. Nous nous engageons à créer la plate-forme de commerce la plus sûre au monde et, dans le cadre de cet effort, nous mettons en œuvre des exigences mises à jour pour les applications qui utilisent les données personnelles des clients. Grâce à ces mises à jour, les développeurs auront un accès plus facile aux données dont ils ont besoin, rapidement et à grande échelle. Voici une ventilation détaillée de ce qui change.
Nouvelles exigences pour les applications qui utilisent les données personnelles des clients
Chez Shopify, nous exigeons des pratiques de minimisation des données dans le cadre de notre approche commerciale de confidentialité dès la conception, ce qui signifie que les développeurs ne doivent demander que la quantité minimale de données nécessaires pour que leurs applications fonctionnent correctement.
Pour renforcer cette approche, dans la version 2022-10, les API supprimeront les données personnelles des clients par défaut et vous permettront de demander l’accès nécessaire aux données personnelles des clients si nécessaire pour fournir les fonctionnalités d’application prévues aux marchands. Ces changements permettront à votre application de mieux soutenir le cheminement d’une entreprise vers la conformité aux règles de confidentialité et de protection des données.
Nous publions nos exigences en matière de protection des données client avant la publication de la version 2022-10 de l’API pour aider les développeurs à se préparer. Conformément à nos délais habituels de gestion des versions et d’amortissement de l’API, les applications existantes auront jusqu’au 1er juillet 2023 pour migrer vers la version 2022-10 de l’API.
Notre approche de la protection des données
Dans la prochaine version, Shopify limitera l’accès aux données d’une application aux seules ressources et champs requis.
Données clients protégées inclut toutes les données directement liées à un client ou à un client potentiel, telles que représentées dans les ressources de l’API. Cela inclut des informations telles que la valeur totale de la commande, les éléments de ligne d’une commande et les événements d’expédition de la commande. Les applications qui nécessitent ce niveau de données doivent mettre en œuvre nos exigences en matière de protection des données, notamment informer les marchands de l’utilisation et de l’objectif des données de votre application, appliquer les décisions de consentement des clients, les demandes de désinscription, etc.
Champs client protégés nécessitent une configuration et une approbation individuelles, en plus de l’approbation des données client protégées. Cela inclut des informations telles que le nom, l’adresse, l’e-mail et le numéro de téléphone. Les applications qui nécessitent cette couche de données devront respecter des exigences supplémentaires, notamment le chiffrement de vos sauvegardes de données, la séparation des données de test et de production, etc.
Une nouvelle façon d’accéder aux données protégées
Nous partagerons les détails avant le nouveau processus permettant aux applications de demander des données protégées dans le tableau de bord des partenaires. Si votre application n’utilise pas de données protégées, vous pouvez simplement mettre à jour vers la dernière version de l’API. Si votre application utilise ces données, Shopify approuvera votre utilisation du montant minimum nécessaire pour fournir au marchand la fonctionnalité de l’application. Si vous êtes approuvé pour toutes les données que vous avez demandées, aucune mise à jour du code n’est requise. Si vous n’êtes pas approuvé pour les données que vous avez demandées, vous devrez peut-être mettre à jour votre application pour gérer les erreurs ou les données supprimées.
Regarder vers l’avant
En août 2022, nous publierons une documentation de référence pour les API instables contenant des données clients protégées. Au cours de la prochaine année, il y a quelques dates auxquelles les développeurs devraient prendre note et se préparer :
1 octobre 2022 – Shopify publiera la version 2022-10 de l’API. Les applications utilisant cette version doivent respecter les exigences relatives aux données client protégées. Nous mettrons également à jour notre tableau de bord des partenaires pour permettre la configuration de l’application et les demandes de données client protégées.
2 avril 2023 – Les nouvelles applications doivent utiliser l’API version 2022-10 ou ultérieure et répondre aux exigences en matière de protection des données client.
1 juillet 2023 – Toutes les applications doivent utiliser l’API version 2022-10 ou ultérieure et répondre aux exigences en matière de protection des données client. La version 2022-10 de l’API d’administration est la version minimale prise en charge.
Avec ces changements, les développeurs n’ont pas à faire de compromis sur l’expérience utilisateur pour créer des applications tout en prenant en charge le cheminement d’un commerçant vers la conformité aux règles de confidentialité et de protection des données.
Voici d’autres façons de vous aider à vous préparer à ces changements :