Tableau de bord

Par Elisabeth Robinson

Politique de confidentialité

La politique de confidentialité est un outil permettant de détailler la manière dont seront traitées les données personnelles d’un utilisateur dans le cadre d’une relation commerciale. Il s’agit pour l’utilisateur de savoir quelles sont les données collectées le concernant et la manière dont le tiers traite les données qu’il reçoit. La politique de confidentialité est obligatoire pour toute entreprise qui collecte des données à caractère personnel et doit respecter certaines règles pour éviter toute sanction pénale. Découvrez comment les rédiger en conformité avec le RGPD.

Quelle est l'importance d'une politique de confidentialité ?

La politique de confidentialité doit être conforme au règlement général sur la protection des données (RGPD). Cela va nécessiter de déterminer les conditions pour lesquelles une entreprise à besoin d’établir une politique de confidentialité.

Cette politique de confidentialité doit être mise en place si : 

  • Le propriétaire du site recueille des données de manière directe sur l’utilisateur. C’est le cas des formulaires, des contrats ou des achats effectués en ligne sur des sites internet ;
  • Les données recueillies le sont grâce à des outils de surveillance, comme la navigation en ligne ou la vidéosurveillance, qui permettent une conservation des données ;
  • Les informations personnelles sont collectées à partir d'une base de données fournie par un partenaire commercial ou d'une source disponible au public.

En cas de politique de confidentialité non conforme au RGPD, toute société s’exposent à plusieurs types de sanctions : 

  • Sanctions administratives sous forme d'amendes : ces amendes peuvent aller de 2 % à 4 % du chiffre d'affaires (ou de 10 millions à 20 millions d'euros, le montant le plus élevé étant retenu). En outre, le site web de l'entreprise peut être suspendu ;
  • Sanctions pénales : ici, le code pénal prévoit que toute entreprise qui procède à la collecte ou au traitement d’une information personnelle, sans respect préalable des modalités prévues par la loi et de leur mise en place, est punie de 300 000 € d’amende et de 5 ans d'emprisonnement.

Le RGPD impose dans certains de ses articles, une obligation de transparence par les entreprises. Ces dernières doivent s’engager à présenter une information compréhensible, claire, concise et aisément accessible, de sorte que le client/utilisateur puisse prendre connaissance des différentes modalités.

Il convient donc pour les entreprises de faire attention à bien se conformer aux dispositions prévues par le RGPD. Elles peuvent se faire assister par un avocat, si nécessaire, pour élaborer une politique de confidentialité conforme.

Protection de la réputation de l'entreprise

La politique de confidentialité doit informer les clients et les utilisateurs sur les raisons de la collecte des données et leur utilisation. Elle doit aussi leur permettre de s’assurer de la protection de leurs données personnelles, mais aussi les informer sur les voies de recours et les droits dont ils disposent vis-à -vis du traitement de ces données. 

De ce fait, la politique de confidentialité à pour objectif majeur d’instaurer une relation de confiance. Elle a donc, à ce titre, un intérêt légitime entre le client/utilisateur et l’entreprise qui collecte les données personnelles. Cela permet d’assurer une certaine transparence et clarté de la part de l’entreprise qui garantit aux clients/utilisateurs de la bonne protection de leur données.

Quelles sont les données concernées par une politique de confidentialité ?

Les données personnelles collectées sont celles que l’on donne volontairement au site en remplissant certains formulaires. Il peut s’agir de données d'identification comme le nom, le prénom, l’adresse postale, l’adresse mail, un numéro de téléphone ou encore un numéro de sécurité sociale. L'adresse IP, elle, est collectée automatiquement. 

Par ailleurs, le site internet est tenu de vous informer de la mise en place d’un procédé de traçage (cookies), que les utilisateurs peuvent choisir de désactiver en modifiant les paramètres. 

Enfin il y a également tout ce qui fait partie des données sensibles, telles que les informations de santé ou les informations bancaires comme le RIB ou un IBAN ou encore un numéro de carte bancaire. Ces données ne peuvent être collectées qu'avec un consentement explicite. Les données de paiement, par exemple, sont transmises directement aux tiers partenaires concernés, à travers leurs services.

Notez qu’il est également possible d’accéder à un site web sans communiquer aucune information personnelle. Néanmoins, il est possible que votre accès à certaines fonctionnalités du site soient restreintes.

Données collectées indirectement

Il existe également ce que l’on appelle les données collectées indirectement. Par exemple, pour certaines opérations, il est possible de devoir transmettre certaines données à des tiers partenaires comme c’est le cas pour réaliser un paiement en ligne.

Ici ce n’est pas le site qui collecte directement les données, mais le tiers partenaire responsable du traitement qui procède à la collecte des données selon ses propres conditions énumérées sur son site.

Ensuite il peut y avoir d’autres données indirectes issues de l'interaction avec le site. Il peut s'agir du fait de se connecter à la plateforme, ou encore des actions de navigation que l’on mène sur ce même site.

Qui est responsable de la rédaction et de la mise en place d'une politique de confidentialité ?

Toutes les entreprises qui collectent directement ou indirectement les données de leurs clients et utilisateurs doivent établir une politique de confidentialité. C’est le cas de toutes les entreprises ayant un site web, une application mobile ou toute forme de présence en ligne collectant les données à caractère personnel des clients/utilisateurs.

Il convient de noter qu’à chaque changement dans les méthodes de collecte et de traitement des données des utilisateurs, l’entreprise doit procéder à une mise à jour des informations fournies aux utilisateurs.

Il est important de souligner que la taille de l'entreprise (qu'il s'agisse d'une start-up ou d'une petite entreprise) ainsi que son secteur d'activité n'affectent pas l'obligation d'établir une politique de confidentialité.

Responsabilités des différents acteurs

Le RGPD ordonne qu’un responsable du traitement fournisse une politique de confidentialité relative au transfert, à la collecte, et le cas échéant, au transfert de données. La politique de confidentialité doit préciser les différents points suivants : 

  • La justification légale du traitement ;
  • Les coordonnées du DPO (délégué à la protection des données) et du responsable dans l’organisation ;
  • La nature des intérêts légitimes poursuivis ;
  • L’identité et les coordonnées du responsable de traitement ;
  • Les différentes catégories de données à caractère personnel ;
  • Les destinataires ou catégories de destinataire ;
  • L’information sur le transfert à un destinataire dans un pays tiers ;
  • La période de conservation des données personnelles ;
  • Les droits de la personne concernées, ainsi que le droit de retirer son consentement à tout moment ;
  • Le droit de déposer plainte auprès d’une autorité de contrôle ;
  • Des informations sur la source d’origine des données à caractère personnel ;
  • Application des principes relatifs aux données à caractère personnel.

Ceci est une liste non exhaustive, mais elle regroupe les principales responsabilités des différents acteurs relatifs à la protection des données.

La politique de protection des données, de son côté, est une procédure interne qui informe du traitement des données personnelles. Elle s’adresse principalement aux membres d’une organisation qui pourraient prendre des décisions relatives au traitement des différentes informations personnelles. Cela leur permet d’avoir des informations sur la collecte, l'utilisation, le stockage, la destruction pure et simple des données à caractère personnel, ou encore sur les droits spécifiques auxquels les personnes peuvent avoir recours.

Éléments clés à inclure dans une politique de confidentialité

Pour répondre aux exigences du RGPD, une politique de confidentialité doit inclure divers éléments :

  • L’identité, ainsi que les coordonnées de l’entreprise ;
  • Les finalités de la collecte des données : en d’autres termes, à quoi ces données collectées sur les clients et utilisateurs vont servir. Les données collectées doivent être justifiées par le service fourni au client ;
  • La base légale pour chaque type de traitement : ici, le RGPD en prévoit 6. On peut mentionner les exigences légales, les obligations contractuelles, le consentement des personnes concernées, les missions d'intérêt public, la protection des intérêts vitaux et les motifs légitimes ;
  • Le caractère obligatoire ou optionnel de la collecte des données, ainsi que les conséquences pour la personne concernée en cas de refus de fournir ses données personnelles ;
  • Les destinataires des données qui sont recueillies ;
  • La durée durant laquelle les données seront conservées ;
  • Les droits inhérents aux utilisateurs/clients : il s’agit ici des droits d'accès à leur données, du droit de rectification, du droit d’effacement et du droit à la limitation des données ;
  • Les coordonnées du DPO (délégué à la protection des données) et le contact pour toute question qui serait liée à ce sujet. ;
  • Une mention du droit de réclamation auprès de la CNIL (la commission nationale de l’informatique et des libertés).

En cas de collecte indirecte des données, il y’a des informations supplémentaires qui doivent figurer dans la politique de confidentialité. Cela englobe la catégorie des données collectées ainsi que leur source.

Pour informer les utilisateurs sur l'utilisation de leurs données collectées, l'entreprise peut-elle rédiger une politique de confidentialité spécifique ? Elle peut être présentée sur une page distincte ou intégrée aux conditions générales de vente. Il est également possible pour l’entreprise d’insérer une page de confidentialité des données sur son site internet, qui sera à part.

Le plus important n’est pas le moyen de communication, jugé libre par le RGPD. C’est la nature de l’information qui elle doit être totalement accessible, transparente et compréhensible pour le client/utilisateur. 

Comment élaborer une politique de confidentialité qui respecte le RGPD ?

Comme nous l’avons vu précédemment, le RGPD (règlement général sur la protection des données) prévoit que la politique de confidentialité doit être rédigée de manière accessible, compréhensible et totalement transparente.

Aussi, il est important de noter qu’avoir une politique de confidentialité ne suffit pas à être conforme avec le RGPD. Que vous utilisiez ou non un exemple de politique de confidentialité afin de vous aider dans la rédaction de votre propre politique de confidentialité, ce dernier doit répondre à certaines attentes : 

  • Rédiger de manière simple et concise pour que le contenu de la politique de confidentialité soit accessible pour le plus grand nombre et que son contenu puisse être compris facilement. Les termes trop techniques ou trop juridiques doivent donc être évités ;
  • Toutes les informations jugées inutiles à la bonne compréhension du texte ainsi qu’à sa transparence doivent être supprimées pour ne pas nuire au lecteur ;
  • La politique de confidentialité doit généralement être rendue accessible avec un lien qui redirige vers la page dédiée. Ce lien peut-être placé en pied de page (footer) du site web ;
  • En fonction des évolutions légales ou technologiques relatives à l’entreprise ou à son secteur d’activité, cette dernière doit mettre à jour sa politique de confidentialité ; 
  • Les politiques de confidentialité sont généralement construites de manière à faciliter la navigation, notamment avec l’utilisation d’onglets ou encore de renvoi de page.

Outils et ressources disponibles

Afin de rédiger votre politique de confidentialité, vous pouvez avoir recours à certains outils pour vous faciliter la tâche. En effet, il existe sur internet des générateurs de politique de confidentialité. Moyennant une série de questions relatives à votre activité ainsi qu’à la collecte des données, il est possible de générer directement votre politique de confidentialité en ligne.

A partir de ce point, il sera important de s’assurer de la conformité de votre politique de confidentialité avec la réglementation en vigueur et notamment auprès de la CNIL (la commission nationale de l’informatique et des libertés). Il existe pour cela des sites spécialisés en ligne.  

Communication et mise en œuvre de la politique de confidentialité

Comme nous l'avons abordé, la politique de confidentialité vise à se conformer au RGPD dans le contexte de la loi "Informatique et Libertés". Cette politique de confidentialité doit être facile et accessible pour le client/utilisateur. C’est l’un des points clés essentiel à respecter. 

Partant de ce principe, il est nécessaire que l’entreprise dispose d’un affichage clair et facilement accessible de sa politique de confidentialité sur son site web. Il peut s’agir d’une page dédiée ou de lien de redirection vers une page à part.

Généralement, ce lien se trouve en pied de page du site web. Mais il peut aussi se trouver dans les emails lors de l’envoi de newsletters aux clients ou aux utilisateurs qui ont souscrit à cette option. Enfin ce lien peut aussi se trouver sous les formulaires de contacts à remplir directement sur le site.

L’emplacement de la politique de confidentialité est important et il doit être réfléchi pour être positionné à un endroit stratégique qui maximise sa visibilité. 

Consentement des utilisateurs

L’autre point important est d'obtenir le consentement des utilisateurs sur le traitement qui sera réservé à leurs données personnelles. Pour cela il existe plusieurs possibilité comme des cases à cocher et une acceptation via un clic. Il est indispensable d’obtenir le consentement univoque des utilisateurs. Encore plus pour les données à caractère sensible pour lesquelles vous devez obtenir leur consentement explicite.

Par ailleurs, pour la gestion de certains paramètres comme les traceurs en ligne (cookies), vous devez laisser à l’utilisateur la possibilité de gérer ses préférences.

Mise à jour et notification

Pour pouvez être amené à modifier votre politique de confidentialité pour une raison quelconque, notamment en cas d'évolution de la législation ou de la réglementation en vigueur. 

Vous êtes tenu, d’une part, de mettre à jour votre politique de confidentialité afin de vous conformer au règlement en vigueur.

D’autre part, vous devez mettre en place une procédure pour informer les utilisateurs et les clients des modifications. Cela peut être sous la forme d’une fenêtre pop-up lors de la connexion à votre site web, ou encore l’envoi d’un e-mail qui doit être clair et transparent sur les modifications apportées à votre politique de confidentialité. 

Enfin, si votre politique de confidentialité évolue dans le temps, vous devez garder à disposition des utilisateurs les versions précédentes de vos politiques de confidentialité en les archivant. L’utilisateur doit pouvoir y avoir accès.

FAQ

Comment faire des politiques de confidentialité ?

La politique de confidentialité d’une entreprise doit respecter certaines contraintes. Elle doit être conforme au RGPD (règlement général sur la protection des données) et respecter la législation en vigueur (CNIL).

Cette politique de confidentialité doit contenir certaines mentions obligatoires relatives à la collecte, à l’usage, au traitement et au stockage des données à caractère personnel de l’utilisateur ou du client. Cette politique doit être facilement accessible pour l’utilisateur, notamment en la publiant sur une page dédiée sur le site web de l’entreprise. Elle doit être transparente et compréhensible, et ne cacher aucun traitement relatif à l’usage qui sera fait des données. Enfin, il est nécessaire que l'utilisateur donne son consentement.

Est-ce obligatoire d'avoir une politique de confidentialité ?

La politique de confidentialité demeure indispensable pour toute entreprise (hors site institutionnel) qui collecte et traite des données à caractère personnel, comme c’est notamment le cas des sites marchands. Dans ce cas de figure, il est obligatoire de fournir une politique de confidentialité avec certaines mentions obligatoires comme l’identité et les coordonnées de l’organisme qui collecte les données, le but de la collecte de données ou encore sa base légale.

Comment l'entreprise peut-elle garantir la confidentialité ?

Afin de garantir la confidentialité, l’entreprise s’engage à travers sa politique de confidentialité à informer l’utilisateur sur le traitement qui sera fait des données. Elle doit fournir certaines informations comme les coordonnées du DPO (délégué à la protection des données) pour toutes questions à ce sujet. Les utilisateurs disposent également du droit à la rectification ou à la suppression de leurs données à caractère personnel.

Quelle est l'importance d'une politique de confidentialité ?Quelles sont les données concernées par une politique de confidentialité ?Qui est responsable de la rédaction et de la mise en place d'une politique de confidentialité ?Éléments clés à inclure dans une politique de confidentialitéComment élaborer une politique de confidentialité qui respecte le RGPD ?Communication et mise en œuvre de la politique de confidentialitéFAQ

Partager post