Skip to content

Conformer ses mentions légales au RGPD

Conformer ses mentions légales au RGPD

Les mentions légales conformes au RGPD sont les informations obligatoires à faire apparaître sur les outils de communication d’une entreprise, notamment sur son site internet avant la collecte de données personnelles. Pour répondre aux obligations imposées par ce règlement, différentes informations doivent y être mentionnées sous peine d’être sanctionné. En quoi consiste le RGPD ? Comment les mettre en place ? Quelles sanctions en cas de non-conformité ? Tour d’horizon.

Rappel : Qu’est-ce que le RGPD et qui concerne-t-il ?

Que ce soit pour les achats sur Internet, les échanges de mails ou encore les inscriptions sur des réseaux sociaux, de nombreux sites Web collectent et exploitent des données personnelles. Pour garantir le respect de la vie privée des internautes, le RGPD ou Règlement général sur la protection des données a été mis en place.

Entré en vigueur le 25 mai 2018, le RGPD a été créé pour mettre à jour et renforcer la Loi française Informatique et libertés de 1978. Le Règlement général sur la protection des données vise principalement l’encadrement et l’harmonisation du traitement des données dans l’Union européenne.

Ce règlement a notamment été élaboré pour une meilleure adaptation aux constantes évolutions technologiques ainsi qu’aux défis les accompagnant (Big Data, développement du commerce en ligne…). Grâce au RGPD, les personnes physiques ont un meilleur contrôle par rapport aux diverses utilisations de leurs données personnelles.

Par ailleurs, ce règlement offre un cadre juridique aux professionnels, leur permettant de mettre en place des activités en se basant sur la confiance des internautes. À noter que le RGPD est constitué de 99 articles portant sur les mesures à prendre en vue d’assurer la protection de la vie privée des utilisateurs.

Qui est concerné ?

Le Règlement général sur la protection des données s’applique à tout organisme, public ou privée (ex : TPE), de toute taille et issu de différents secteurs d’activité, traitant des données personnelles pour son compte ou non.

Selon l’article 3 de ce règlement, « Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

Ainsi, toute organisation établie sur le territoire européen procédant à un traitement des données à caractère personnel est soumise au RGPD. Il en est de même pour les organismes qui ne sont pas présents au niveau de l’Union européenne, mais ayant pour cible directe des résidents européens.

Les sous-traitants exploitant des données personnelles pour le compte d’une autre entité sont aussi concernés par le RGPD.

Focus sur la notion de données personnelles

Le RGPD s’applique au traitement des données personnelles. Mais qu’entend-on par données personnelles ? Une donnée personnelle désigne toute information concernant une personne physique identifiée ou identifiable. Une personne peut être identifiée :

  • De manière directe : nom et prénom ;
  • De manière indirecte : numéro de téléphone, photographie, numéro d’immatriculation…

En ce qui concerne le traitement de données personnelles, il s’agit d’une action ou d’un ensemble d’actions portant sur des données personnelles :

  • Collecte ;
  • Enregistrement ;
  • Organisation ;
  • Consultation ;
  • Adaptation ;
  • Modification ;
  • Conservation ;
  • Extraction ;
  • Communication par transmission ;
  • Diffusion.

Par ailleurs, la majorité des entreprises modernes sont concernées par le Règlement général sur la protection des données.

Mettre en conformité ses mentions légales

L’une des obligations imposées par le règlement européen en termes de protection des données personnelles concerne l’information de certaines mentions aux personnes dont les données sont collectées (collecte directe ou indirecte). Il s’agit des mentions légales conformes au RGPD à afficher obligatoirement sur les sites Internet collectant des données personnelles.

Ces informations doivent aussi apparaître sur d’autres outils de communication comme les réseaux sociaux, les applications mobiles ou encore les CRM.

Ces dernières doivent être indiquées sur les sites Web avec les autres mentions obligatoires :

  • Les mentions légales classiques (mentions légales du site internet d’une association, d’un site e-commerce) : informations concernant l’éditeur du site et l’hébergeur, nom du directeur de publication ou encore numéro RCS.
  • Les CGV ou Conditions Générales de Vente pour les sites marchands incluant notamment les modalités de paiement et le droit de rétractation. Pour leur rédaction, il est possible de s’inspirer des modèles de CGV disponibles en ligne en les adaptant à chaque domaine d’activité. Il est à noter que les CGV sont facultatives pour les relations commerciales entre professionnels.
  • Les mentions légales concernant les cookies.

Bien que facultatives, certaines informations peuvent aussi être ajoutées et sont même recommandées, notamment les CGU ou Conditions Générales d’Utilisation. Pour leur rédaction, il est possible de s’inspirer des exemples de CGU disponibles sur le site de LegalPlace. Bien qu’informant toutes deux sur les conditions présentes sur un site Web, les CGV et les CGU sont différentes, elles n’ont pas les mêmes applications.

Les informations prévues dans les mentions légales conformes au RGPD permettent d’assurer une certaine transparence envers les visiteurs. Pour que leur mise en place soit réussie, il convient de fournir une information claire, concise, compréhensible et facilement accessible en cas de collecte et de traitement de données. Par ailleurs, il convient de suivre certaines étapes.

À noter : pour faciliter la connaissance de l’ensemble des informations par les internautes, il est recommandé de les rassembler dans un document unique ou un espace dédié du site Web.

Définir l’étendue du traitement des données

Pour les mettre en place, la première étape à effectuer est de définir la finalité du traitement des données personnelles. Il faut savoir que ces dernières peuvent être destinées à diverses utilisations :

  • Inscription à une newsletter ;
  • Développement et amélioration des services ;

Une fois l’étendue du traitement définie, il convient de rédiger les finalités de manière élargie afin d’assurer la compatibilité entre ce qui a été déclaré et le traitement ultérieur des données personnelles. Dans le cas où l’entreprise prévoit des finalités commerciales, il importe de les préciser dans les mentions légales RGPD.

Définir la base juridique du traitement des données

L’étape suivante repose sur la définition de la base légale. Suivant l’article 13 du RGPD, outre la finalité du traitement, il convient aussi d’indiquer l’une des six bases légales du traitement des données personnelles prévues par l’article 6 :

  • Le respect d’une obligation légale ;
  • Le consentement des personnes concernées ;
  • L’exécution d’un contrat ;
  • La réalisation d’une mission d’intérêt public ;
  • La sauvegarde des intérêts vitaux d’une personne ;
  • Les intérêts légitimes du responsable du traitement.

Indiquer les destinataires des données exploitées

L’étape suivante consiste à définir les destinataires des données personnelles exploitées. Il convient de mentionner précisément l’ensemble des personnes pouvant y accéder. L’autorité judiciaire pouvant y avoir accès légalement doit aussi être mentionnée (nécessaire par exemple en cas d’infraction pénale).

Fixer la durée de conservation des données

En rédigeant les mentions légales conformes au RGPD d’un site Internet, il importe aussi de préciser la durée de conservation des données personnelles collectées. Suivant l’article 13.2 de ce règlement, cette durée doit être fixée par le responsable du traitement. Dans le cas où cela s’avère impossible, il convient d’exposer les critères utilisés pour déterminer cette durée.

À noter : les délais légaux fixant parfois des durées particulières de conservation et de traitement doivent aussi être pris en compte (par exemple, les obligations particulières en termes de droit du travail).

Préciser le caractère obligatoire ou non de la fourniture des données

Suivant l’article 13.2.e, le responsable du traitement doit émettre « des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » .

À noter : la rédaction de cette partie doit être conforme à la base légale choisie. Il convient ici de préciser si la fourniture des données est obligatoire ou facultative. Par ailleurs, le visiteur doit être informé des conséquences éventuelles d’un défaut de réponse.

Ne pas oublier les autres mentions obligatoires

Une fois ces étapes réalisées, il importe de se consacrer à la mise en place des autres éléments obligatoires des mentions légales RGPD d’un site Internet, la mention :

  • Des coordonnées du délégué à la protection des données (DPO) ou du responsable du traitement ;
  • Du droit de faire une réclamation auprès de la CNIL ;
  • Du droit d’accès, de rectification, d’interrogation et d’opposition au traitement des données.

Les cas particuliers

Une fois les étapes ci-dessus effectuées, elles peuvent être publiées sur le site Internet.

Certains cas particuliers prévus par l’article 13 de ce règlement sont aussi à prendre en compte et doivent être précisés :

  • L’utilisation des intérêts légitimes du responsable de traitement comme base juridique du traitement des données personnelles collectées qui est déconseillée. Toutefois, dans le cas où cette base légale est choisie, il convient de détailler précisément les intérêts légitimes poursuivis par le responsable du traitement ou par une tierce personne (la prévention de fraude par exemple).
  • La mise en place d’une prise de décision automatisée ou de profilage encadré par la RGPD , les informations requises pour la compréhension de l’algorithme ainsi que les conséquences pour la personne dont les données sont collectées.
  • Le transfert des données collectées vers un pays hors Union européenne (par exemple, l’hébergement du serveur dans une zone hors UE). Dans ce cas, il convient d’indiquer les dispositions de l’article 13.1.f du RGPD en mentionnant spécifiquement le cas autorisant le transfert : garanties d’accès aux documents autorisant le transfert des données hors de l’Union Européenne, les moyens permettant d’obtenir une copie ou encore l’endroit où les données ont été mises à disposition.
  • Le droit au retrait du consentement à n’importe quel moment.

Comment déclarer à la CNIL la collecte de données ?

Depuis la mise en vigueur du RGPD le 25 mai 2018 afin de moderniser la réglementation en termes de protection de données, diverses modifications ont été mises en place notamment concernant le contrôle de la gestion des données personnelles.

Déclaration de la collecte de données à la CNIL : une formalité qui n’est plus nécessaire

Le RGPD a apporté certains changements concernant entre autres le rôle de la CNIL ou Commission Nationale de l’Informatique et des Libertés. En effet, suivant les dispositions de la loi Informatique et Libertés, les organismes traitant des données devaient faire des déclarations auprès de la CNIL pour obtenir des autorisations.

Toutefois, depuis la mise en application du RGPD, l’obligation de déclaration n’est plus nécessaire. En effet, ce règlement cherche à renforcer la responsabilité de chaque organisme collectant et traitant des données. Cette responsabilisation passe par la mise en place de nouveaux principes, à savoir le privacy by default, le privacy by design ainsi que l’accountability.

Pour garantir le respect du règlement, les entreprises sont ainsi tenues d’adopter les mesures nécessaires, notamment le recours à des outils internes d’audit. Pour s’assurer de la conformité de leur traitement de données avec les prescriptions du RGPD, les entreprises doivent :

  • Désigner un Data Protection Officer ou DPO garant du principe de « Privacy bu Design (obligatoire pour les structures traitant d’importants volumes de données). Son rôle est de s’assurer que le traitement de données ne porte pas atteinte à la vie privée et aux libertés fondamentales.
  • Collecter uniquement les données nécessaires à leur activité.
  • Obtenir le consentement des personnes avant de collecter et traiter leurs données personnelles en utilisant une méthode simple et claire et sans leur refuser un service dans le cas où elles refusent l’utilisation de leurs données.
  • Rédiger une charte de bonnes pratiques pour optimiser la sécurité des données au sein de l’entreprise.
  • Tenir et mettre à jour un registre des traitements.

Mettre son site Internet en conformité avec le RGPD

Pour ce faire, il convient de faire un audit des outils mis en place au sein de l’entreprise concernant le traitement des données personnelles. Pour cela, il importe de :

  • Cartographier les traitements : cette étape consiste à faire l’inventaire des processus de traitement des données. Une fois le recensement finalisé, le niveau de conformité des moyens mis en place doit faire l’objet d’une évaluation en réalisant une étude d’impacts.
  • Planifier les actions : il convient d’établir un calendrier d’actions de contrôle ou de correction en prenant en compte les objectifs de l’entreprise ainsi que les contraintes en matière de gestion des risques.
  • Repérer les risques majeurs concernant les droits et les libertés des personnes en menant une étude d’impact.
  • Assurer la sécurité des données en rédigeant des procédures de sécurisation des données.
  • Mettre en place un registre des traitements indiquant notamment le nom ainsi que les coordonnées du responsable de traitement, les finalités des traitements, les destinataires des données…

Quelles sanctions en cas de non-conformité des mentions légales au RGPD ?

L’une des obligations imposées par le RGPD concerne le fait d’assurer une certaine transparence en mettant à la disposition des utilisateurs une information claire et intelligible en cas de collecte et de traitement de données personnelles.

En cas de non-respect de cette obligation constaté par la CNIL, l’entreprise s’expose à des sanctions pénales et administratives. Dans un premier temps, cet organisme de contrôle peut adresser un avertissement et obliger la société à se mettre en conformité dans les plus brefs délais. Dans ce cas, l’entreprise concernée peut recevoir une mise en demeure. Dans le cas où la situation perdure, des sanctions peuvent être prononcées.

À noter : l’intervention de la CNIL est graduelle et dépend de l’importance des violations constatées. La suspension des traitements de données de manière temporaire ou définitive, la suspension des flux de données ainsi qu’une amende sur le chiffre d’affaires figurent parmi les sanctions pouvant être infligées.

En fonction de la gravité de la violation du RGPD, l’organisme en question peut être obligé à payer une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Dans le cas où une personne dont les données personnelles sont collectées est affectée par une des violations de ce règlement, des demandes de dommages et intérêts peuvent être ajoutées à ces amendes administratives.

Outre le défaut d’informations via les mentions légales conformes au RGPD, d’autres faits peuvent être répréhensibles, notamment :

  • Le défaut de consentement ;
  • Le non-respect des droits des personnes ;
  • Les traitements illicites de données ;
  • Le défaut d’étude d’impact ;
  • Le manque de prudence lors des transferts transfrontaliers de données ;
  • Le défaut d’information à la CNIL et aux personnes concernées en cas de fuite de données ;

Outre l’impact financier pouvant être causé par un manquement au respect du RGPD, les conséquences peuvent porter sur la réputation de l’entreprise ainsi que sur le capital confiance vis-à-vis de ses clients et autres interlocuteurs.

Voir aussi :

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments