Skip to content

Rédiger une politique de confidentialité conforme au RGPD

Rédiger une politique de confidentialité conforme au RGPD

Face à l’importance grandissante des services administratifs en ligne et des données personnelles des internautes, il est devenu primordial de sécuriser ces informations via une politique de protection cohérente. C’est pourquoi la loi relative au RGPD a été adoptée au sein de l’Union européenne afin de sécuriser les données collectées et exploitées par les sites Internet. Cette disposition s’impose à toute association, entreprise, TPE et même aux start-ups dans le cadre de la mise en conformité au RGPD. La non-conformité à ces dispositions entraîne de lourdes répressions administratives comme le paiement d’amendes.

Politique de confidentialité : de quoi s’agit-il ?

La politique de confidentialité est en réalité un document ou un contrat qui explique en détail le mode de collecte, le classement, le traitement ainsi que la publication et la suppression des données à titre personnel transmises par les utilisateurs dans le cadre d’une relation commerciale.

Par exemple, un auto-entrepreneur en informatique, une SAS en immobilier ou encore un site Internet qui nécessite une inscription préalable avant l’utilisation doit fournir une politique concrète pour la manipulation des données personnelles que le client lui confie. Cette étape est mise en place dans le but d’obtenir le consentement de la personne concernée.

Cette politique est adoptée dans le cadre du RGPD et de la loi dite « informatique et libertés » pour garantir une information concise, transparente et compréhensible pour le client ou l’utilisateur qui transmet ses informations à caractère personnel. Elle permet aux personnes concernées de :

  • connaître les raisons de la collecte d’information personnelle ;
  • s’informer sur les procédés de traitement appliqués à leurs données ;
  • vérifier la sécurité de leurs données sensibles ;
  • faciliter l’exercice de leurs droits.

Dans le cadre de cette politique de confidentialité, le client fournit à la société ou au site, ainsi que ses mandataires, son consentement pour recueillir, utiliser ou communiquer certains renseignements personnels conformément à la loi relative à la protection des données.

En bref, la politique de confidentialité permet de renforcer la confiance mutuelle existant entre l’utilisateur et l’entreprise de traitement des données. En fournissant des informations concrètes, compréhensibles et facilement accessibles, le niveau de confiance des clients est renforcé et une protection concrète est apportée aux données sensibles.

Quelles données sont concernées ?

Les données concernées par les dispositions relatives à la politique de confidentialités sont celles qualifiées par l’Institut national des normes et de la technologie ou INNT, d’informations personnelles identifiables, c’est-à-dire :

« Toute information sur une personne gardée par une société permettant d’identifier une personne physique ou morale : nom et prénom ou dénomination sociale, numéro de sécurité sociale, date et lieu de naissance et les données biométriques. Cela peut également concerner toute autre information liée ou pouvant être directement liée à un individu. Il peut s’agir des données de santé, éducatives, financières et professionnelles. »

Toutefois, les dispositions du RGPD ne concernent pas les documents classés par l’INNT comme donnée non privée telle que :

« Toute information susceptible de correspondre à une personne, mais insuffisants pour identifier, contacter ou localiser directement la personne concernée par les renseignements ». Il peut s’agir :

  • des informations du plug-in du navigateur ;
  • du fuseau horaire local ;
  • du navigateur utilisé ;
  • de l’historique de navigation et la fréquence d’utilisation d’un certain site ;
  • du dispositif utilisé ;
  • ainsi que de la préférence de langue.

Quelles sont les lois applicables ?

De nombreuses dispositions légales sont applicables dans le cadre de la politique de confidentialité. Il s’agit notamment de :

  • la loi n°2004-575 du 21 juin 201 pour la confiance dans l’économie numérique ;
  • la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et libertés; modifiée par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles pour les questions de traitement de données à caractères personnels ;
  • le règlement européen 2016/679 du Parlement européen et du Conseil ou RGPD. Cette dernière constitue d’ailleurs la base des formalités de traitement des données personnelles.

Qui doit s’y conformer ?

La politique de confidentialité est imposée à tout organisme qui collecte et manipule des données à caractère personnel. En effet, dans le cadre du RGPD, les sociétés, sites web, associations et sous-traitants basés en Europe, aux USA, au Japon ou encore en Chine qui collectent et traitent des données personnelles européennes doivent se conformer à ces dispositions.

La taille, le secteur d’activité et le statut juridique de l’entreprise ne l’exemptent en aucun cas de la mise en place d’une politique de confidentialité. Ainsi, même les géants d’Internet comme Google et Facebook et Amazon sont concernés par ce règlement.

Pour les entreprises situées à l’extérieur des frontières précédemment citées, le RGPD n’est pas appliqué à la société. Elles restent cependant traduisibles en justice en cas de violation grave des droits de l’utilisateur par rapport à l’utilisation de ses données.

Dans quel cas établir une politique de confidentialité ?

Dans le cadre de l’application du RGPD, la politique de confidentialité doit être établie :

  • Quand les données à caractère personnel sont collectées directement auprès de leur propriétaire via des formulaires, des contrats, des documents d’ouverture d’un compte bancaire ou encore un achat en ligne.
  • Quand les renseignements sont recueillis via des dispositifs d’observation de l’activité des personnes comme la vidéosurveillance, l’analyse de la navigation sur Internet et toute autre technologie de ce type.
  • Quand les informations personnelles ne sont pas directement fournies par le propriétaire des informations, mais collectées via la base de données d’un partenaire commercial, d’un data brokers ou d’une source ouverte à tout public.

À quel moment établir une politique de confidentialité ?

Le recueil des données sans donner les informations nécessaires concernant le traitement qui s’ensuit est punissable par la loi. Ainsi, une politique de confidentialité doit être établie dès que la société ou le site web envisage de collecter de manière directe ou indirecte les données personnelles de ses clients ou utilisateurs.

À chaque modification des procédés appliqués pour la manipulation des renseignements, une mise à jour du document doit être faite afin d’informer les personnes concernées. Dans le cas contraire, des mesures de répression sont prévues par la loi.

Par ailleurs, les organismes qui ne se conforment pas aux dispositions de la RGPD encourent des amendes qui peuvent aller jusqu’à 4% de leur chiffre d’affaires global.

En outre, l’organisme qui manipule les données personnelles doit informer la personne concernée en cas de modification dans le cadre d’un événement particulier. Ainsi, toute modification doit être notifiée au propriétaire des informations, aussi infime soit-elle.

 

Que doit contenir une politique de confidentialité conforme au RGPD ?

En théorie, l’organisme responsable de la manipulation de donnée est tenu d’informer les utilisateurs et les clients de la collecte et de la protection de leurs données contre toute violation dès le début du processus d’utilisation. Cela doit se faire suivant les règles imposées par le RGPD.

Les informations obligatoires

Pour être conforme au RGPD, cette déclaration doit contenir :

  • l’identité et les coordonnées de l’organisme et du responsable du traitement de données ;
  • le but de la collecte: à quoi serviront les données collectées ;
  • les bases légales qui donnent droit à l’organisme de collecter et de traiter les renseignements personnels de l’utilisateur (contrat, consentement de la personne concernée…) ;
  • l’importance de la collecte (collecte obligatoire ou facultative). Cette clause est établie dans le but de permettre à la personne concernée de réfléchir à l’utilité de la collecte, aux détails qu’elle va fournir ainsi qu’aux conséquences en cas de non-fourniture des informations. Cela est également nécessaire dans la mesure où la minimisation des données est devenue une nécessité pour leur sécurité ;
  • les catégories de destinataires des données, c’est-à-dire toutes les personnes et organismes qui ont besoin d’accéder aux données (responsables informatiques, sous-traitants, associations…) ;
  • le délai de conservation des données et les conditions de suppression ;
  • le droit des personnes concernées, notamment le droit d’accès, de modification, de suppression et de limitation applicable pour tous traitements ;
  • les coordonnées du délégué (DPO) désigné par l’organisme pour la protection des données et les points de contact sur les questions de protection des données personnelles si l’organisme n’a pas désigné un délégué ;
  • les droits de réclamation auprès de la CNIL.

En cas de collecte indirecte, la déclaration de protection doit également contenir la catégorie des données recueillies et les sources utilisées pour la récupération.

Les informations facultatives variant suivant la situation

Outre les mentions obligatoires, la déclaration de politique de confidentialité doit aussi contenir quelques informations selon les cas :

  • Si le traitement des données est basé sur l’intérêt légitime, le document doit relater le contenu de cet intérêt. Il doit par exemple définir les dispositifs établis pour prévenir les fraudes.
  • Les raisons pour lesquelles la collecte de données est nécessaire.
  • Dans l’éventualité d’un transfert des renseignements vers d’autres pays en dehors de l’Union européenne ou vers une organisation internationale, la déclaration de la politique de confidentialité doit détailler l’existence et les modalités ainsi que les garanties relatives à cette expatriation. Dans ce cas de figure, elle doit également mentionner la possibilité de consultation des documents par l’organisme situé hors de l’UE.
  • Si l’organisme adopte une politique de prise de décision automatisée ou un profilage suivant les données fournies, il s’avère utile d’émettre les informations nécessaires pour la compréhension du fonctionnement de l’algorithme et des conséquences par le propriétaire des renseignements.
  • Dans le cas où la base légale du traitement est le consentement des personnes intéressées, la politique doit expliquer en détail les droits au retrait de consentement de la personne si certaines clauses du contrat ne sont pas respectées. C’est également le cas pour le droit d’opposition et le droit à la portabilité.

Règles générales de la rédaction de la politique de confidentialité

La rédaction de la politique de confidentialité doit formellement se conformer aux règles imposées par le RGPD. Selon cette disposition légale, les informations doivent être fournies de façon concise, compréhensible et transparente. Afin de vous aider dans l’établissement de votre déclaration, voici quelques conseils :

  • Rédigez les textes de manière simple et compréhensible par le grand public. Utilisez des mots simples en évitant les termes juridiques et techniques. Faites des phrases courtes avec un style rédactionnel direct.
  • Formulez les informations suivant le public ciblé. Pour les sites accessibles aux enfants et aux personnes sensibles, optez pour une technique de communication plus explicite. Par exemple pour vous adresser aux enfants, vous pouvez utiliser des vidéos d’animation ou des dessins animés pour transmettre facilement les informations.
  • Les informations doivent aussi être communiquées de manière concise, succincte et efficace pour faciliter la compréhension. Pour cela, vous devez aérer le texte en faisant des phrases courtes. Pour éviter que la personne se perde dans la lecture, mettez en relief les informations importantes en évitant de faire de longues phrases.
  • L’organisme doit aussi assurer la facilité d’accès aux informations concernant la politique de confidentialité. Les utilisateurs ne doivent pas avoir à chercher pour trouver les informations qui lui sont nécessaires. Pour ce faire, il convient de structurer les informations pour qu’elles soient immédiatement accessibles et ne soient pas confondues avec les informations non relatives à la protection des données.
  • Les techniques utilisées doivent être adaptées au contexte et aux modalités d’interactions avec les personnes. L’organisme peut alors user de différents outils et techniques pour faciliter l’accès aux informations.

La meilleure manière de présenter une politique de confidentialité est la structuration des informations par ordre d’importance. Afin de faciliter la compréhension et optimiser la lisibilité du document, il est donc conseillé de privilégier l’approche en plusieurs niveaux en mettant en exergue les informations essentielles sans négliger les informations secondaires.

Pour ce faire, vous devez prioriser les informations relatives à l’identité du responsable de traitement, les finalités et les droits des personnes, et mettre en second plan les informations variables suivant la situation.

Pour l’environnement numérique, il est plus facile de structurer les informations via différents canaux au fur et à mesure de l’avancée de l’utilisateur sur la plateforme ou sous forme de notice ou encore de lien qui mène vers une page spécialement dédiée à cet effet. Dans ce cas de figure, les informations principales sont fournies au moment de la création du compte ou directement sur la page d’inscription.

Toutes les pages doivent aussi contenir des liens menant à la page relative à la politique de confidentialité. De cette manière, les utilisateurs pourront naviguer sur la plateforme et obtenir des informations détaillées et descriptives des différentes clauses de la déclaration.

Si votre politique de confidentialité concerne plusieurs catégories d’informations, pensez à classifier les informations nécessaires dans un seul document ou un espace spécialisé de votre site web. Cependant, veillez toujours à garantir la facilité de lecture et de compréhension du document.

 

Exemples de mentions d’information

Les mentions d’informations contenues dans la politique de confidentialité varient d’un cas à l’autre. Toutefois, certaines sont obligatoires dans cette déclaration. L’affichage de ces informations est nécessaire afin de garantir la transparence des traitements et la traçabilité des opérations effectuées. En voici quelques exemples :

  • Les données de contact des représentants de l’organisme responsable du traitement ou du sous-traitant. En plus du nom, l’adresse postale et électronique et le numéro de téléphone du représentant doivent être mentionnés. Exemple : « La société A est une entreprise basée en France et qui s’occupe des activités… ».
  • Le cas échéant, les coordonnées du délégué à la protection des données.
  • La finalité du traitement et base juridique. Exemple « Vos données sont collectées pour.. ».
  • Les destinataires. Exemple : « la manipulation de ces documents est exclusivement réservée à… ».
  • La durée de conservation ou les critères pour la déterminer. Exemple : « elles seront conservées pendant… ».
  • Le droit des personnes. Exemple : « vous disposez d’un droit de…. ».
  • Les catégories des données indirectement collectées. Exemple : Les renseignements ainsi recueillis sont vos données d’identification, l’intitulé de votre poste et vos coordonnées professionnels.
  • La source des données indirectement collectées.

 

Modèle/exemple de politique de confidentialité (conforme RGPD)

Pour que la politique de confidentialité soit conforme au RGPD, il faut qu’elle soit rédigée suivant des règles particulières. En pratique, le document doit contenir des mentions minimales. Cela peut se faire sur un seul bloc directement sur le support de collecte (sur le formulaire par exemple) ou être divisé en deux sections sur deux supports distincts. Voici deux modèles gratuits de politique de confidentialité conformes au RGPD.

Annexe – Politique de confidentialité RGPD 1 – Modèle Word Gratuit

Annexe – Politique de confidentialité RGPD 2 – Modèle Word Gratuit

Dernière mise à jour le

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Laisser un commentaire

avatar
  S’abonner  
Notifier de