Skip to content

Rédiger une politique de confidentialité conforme au RGPD

Rédiger une politique de confidentialité conforme au RGPD

La politique de confidentialité est un élément clé permettant de respecter le RGPD. En effet, face à l’importance grandissante du recueil des données personnelles, il est devenu primordial de sécuriser ces informations via une politique de protection cohérente.

C’est pourquoi, le RGPD a été adoptée au sein de l’Union européenne afin de sécuriser les données collectées et exploitées par les sites Internet.

Politique de confidentialité : de quoi s’agit-il ?

La politique de confidentialité est un document expliquant en détail les modalités de traitement des données personnelles dans le cadre d’une relation commerciale.

Ainsi, cela concerne les opérations de traitement de données telles que :

  • la collecte,
  • le classement,
  • le traitement,
  • la publication et la suppression des données.
Bon à savoir : un auto-entrepreneur en informatique, une SAS en immobilier ou encore un site de e-commerce doivent fournir une politique de confidentialité à leurs clients.

La politique de confidentialité doit être conforme au Règlement Général sur la Protection des Données (RGPD). Celui-ci trouve son application au sein de la loi “Informatique et libertés”. Ainsi, la politique de confidentialité a pour but de garantir une information concise, transparente et compréhensible aux clients.

Elle permet donc aux personnes concernées de :

  • connaître les raisons de la collecte d’information personnelle ;
  • s’informer sur les procédés de traitement appliqués à leurs données ;
  • vérifier la sécurité de leurs données sensibles ;
  • faciliter l’exercice de leurs droits.
Attention : Dans le cadre de la politique de confidentialité, la société doit veiller à recueillir le consentement explicite requis par le RGPD. En effet, le client doit donner son accord pour la collecte, l’utilisation et la communication de ses données.

Quelles données sont concernées ?

Les données concernées par les dispositions relatives à la politique de confidentialités sont les données personnelles. Celles-ci se définissent par des informations permettant d’identifier directement ou indirectement une personne physique.

A noter : Il peut s’agir du nom, prénom ou date de naissance d’une personne. Cela concerne également les données de santé, éducatives, financières et professionnelles.

Toutefois, les dispositions du RGPD ne concernent pas les données personnelles ne permettant pas d’identifier la personne concernée. Il peut ainsi s’agir :

  • des informations du plug-in du navigateur ;
  • du fuseau horaire local ;
  • du navigateur utilisé ;
  • de l’historique de navigation et la fréquence d’utilisation d’un certain site ;
  • du dispositif utilisé ;
  • ainsi que de la préférence de langue.

Qui doit s’y conformer ?

Il peut être difficile de déterminer qui est concerné par le RGPD. Toutefois, la politique de confidentialité est imposée à tout organisme qui collecte et manipule des données à caractère personnel. En effet, dans le cadre du RGPD, les sociétés, sites web, associations et sous-traitants qui collectent et traitent des données personnelles européennes doivent se conformer à ces dispositions.

Bon à savoir : La taille, le secteur d’activité et le statut juridique de l’entreprise n’évitent en aucun cas de la mise en place d’une politique de confidentialité. Ainsi, même les géants d’Internet comme Google, Facebook et Amazon sont concernés par ce règlement.

Pourquoi établir une politique de confidentialité conforme au RGPD ?

La politique de confidentialité permet aux entreprises de se mettre en conformité avec le RGPD. Il est toutefois utile de déterminer les situations dans lesquelles la rédaction d’une politique de confidentialité est requise.

Dans quel cas établir une politique de confidentialité ?

Dans le cadre de l’application du RGPD, la politique de confidentialité doit être établie lorsque :

  • les données à caractère personnel sont collectées directement auprès de leur propriétaire. La collecte s’effectue via des formulaires, des contrats, des documents d’ouverture d’un compte bancaire ou encore un achat en ligne.
  • les renseignements sont recueillis via des dispositifs d’observation de l’activité des personnes. Il peut s’agir de vidéosurveillance, d’analyse de la navigation sur Internet et toute autre technologie de ce type.
  • les informations personnelles ne sont pas directement fournies par le propriétaire des informations, mais collectées via la base de données d’un partenaire commercial, d’un data brokers ou d’une source ouverte à tout public.

À quel moment établir une politique de confidentialité ?

Le recueil des données sans donner les informations nécessaires concernant le traitement qui s’ensuit est punissable par la loi. Ainsi, une politique de confidentialité doit être établie dès que la société ou le site web envisage de collecter de manière directe ou indirecte les données personnelles de ses clients ou utilisateurs.

Bon à savoir : À chaque modification des procédés appliqués pour la manipulation des données, une mise à jour du document doit être faite afin d’informer les personnes concernées. Cela s’inscrit dans le respect du principe d’accountability.

Par ailleurs, les organismes qui ne se conforment pas aux dispositions de la RGPD encourent des sanctions, notamment des amendes qui peuvent aller jusqu’à 4% de leur chiffre d’affaires global.

En outre, l’organisme qui manipule les données personnelles doit informer la personne concernée en cas de modification dans le cadre d’un événement particulier. Ainsi, toute modification doit être notifiée au propriétaire des informations, aussi infime soit-elle.

Que doit contenir une politique de confidentialité conforme au RGPD ?

En théorie, le responsable de traitement des données est tenu d’informer les utilisateurs et les clients de la collecte et de la protection de leurs données. Cela doit se faire suivant les règles imposées par le RGPD.

Les informations obligatoires

Pour être conforme au RGPD, cette déclaration doit contenir :

  • l’identité et les coordonnées de l’organisme et du responsable du traitement de données ;
  • le but de la collecte ;
  • les bases légales : elles donnent droit à l’organisme de collecter et de traiter les renseignements personnels de l’utilisateur (contrat, consentement de la personne concernée…) ;
  • le caractère obligatoire ou facultatif de la collecte des données ;
  • les catégories de destinataires des données : toutes les personnes et organismes qui ont besoin d’accéder aux données (responsables informatiques, sous-traitants, associations…) ;
  • le délai de conservation des données et les conditions de suppression ;
  • le droit des personnes concernées, notamment le droit d’accès, de modification, de suppression et de portabilité des données ;
  • les coordonnées du délégué à la protection des données (DPO RGPD)  ;
  • les droits de réclamation auprès de la CNIL.

En cas de collecte indirecte, la déclaration de protection doit également contenir la catégorie des données recueillies et les sources utilisées pour la récupération.

Les informations facultatives variant suivant la situation

Outre les mentions obligatoires, la déclaration de politique de confidentialité doit aussi contenir quelques informations selon les cas.

En premier lieu, si le traitement des données est basé sur l’intérêt légitime, le document doit relater le contenu de cet intérêt. Il doit par exemple définir les dispositifs établis pour prévenir les fraudes.

Par ailleurs, si les données sont transférées dans un pays hors de l’UE, la politique de confidentialité doit détailler l’existence et les modalités ainsi que les garanties relatives à ce transfert. Elle doit également mentionner la possibilité de consultation des données par l’organisme situé hors de l’UE.

De plus, si l’organisme procède au profilage, il s’avère utile d’émettre les informations nécessaires pour la compréhension de l’algorithme et des conséquences.

A noter : Lorsque la base légale du traitement est le consentement, la politique de confidentialité doit expliquer en détail les droits au retrait du consentement.

Règles générales de la rédaction de la politique de confidentialité

La rédaction de la politique de confidentialité doit se conformer aux règles imposées par le RGPD. Ainsi, les informations doivent être fournies de façon concise, compréhensible et transparente. Afin de vous aider dans l’établissement de votre déclaration, voici quelques conseils :

  • Rédigez les textes de manière simple et compréhensible par le grand public. Utilisez des mots simples en évitant les termes juridiques et techniques.
  • Formulez les informations suivant le public ciblé.
  • Les informations doivent aussi être communiquées de manière concise, succincte et efficace pour faciliter la compréhension.
  • L’organisme doit aussi assurer la facilité d’accès aux informations concernant la politique de confidentialité. Les utilisateurs ne doivent pas avoir à chercher pour trouver les informations qui lui sont nécessaires.

Exemples de mentions d’information

Les mentions d’informations contenues dans la politique de confidentialité varient d’un cas à l’autre. Toutefois, certaines sont obligatoires dans cette déclaration. L’affichage de ces informations est nécessaire afin de garantir la transparence des traitements et la traçabilité des opérations effectuées. En voici quelques exemples :

  • Les données de contact des représentants de l’organisme responsable du traitement ou du sous-traitant. En plus du nom, l’adresse postale et électronique et le numéro de téléphone du représentant doivent être mentionnés. Exemple : « La société A est une entreprise basée en France et qui s’occupe des activités… ».
  • Le cas échéant, les coordonnées du délégué à la protection des données.
  • La finalité du traitement et base juridique. Exemple « Vos données sont collectées pour.. ».
  • Les destinataires. Exemple : « la manipulation de ces documents est exclusivement réservée à… ».
  • La durée de conservation ou les critères pour la déterminer. Exemple : « elles seront conservées pendant… ».
  • Le droit des personnes. Exemple : « vous disposez d’un droit de…. ».
  • Les catégories des données indirectement collectées. Exemple : Les renseignements ainsi recueillis sont vos données d’identification, l’intitulé de votre poste et vos coordonnées professionnels.
  • La source des données indirectement collectées.

Modèle/exemple de politique de confidentialité (conforme RGPD)

Pour que la politique de confidentialité soit conforme au RGPD, elle doit être rédigée suivant des règles particulières. En pratique, le document doit contenir des mentions minimales. Cela peut se faire sur un seul bloc directement sur le support de collecte (sur le formulaire par exemple) ou être divisé en deux sections sur deux supports distincts. Voici deux modèles gratuits de politique de confidentialité conformes au RGPD.

Annexe – Politique de confidentialité RGPD 1 – Modèle Word Gratuit

Annexe – Politique de confidentialité RGPD 2 – Modèle Word Gratuit

FAQ

Qu’est-ce qu’une politique de confidentialité ?

La politique de confidentialité est un document expliquant en détail les modalités de traitement des données personnelles dans le cadre d'une relation commerciale. Celle-ci doit être impérativement conforme au RGPD. Elle permet ainsi de garantir une information concise, transparente et compréhensible aux clients.

Quelles sont les mentions obligatoires d’une politique de confidentialité ?

Plusieurs informations doivent figurer au sein de la politique de confidentialité. Ainsi, les sociétés doivent veiller à insérer des mentions telles que l’identité et les coordonnées de l’organisme et du responsable du traitement de données, le but de la collecte et sa base légale.

Comment rédiger une politique de confidentialité ?

Les informations de la politique de confidentialité doivent être fournies de façon concise, compréhensible et transparente. Il est ainsi conseillé de rédiger les textes de manière simple et compréhensible par le grand public. Par ailleurs, l’organisme doit aussi assurer la facilité d’accès aux informations concernant la politique de confidentialité.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 16/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments