Face au développement des services en ligne, l’Union européenne a adopté en 2018 le Règlement Général de la Protection des Données (RGPD). Il encadre la collecte et le traitement des données personnelles des utilisateurs. L’un des éléments clés de cette réglementation européenne est la politique de confidentialité. De quoi s’agit-il ? Pourquoi et comment établir une politique de confidentialité conforme au RGPD ? Voici les réponses à ces questions.
Qu’est-ce qu’une politique de confidentialité ?
Il s’agit d’un document détaillant les procédés de traitement des données personnelles de chaque utilisateur par un service en ligne, une application mobile ou un site web.
Sont expliqués en détail le mode de collecte et le traitement des données à caractère personnel, mais également leur classement et les modalités de publication et de suppression.
Attention : même si les 2 sont obligatoires pour un service en ligne, il ne faut pas confondre politique de confidentialité et mentions légales. Ces dernières permettent aux utilisateurs d’identifier les personnes (morales ou physiques) chargées de l’édition et du fonctionnement du site professionnel, tout en leur donnant les moyens de prendre contact avec elles. La politique de confidentialité fait généralement l’objet d’une page dédiée pour informer les utilisateurs de l’usage de leurs données personnelles.
Quelles sont les données concernées ?
Il s’agit uniquement des données à caractère personnel, c’est-à-dire l’ensemble des informations permettant d’identifier de manière directe ou indirecte une personne physique.
Sont considérés comme données personnelles le nom et prénom de la personne, mais aussi sa date de naissance, son adresse et toutes les informations relatives à sa santé (numéro de sécurité sociale), sa religion, sa situation professionnelle ou financière.
Qui doit la rédiger ?
L’obligation d’établir une charte de confidentialité concerne les géants d’internet (Amazon, Google…), mais également tout organisme qui collecte et traite des données à caractère personnel : particuliers, entreprises, administrations, associations…
Quels que soient la taille, le statut juridique et le secteur d’activité, le site web doit se conformer aux obligations imposées en matière de protection des données personnelles européennes.
Pour quelles raisons établir une politique de confidentialité en conformité avec le RGPD ?
Parce qu’il s’agit d’une obligation réglementaire de l’Union européenne !
En effet, depuis 2018, la politique de confidentialité doit être menée en conformité au RGPD à partir du moment où :
- La collecte des informations personnelles se fait de manière directe par le propriétaire du site via différents moyens : contrats, formulaires, achats en ligne, documents d’ouverture d’un compte bancaire…
- Les données personnelles sont recueillies grâce à des dispositifs de surveillance des personnes : analyse de la navigation en ligne, vidéosurveillance ou toute autre technologie du même type.
- L’obtention des données est réalisée indirectement via la base de données d’un courtier en données, d’un partenaire commercial ou d’une source accessible au public.
Les sanctions
Les autorités concernées se sont donné les moyens de convaincre les organismes de l’intérêt de mettre en conformité au RGPD leur politique de confidentialité.
En France, en cas de non-respect des dispositions relatives au RGPD, ils s’exposent à des sanctions pécuniaires prononcées par la CNIL (Commission Nationale de l’Informatique et des Libertés à Paris). Elles prennent la forme d’amendes pouvant représenter jusqu’à 4 % du chiffre d’affaires mondial pour une administration ou d’une société et jusqu’à 20 millions d’euros pour une personne physique. Des poursuites pénales peuvent également être engagées.
Une preuve de confiance pour les utilisateurs
Cette mise en conformité permet également de renforcer la confiance entre les internautes et l’entreprise collectant leurs données personnelles.
Qu’il s’agisse de clients ou de simples utilisateurs, la politique de confidentialité d’un site internet permet à chaque personne concernée de :
- Avoir connaissance des raisons de cette collecte.
- Savoir quels sont les procédés de traitement appliqués.
- S’assurer que leurs données sensibles sont bien protégées.
- Connaître l’exercice de leurs droits.
Les éléments clés pour rédiger une politique de confidentialité conforme au RGPD
Pour être en conformité au RGPD concernant les données à caractère personnel collectées et traitées, le document rédigé doit répondre à plusieurs impératifs.
Les mentions obligatoires
Si la collecte des données personnelles est assurée de manière directe, votre charte de confidentialité doit contenir différentes mentions d’informations imposées par le RGPD, à savoir :
- L’identité et les coordonnées : de l’organisme (propriétaire de l’application ou du site), du responsable du traitement des données et du délégué à la protection des données (DPO) s’il y en a un
- L’objectif visé par cette collecte
- Les bases légales (consentement donné ou signature d’un contrat) permettant la collecte et le traitement des données
- Le caractère facultatif ou obligatoire de la collecte réalisée. Par exemple, un site e-commerce doit obligatoirement collecter le nom, prénom et adresse postale du client pour effectuer la livraison de l’achat réalisé en ligne.
- Les différentes catégories de personnes amenées à accéder aux données : responsables informatiques, associations, sous-traitants…
- La durée de conservation des données et les conditions de suppression
- Le droit des personnes concernées sur leurs données personnelles : accès, modification, suppression, portabilité
- Les droits de réclamation auprès de la Commission Nationale de l’Informatique et des Libertés.
Pour toutes les données personnelles collectées de manière indirecte, il faut également préciser la catégorie des informations recueillies et les sources utilisées pour les récupérer.
Les mentions facultatives
Dans certaines situations spécifiques, il faut ajouter d’autres mentions.
Par exemple, si les données des utilisateurs sont transférées hors UE, il convient de préciser les modalités de traitement et les garanties prises dans le cadre de ce transfert.
Autre cas de figure : si l’organisme se sert des données collectées pour procéder à un profilage, il doit indiquer le fonctionnement de l’algorithme utilisé ainsi que les conséquences relatives à ce traitement.
Bon à savoir : pour vous aider, vous trouverez sur internet plusieurs sites proposant un modèle de politique de confidentialité. Veillez à ce qu’il comporte bien les mentions obligatoires et facultatives correspondant à votre situation. Consultez aussi notre article : “Clauses contractuelles types (CTT) : pourquoi et comment les utiliser ?“.
Les bonnes pratiques
Le règlement RGPD impose de fournir des informations concises, compréhensibles, transparentes et facilement accessibles.
Pour respecter ces obligations réglementaires, veiller à :
- Utiliser des termes simples, clairs et faciles à comprendre par le grand public. Évitez le jargon juridique trop hermétique pour les non-initiés ou les données techniques trop complexes.
- Vous concentrer sur les principaux éléments formulés de manière succincte. Inutile de noyer l’internaute sous une masse d’informations qui risquerait de nuire à la bonne compréhension du document et à sa transparence.
- Rendre facile d’accès les informations concernant la politique de confidentialité. La bonne option est de placer un lien vers la page dédiée dans le footer (pied de page) de la page d’accueil du site.
Est-il nécessaire de traduire la politique de confidentialité ? Dans le cas d’un site internet multilingue, fournir la traduction de la politique de confidentialité n’est pas une obligation. Pourtant, c’est nécessaire pour répondre aux exigences du RGPD de donner des informations compréhensibles. Il est essentiel de proposer le contenu dans la langue de l’utilisateur pour qu’il puisse en prendre connaissance et le comprendre. Faites appel à une agence specialisée dans la traduction juridique pour éviter les erreurs et obtenir une traduction de qualité.
Lire aussi : Quelles mentions pour un site e-commerce Shopify ?
Pour se mettre en conformité avec le RGPD, il est impératif de rédiger une politique de confidentialité en respectant les règles imposées. C’est non seulement le seul moyen d’éviter d’éventuelles sanctions, mais également une bonne pratique pour renforcer la confiance des utilisateurs envers une boutique en ligne.