Politique de confidentialité

politique de confidentialité

Une politique de confidentialité est un contrat qui décrit comment une société retient, traite, publie et efface les données transmises par ses clients. Par exemple, un site web qui exige une inscription pour participer activement à ses forums devrait offrir une telle politique pour les données à caractères personnels qui lui sont confiées : âge, sexe, niveau d’études, etc.

Politique de confidentialité site internet

La politique de confidentialité est en réalité un document ou un contrat qui explique en détail le mode de collecte, le classement, le traitement ainsi que la publication et la suppression des données à titre personnel transmises par les utilisateurs dans le cadre d’une relation commerciale.

Par exemple, un auto-entrepreneur en informatique, une SAS en immobilier ou encore un site Internet qui nécessite une inscription préalable avant l’utilisation doit fournir une politique concrète pour la manipulation des données personnelles que le client lui confie. Cette étape est mise en place dans le but d’obtenir le consentement de la personne concernée.

Cette politique est adoptée dans le cadre du RGPD et de la loi dite « informatique et libertés » pour garantir une information concise, transparente et compréhensible pour le client ou l’utilisateur qui transmet ses informations à caractère personnel. Elle permet aux personnes concernées de :

  • connaître les raisons de la collecte d’information personnelle ;
  • s’informer sur les procédés de traitement appliqués à leurs données ;
  • vérifier la sécurité de leurs données sensibles ;
  • faciliter l’exercice de leurs droits.

Dans le cadre de cette politique de confidentialité, le client fournit à la société ou au site, ainsi que ses mandataires, son consentement pour recueillir, utiliser ou communiquer certains renseignements personnels conformément à la loi relative à la protection des données.

En bref, la politique de confidentialité permet de renforcer la confiance mutuelle existant entre l’utilisateur et l’entreprise de traitement des données. En fournissant des informations concrètes, compréhensibles et facilement accessibles, le niveau de confiance des clients est renforcé et une protection concrète est apportée aux données sensibles.

politique de confidentialité

Politique de confidentialité site internet obligatoire

Une politique de confidentialité (Privacy Policy en anglais) est un exposé écrit de toutes les mesures que doit prendre une entreprise ou une organisation, afin de garantir à ses clients ou utilisateurs sécurité et utilisation appropriée des données qui ont été recueillies dans le cadre de la relation commerciale. De plus, la déclaration de protection des données fournit des informations sur la manière dont ces dernières sont collectées, stockées et utilisées et si, ou comment, elles sont transmises à des tiers.

Obligations légales

De nombreuses dispositions légales sont applicables dans le cadre de la politique de confidentialité. Il s’agit notamment de :

  • la loi n°2004-575 du 21 juin 201 pour la confiance dans l’économie numérique ;
  • la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et libertés; modifiée par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles pour les questions de traitement de données à caractères personnels ;
  • le règlement européen 2016/679 du Parlement européen et du Conseil ou RGPD. Cette dernière constitue d’ailleurs la base des formalités de traitement des données personnelles.

Dans quel cas établir une politique de confidentialité ?

Dans le cadre de l’application du RGPD, la politique de confidentialité doit être établie :

  • Quand les données à caractère personnel sont collectées directement auprès de leur propriétaire via des formulaires, des contrats, des documents d’ouverture d’un compte bancaire ou encore un achat en ligne.
  • Quand les renseignements sont recueillis via des dispositifs d’observation de l’activité des personnes comme la vidéosurveillance, l’analyse de la navigation sur Internet et toute autre technologie de ce type.
  • Quand les informations personnelles ne sont pas directement fournies par le propriétaire des informations, mais collectées via la base de données d’un partenaire commercial, d’un data brokers ou d’une source ouverte à tout public.

Quelles données sont concernées ?

Les données concernées par les dispositions relatives à la politique de confidentialités sont celles qualifiées par l’Institut national des normes et de la technologie ou INNT, d’informations personnelles identifiables, c’est-à-dire :

« Toute information sur une personne gardée par une société permettant d’identifier une personne physique ou morale : nom et prénom ou dénomination sociale, numéro de sécurité sociale, date et lieu de naissance et les données biométriques. Cela peut également concerner toute autre information liée ou pouvant être directement liée à un individu. Il peut s’agir des données de santé, éducatives, financières et professionnelles. »

Toutefois, les dispositions du RGPD ne concernent pas les documents classés par l’INNT comme donnée non privée telle que :

« Toute information susceptible de correspondre à une personne, mais insuffisants pour identifier, contacter ou localiser directement la personne concernée par les renseignements ». Il peut s’agir :

  • des informations du plug-in du navigateur ;
  • du fuseau horaire local ;
  • du navigateur utilisé ;
  • de l’historique de navigation et la fréquence d’utilisation d’un certain site ;
  • du dispositif utilisé ;
  • ainsi que de la préférence de langue.

Politique de confidentialité (cnil)

En théorie, l’organisme responsable de la manipulation de donnée est tenu d’informer les utilisateurs et les clients de la collecte et de la protection de leurs données contre toute violation dès le début du processus d’utilisation. Cela doit se faire suivant les règles imposées par le RGPD.

Les informations obligatoires

Pour être conforme au RGPD, cette déclaration doit contenir :

  • l’identité et les coordonnées de l’organisme et du responsable du traitement de données ;
  • le but de la collecte: à quoi serviront les données collectées ;
  • les bases légales qui donnent droit à l’organisme de collecter et de traiter les renseignements personnels de l’utilisateur (contrat, consentement de la personne concernée…) ;
  • l’importance de la collecte (collecte obligatoire ou facultative). Cette clause est établie dans le but de permettre à la personne concernée de réfléchir à l’utilité de la collecte, aux détails qu’elle va fournir ainsi qu’aux conséquences en cas de non-fourniture des informations. Cela est également nécessaire dans la mesure où la minimisation des données est devenue une nécessité pour leur sécurité ;
  • les catégories de destinataires des données, c’est-à-dire toutes les personnes et organismes qui ont besoin d’accéder aux données (responsables informatiques, sous-traitants, associations…) ;
  • le délai de conservation des données et les conditions de suppression ;
  • le droit des personnes concernées, notamment le droit d’accès, de modification, de suppression et de limitation applicable pour tous traitements ;
  • les coordonnées du délégué (DPO) désigné par l’organisme pour la protection des données et les points de contact sur les questions de protection des données personnelles si l’organisme n’a pas désigné un délégué ;
  • les droits de réclamation auprès de la CNIL.

En cas de collecte indirecte, la déclaration de protection doit également contenir la catégorie des données recueillies et les sources utilisées pour la récupération.

Les informations facultatives variant suivant la situation

Outre les mentions obligatoires, la déclaration de politique de confidentialité doit aussi contenir quelques informations selon les cas :

  • Si le traitement des données est basé sur l’intérêt légitime, le document doit relater le contenu de cet intérêt. Il doit par exemple définir les dispositifs établis pour prévenir les fraudes.
  • Les raisons pour lesquelles la collecte de données est nécessaire.
  • Dans l’éventualité d’un transfert des renseignements vers d’autres pays en dehors de l’Union européenne ou vers une organisation internationale, la déclaration de la politique de confidentialité doit détailler l’existence et les modalités ainsi que les garanties relatives à cette expatriation. Dans ce cas de figure, elle doit également mentionner la possibilité de consultation des documents par l’organisme situé hors de l’UE.
  • Si l’organisme adopte une politique de prise de décision automatisée ou un profilage suivant les données fournies, il s’avère utile d’émettre les informations nécessaires pour la compréhension du fonctionnement de l’algorithme et des conséquences par le propriétaire des renseignements.
  • Dans le cas où la base légale du traitement est le consentement des personnes intéressées, la politique doit expliquer en détail les droits au retrait de consentement de la personne si certaines clauses du contrat ne sont pas respectées. C’est également le cas pour le droit d’opposition et le droit à la portabilité.

Règles générales de la rédaction de la politique de confidentialité

La rédaction de la politique de confidentialité doit formellement se conformer aux règles imposées par le RGPD. Selon cette disposition légale, les informations doivent être fournies de façon concise, compréhensible et transparente. Afin de vous aider dans l’établissement de votre déclaration, voici quelques conseils :

  • Rédigez les textes de manière simple et compréhensible par le grand public. Utilisez des mots simples en évitant les termes juridiques et techniques. Faites des phrases courtes avec un style rédactionnel direct.
  • Formulez les informations suivant le public ciblé. Pour les sites accessibles aux enfants et aux personnes sensibles, optez pour une technique de communication plus explicite. Par exemple pour vous adresser aux enfants, vous pouvez utiliser des vidéos d’animation ou des dessins animés pour transmettre facilement les informations.
  • Les informations doivent aussi être communiquées de manière concise, succincte et efficace pour faciliter la compréhension. Pour cela, vous devez aérer le texte en faisant des phrases courtes. Pour éviter que la personne se perde dans la lecture, mettez en relief les informations importantes en évitant de faire de longues phrases.
  • L’organisme doit aussi assurer la facilité d’accès aux informations concernant la politique de confidentialité. Les utilisateurs ne doivent pas avoir à chercher pour trouver les informations qui lui sont nécessaires. Pour ce faire, il convient de structurer les informations pour qu’elles soient immédiatement accessibles et ne soient pas confondues avec les informations non relatives à la protection des données.
  • Les techniques utilisées doivent être adaptées au contexte et aux modalités d’interactions avec les personnes. L’organisme peut alors user de différents outils et techniques pour faciliter l’accès aux informations.

La meilleure manière de présenter une politique de confidentialité est la structuration des informations par ordre d’importance. Afin de faciliter la compréhension et optimiser la lisibilité du document, il est donc conseillé de privilégier l’approche en plusieurs niveaux en mettant en exergue les informations essentielles sans négliger les informations secondaires.

Pour ce faire, vous devez prioriser les informations relatives à l’identité du responsable de traitement, les finalités et les droits des personnes, et mettre en second plan les informations variables suivant la situation.

Pour l’environnement numérique, il est plus facile de structurer les informations via différents canaux au fur et à mesure de l’avancée de l’utilisateur sur la plateforme ou sous forme de notice ou encore de lien qui mène vers une page spécialement dédiée à cet effet. Dans ce cas de figure, les informations principales sont fournies au moment de la création du compte ou directement sur la page d’inscription.

Toutes les pages doivent aussi contenir des liens menant à la page relative à la politique de confidentialité. De cette manière, les utilisateurs pourront naviguer sur la plateforme et obtenir des informations détaillées et descriptives des différentes clauses de la déclaration.

Si votre politique de confidentialité concerne plusieurs catégories d’informations, pensez à classifier les informations nécessaires dans un seul document ou un espace spécialisé de votre site web. Cependant, veillez toujours à garantir la facilité de lecture et de compréhension du document.

Le cas particulier des sites de e-commerce

Comme nous l’avons dit précédemment, les boutiques en ligne sont particulièrement visées par cette règlementation. Elles sont incitées à rédiger des conditions générales de vente afin de préciser la responsabilité de chacune des parties dans les transactions. Par ailleurs, la loi Hamon du 14 mars 2014 relative à la consommation renforce les droits des consommateurs, rendant les CGV encore plus indispensables.

Beaucoup de sites Internet proposent des modèles de CGV mais aussi des générateurs. Ces sites vous permettront de ne pas commettre d’impasse.

Voici une sélection de modèles gratuits :

  • Le site de l’Express
  • Le site de données personnelles
  • La CCI de Paris Ile-de France

Voici un générateur de conditions générales (payant) qui pourra vous aider : Creanico. L’offre inclut les CGU ainsi qu’un formulaire de rétractation, obligatoire depuis la loi Hamon.

Les générateurs et les modèles constituent un bon moyen de rédiger une déclaration de protection des données pour son propre site Web. Cependant, vous ne devez pas non plus faire aveuglément confiance au résultat. Les modèles représentent une base qui doit souvent être modifiée individuellement. Si cela vous paraît trop compliqué ou si vous n’êtes pas sûr que votre déclaration de protection des données soit correcte et compréhensible, nous vous recommandons de bénéficier du conseil d’un expert.

Quelles sont les peines encourues ?

Si ces obligations de protection des données ne sont pas respectées, les peines sont variables, allant du simple avertissement à une condamnation de cinq ans d’emprisonnement et de 300 000 euros d’amende en vertu de l’article 226-17 du Code pénal.

Exemples de sanctions

Pour illustrer ce propos, nous pourrions citer l’affaire du site entreparticuliers.com. Le site avait fait l’objet d’une plainte par un client dont les données avaient été divulguées sans son accord. La CNIL a alors été saisie et a constaté que la page Web n’avait défini aucune politique de conservation de l’ensemble des données, laissant place à des dysfonctionnements en ce qui concerne les informations bancaires. Suite à cette plainte, la CNIL a prononcé un avertissement public et a exigé de l’entreprise le respect de la loi informatique et libertés.

Il faut également s’attendre à ce que l’interprétation juridique encore très incohérente prendra bientôt fin, dès que le nouveau règlement général sur la protection des données (RGPD) sera intégré comme facteur de base dans les décisions juridiques futures. Le règlement restreint non seulement le champ d’application en termes d’obligations de déclaration de protection des données et de formulation, mais augmente également le champ d’application des amendes éventuelles jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel réalisé dans le monde entier (le montant le plus élevé étant retenu).

À retenir

Contenu et intégration de la déclaration de protection des données ? En théorie, vous êtes tenus, en tant qu’opérateurs de site Web, d’informer vos utilisateurs de la collecte et la protection de leurs données personnelles dès le début du processus d’utilisation. En pratique, cela est bien sûr difficile avec un site Web, il suffit donc de présenter les informations en même temps que la collecte. Tout comme les mentions légales, la déclaration de protection des données doit être simple et accessible depuis chaque page. Pour ce faire, il convient de créer une sous-page séparée pour la déclaration de la protection des données, qui peut être consultée à tout moment par le biais d’un lien. En outre, il faut s’assurer que les liens établis à cet effet ne sont pas couverts pas d’autres éléments tels que les bannières et que la déclaration de protection des données soit visible dans les différents navigateurs et sur tous les supports (PC, tablette, smartphone etc.).

Politique de confidentialité exemple

Les mentions d’informations contenues dans la politique de confidentialité varient d’un cas à l’autre. Toutefois, certaines sont obligatoires dans cette déclaration. L’affichage de ces informations est nécessaire afin de garantir la transparence des traitements et la traçabilité des opérations effectuées. En voici quelques exemples :

  • Les données de contact des représentants de l’organisme responsable du traitement ou du sous-traitant. En plus du nom, l’adresse postale et électronique et le numéro de téléphone du représentant doivent être mentionnés. Exemple : « La société A est une entreprise basée en France et qui s’occupe des activités… ».
  • Le cas échéant, les coordonnées du délégué à la protection des données.
  • La finalité du traitement et base juridique. Exemple « Vos données sont collectées pour.. ».
  • Les destinataires. Exemple : « la manipulation de ces documents est exclusivement réservée à… ».
  • La durée de conservation ou les critères pour la déterminer. Exemple : « elles seront conservées pendant… ».
  • Le droit des personnes. Exemple : « vous disposez d’un droit de…. ».
  • Les catégories des données indirectement collectées. Exemple : Les renseignements ainsi recueillis sont vos données d’identification, l’intitulé de votre poste et vos coordonnées professionnels.
  • La source des données indirectement collectées.

Autres articles :

Formulaire de contact :