Créer une politique de confidentialité RGPD : règles à suivre

L’entrée en vigueur en 2018 du Règlement général sur la protection des données (RGPD) a marqué un tournant dans le renforcement de la protection des données personnelles et des sanctions en cas de violation. Dès lors, la protection des données personnelles est devenue, en quelques années, un enjeu majeur pour toutes les entreprises qui collectent et traitent des données personnelles (adresses e-mail, nom, prénom, date de naissance, données bancaires, adresse postale, etc.).

L’un des principaux objectifs du RGPD est de redonner du pouvoir aux individus sur leurs données personnelles. La meilleur manière d’exercer ce pouvoir est d’avoir connaissance de l’utilisation qui est faite des nos données personnelles. La politique de confidentialité est donc déterminante pour beaucoup d’autres éléments de la conformité RGPD.

Pour tout savoir sur les éléments essentiels d’une politique de confidentialité et la rédiger sois-même, suivez le guide 😉

Pourquoi disposer d’une politique de confidentialité sans tarder ?

Pour vous assurer d’être en conformité au RGPD

L’un des principaux droit accordés aux personnes est celui d’être informés de manière transparente sur l’utilisation qui est faite de leurs données personnelles. Ce droit se manifeste par l’obligation pour chaque organisme de faire preuve de transparence à travers une politique de confidentialité qui permettent à chaque individu de connaître exactement la manière dont sont traitées ses données personnelles.

Le public est désormais plus averti sur ces questions. Selon un sondage Eurobaromètre, 92% des Européens considèrent la protection des données personnelles comme un droit fondamental. Les entreprises qui prennent au sérieux la confidentialité et la sécurité des données gagnent en réputation et en confiance auprès de leurs clients et partenaires. Une politique de confidentialité, rédigée avec clarté et transparence est vecteur de réassurance pour vos interlocuteurs.

Sachez également qu’en cas de contrôle par les autorités comme la Commission Nationale de l’Informatique et des Libertés (CNIL), la toute première action menée est un contrôle à distance par l’intermédiaire de votre site web. L’absence d’une politique de confidentialité est un très mauvais indicateur et viendra déclencher un contrôle plus approfondi. La présence et la qualité de votre politique de confidentialité est donc indispensable pour garantir la sécurité juridique de votre entreprise.

Pour déclencher des opportunités business

Le RGPD a dépassé le statut de simple contrainte réglementaire pour devenir un élément essentiel dans la conquête de nouveaux marchés et la fidélisation de vos clients actuels. Les audits Privacy se sont grandement généralisés notamment dans le cadre d’appel d’offre. Les entreprises qui sont capables de démontrer aisément leur conformité RGPD, du moins celles qui sont capables de l’afficher, présentent un atout concurrentiel majeur. En effet, beaucoup de grands comptes ne souhaitent pas s’associer avec une entreprise qui ferait l’objet de plaintes d’utilisateurs ou d’une amende de la CNIL.

Les entreprises qui démontrent leur conformité au RGPD renforcent leur image auprès de leurs partenaires et clients potentiels. La première porte d’entrée pour opérer ce type d’audit est en premier lieu la politique de confidentialité. Ce document permet d’avoir une vision rapide des traitements qui sont opérés et des engagements pris par l’organisme au titre de la protection des données personnelles et du RGPD.

Comment rédiger une politique de confidentialité ?

Les prérequis

Avant de pouvoir communiquer sur les éléments essentiels de vos traitements de données personnelles, il convient d’avoir une idée des traitements que vous opérez.

💡Pour rappel, l’article 4 du RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée directement (par exemple, par ses nom et prénom, son adresse IP ou postale) ou indirectement (par exemple, par un identifiant en ligne ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle, sociale résultant d’un profilage ou encore son emplacement géographique en cas de géolocalisation). En d'autres termes, si une information peut être utilisée pour identifier une personne, directement ou en combinaison avec d'autres données, cette information est considérée comme une donnée personnelle.

💡Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle.

Ainsi, il convient d’avoir construit son registre de traitement de données personnelle au préalable.   Pour cela, suivez ces trois étapes indispensables :

• Cartographiez vos données personnelles : quelles données personnelles, dans quels outils pour identifier d’éventuelles données sensibles.
• Construisez votre registre des traitements de données personnelles. Déclarez pourquoi vos collectez ces données (la finalité), sur quel fondement légal (consentement, contrat, intérêt légitime, loi), et pendant combien de temps vous les conservez.
• Aidez-vous d’un logiciel RGPD.

Pour en savoir plus, consultez notre guide et/ou notre livre blanc sur les 10 étapes pour se mettre en conformité.

Le contenu

La page de politique de confidentialité doit être facilement accessible sur votre site web et contenir plusieurs éléments clés pour être conforme au RGPD. Voici les informations qui doivent a minima être indiquées au sein de votre politique de confidentialité (article 13 du RGPD) :

• Identité et coordonnées des personnes responsables des données : cette obligation inclut à la fois les coordonnées du responsable de traitement, c’est-à-dire votre entreprise en tant que personne morale ainsi que votre délégué à la protection des données (DPO), si vous en avez un.
• Types de données collectées : Vous devez spécifier les types de données personnelles que vous collectez. Cela peut inclure, par exemple, des noms, des adresses email, des adresses IP, des données d'usage, etc.
• But de la collecte de données : Vous devez expliquer clairement pourquoi vous collectez ces données, pour quelles finalités. Cela peut inclure, par exemple, la fourniture de services, la vente d’un produit, la communication avec les utilisateurs, l’envoi d’une newsletter, la connexion à son espace personnel, l'amélioration de vos services, etc.
• La base légale de traitement des données : vous devez également informer les utilisateurs et clients de la base juridique sur laquelle vous vous appuyez pour chaque traitement de données : le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.
• Partage des données : Vous devez indiquer avec qui vous partagez ces données. Cela peut inclure, par exemple, des prestataires externes, des partenaires commerciaux, des sous-traitants, etc. Si vous transférez vos données aux Etats-Unis (par exemple, dans le cadre du stockage des données sur un Cloud), vous devez également respecter certaines obligations particulières et l’indiquer dans votre politique de confidentialité.
• Durée de conservation des données : Vous devez préciser combien de temps vous conservez les données. L’un des principes phares du RGPD est qu’une entreprise doit conserver les données personnelles uniquement le temps nécessaire à la réalisation de l'objectif pour lequel elles ont été collectées.
• Droits des utilisateurs : Il est crucial d'informer les utilisateurs de leurs droits en vertu du RGPD, notamment leurs droits d'accéder à leurs données (article 15 RGPD), de les corriger (article 16 RGPD), de demander leur suppression (article 17 du RGPD), de s'opposer à leur traitement pour une finalité précise (article 21 du RGPD) et de demander leur portabilité (article 20 du RGPD).
• Sécurité des données : Vous devez expliquer comment vous protégez les données collectées. Cela peut inclure des mesures techniques (comme l’anonymisation, la pseudonymisation) et des mesures organisationnelles (comme la sensibilisation du personnel).
• Les droits de réclamation : vous devez informer les internautes de leur possibilité d’introduire une réclamation auprès de la CNIL.

Cette liste des informations à indiquer n’est pas exhaustive. Elle doit être ajustée en fonction du type de site web, que ce soit un blog, une plateforme de e-commerce, un site vitrine ou encore de fourniture de services. Plus vous traitez un grand volume de données personnelles, plus vous devrez détailler votre politique de confidentialité. Vous devez aussi y accorder une importance particulière si vous traitez des données sensibles (par exemple, des données de santé).

Pensez à rédiger chacune des parties de votre politique de confidentialité de manière claire et simple. Les utilisateurs doivent pouvoir comprendre facilement leurs droits et les pratiques de votre entreprise en matière de gestion des données.

Le cas particulier du profilage

Cette politique RGPD revêt une importance particulière lorsque les traitements opérés ont pour objet le profilage. Tel peut être le cas lorsque votre organisme opère des croisements de données par l’intermédiaire de données de vos partenaires ou provenant des réseaux sociaux. Le but est généralement de pouvoir, par la suite, adresser des publicités ciblées correspondant avec précision aux besoins et intérêts des internautes. Le profilage peut ainsi permettre à différents acteurs (par exemple, Google, Facebook, Instagram, etc.) de réaliser un profilage très fin sur vos utilisateurs.

Les entreprises et les sites web utilisent le profilage pour différentes raisons. Cela peut aller de la personnalisation de l'expérience utilisateur à la publicité ciblée. Pour ce faire, elles peuvent recueillir divers types de données, notamment :

• Données comportementales : Il s'agit des informations sur la façon dont un utilisateur interagit avec un site web, y compris les pages visitées, le temps passé sur chaque page, les clics, etc. Ces données peuvent être collectées à l'aide de technologies telles que les cookies, les pixels et le suivi par balises web.
• Données démographiques : Cela peut inclure des informations comme l'âge, le sexe, la profession, l'éducation, etc.
• Données de localisation : Les sites web peuvent utiliser les adresses IP, les données de géolocalisation des appareils mobiles et d'autres technologies pour déterminer l'emplacement géographique de l'utilisateur.
• Données sur les appareils : Les sites web peuvent également recueillir des informations sur l'appareil utilisé pour accéder au site, telles que le type d'appareil, le système d'exploitation, le navigateur, etc.

Pour respecter les obligations du RGPD, la politique de confidentialité d'un site web qui réalise du profilage (défini à l’article 4 du RGPD) doit :

• Clairement informer les utilisateurs de cette pratique ;
• Expliquer quels types de données sont collectées pour le profilage ;
• Comment celles-ci sont utilisées et stockées ;
• Et quels sont les droits des personnes. Cela inclut, par exemple, le droit de l'utilisateur à s'opposer au profilage, en particulier lorsque celui-ci est utilisé à des fins de marketing direct.

Lois et sanctions concernant la politique de confidentialité

Le non-respect des obligations du RGPD peut entraîner des sanctions très lourdes. Les amendes peuvent atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial total de l'entreprise pour l'exercice précédent, le montant le plus élevé étant retenu.

Si la CNIL avait déjà averti l’entreprise à plusieurs reprises et que cette dernière a refusé de se mettre en conformité, la sanction peut même être rendue publique. L’impact en termes de réputation et d’images auprès des clients, partenaires ou encore fournisseurs peut être très important.

💡En plus des amendes prononcées par la CNIL, certains manquements à la protection des données personnelles peuvent être condamnés au titre du Code pénal (articles 226-16 et suivants du Code pénal). L’amende peut aller jusqu’à 300 000 euros (pour les personnes physiques) et 1,5 million d’euros (pour les personnes morales). Des peines de prison peuvent aussi être prononcées (jusqu’à 5 ans d’emprisonnement).

Voici quelques exemples pour lesquels vous pouvez être condamné dans le cadre d’une politique de confidentialité non-conforme au RGPD :

• Absence d’information des personnes concernées ou informations confuses ;
• Défaut d’informations claires sur les droits des personnes ou refus d’y faire droit ;
• Collecte de données personnelles plus importante que ce qui est indiqué dans votre Politique de confidentialité ou traitements réalisés pour des finalités qui n’y sont pas mentionnées ;
• Etc.

⚠️Généralement, dès lors que l’un des principes fondamentaux du RGPD n’est pas respecté par votre entreprise (article 5 du RGPD), le risque que la sanction soit lourde est important.

Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !