En effet, la réservation d’un nom de domaine représente un indispensable et certainement l’étape la plus importante dans le processus de création d’un site web, qu’il s’agisse d’un blog, d’un site internet professionnel ou d’une boutique en ligne. Cependant, une chose est de connaître un hébergeur et une autre est de connaître sa procédure de […]
La politique de confidentialité : Définition et Rédaction
En tant qu’entreprise ou propriétaire d’un site web, rédiger une politique de confidentialité va permettre de clarifier les attentes de vos utilisateurs ou de vos clients. Également, cela démontre une certaine transparence vis-à-vis d’eux et protège leurs droits.
Au sein de cet article, nous allons voir quelles sont les informations obligatoires et facultatives pouvant être mentionnées dans une politique de confidentialité et quelques conseils de rédaction.
La création de votre site web à partir de 11,99€ / mois avec le Blog du Dirigeant
Qu’est-ce qu’une politique de confidentialité ?
Afin de comprendre les différents enjeux abordés au sein de cet article, il convient d’apporter quelques éléments de définition.
Données personnelles : définition
Une donnée personnelle correspond à toute information se rapportant, directement ou indirectement, à une personne physique identifiée ou identifiable.
L’identification peut être directement établie, en ce sens qu’il s’agit de collecter le nom et/ou le prénom de cette personne.
Elle peut, également, être indirecte dans le sens où il s’agit d’un numéro de téléphone, d’un numéro client, d’une image ou de sa voix.
Cette identification peut être réalisée à partir d’une seule donnée (exemple : le numéro de sécurité sociale de la personne physique) ou du croisement d’un ensemble de données (exemple : une personne physique née tel jour et militant dans telle association).
Le traitement de données personnelles
Le traitement de données personnelles doit, obligatoirement, avoir une finalité. Cela signifie qu’une organisation ne peut pas collecter ou traiter une ou plusieurs donnée(s) personnelle(s) sans déterminer un objectif dans ce traitement. En effet, chaque traitement de données personnelles doit, automatiquement, être assigné à une finalité légale et légitime.
Ainsi, le traitement de données s’apparente à une opération ou plusieurs opérations portant sur des données personnelles. Il peut notamment s’agir d’une opération de collecte, de communication, de consultation ou d’extraction…
Il convient de préciser que le traitement de données personnelles n’est pas nécessairement une opération informatisée, les fichiers et données papiers sont aussi concernés.
Politique de confidentialité
La politique de confidentialité, quant à elle, est un document qui décrit les engagements pris par une entreprise en ce qui concerne le traitement des données personnelles des différents utilisateurs.
Les solutions pour créer un site web à votre entreprise
Quelle est l’utilité d’une politique de confidentialité ?
Ainsi, une organisation va mettre en place une politique de confidentialité afin d’informer ses utilisateurs sur la manière dont leurs données vont être gérées. Il s’agit de garantir une certaine transparence et une relation de confiance dans la manière dont leurs informations vont être traitées.
Le contenu d’une politique de confidentialité
Dans une politique de confidentialité, doivent être inclues des informations obligatoires et des informations facultatives.
Les informations devant obligatoirement figurer dans une politique de confidentialité
Au sein d’une politique de confidentialité, l’entreprise doit, obligatoirement mentionner certaines informations. Celles-ci doivent par ailleurs être conformes aux exigences posées par le RGPD. Il s’agit notamment :
- De l’identité et des coordonnées de l’organisation, ainsi que celles du responsable de traitement ;
- Les coordonnées du délégué à la protection des données (DPO) ;
- La finalité ou l’objectif du traitement de données (il s’agit d’indiquer les raisons de cette collecte de données) ;
- Les bases légales du traitement de données (consentement de l’utilisateur, l’obligation légale, la mission d’intérêt public, l’intérêt légitime, l’obligation contractuelle, la sauvegarde des intérêts vitaux). Ces divers éléments sont énumérés par l’article 6 du RGPD.
- La politique de confidentialité doit préciser si ce recueil de données personnelles a un caractère obligatoire ou facultatif et les conséquences en cas de non-consentement de l’utilisateur à fournir ses données personnelles ;
- Les personnes et organismes ayant besoin d’accéder aux données personnelles (exemple : sous-traitants) ;
- le délai de conservation et les conditions de suppression des données personnelles des utilisateurs ;
- La mention des droits des utilisateurs : La politique de confidentialité de l’entreprise doit, obligatoirement, mentionner les droits des utilisateurs. Il s’agit notamment des droits en matière de confidentialité de données. Ces droits sont notamment ceux affirmer par le RGPD (droit de rectification, droit d’opposition, droit de limitation du traitement, droit d’accès).
- Le droit d’introduire une réclamation auprès de la CNIL
Exemple :
Il est obligatoire de recueillir le consentement de l’utilisateur. Raison pour laquelle, un site internet demande votre consentement pour les cookies informatiques.
Les informations facultatives inclues dans une politique de confidentialité
L’entreprise peut inclure certaines informations supplémentaires dans sa politique de confidentialité.
Tout d’abord, si le traitement de données personnelles repose sur l’intérêt légitime, la politique de confidentialité doit expliquer en quoi consiste cet intérêt légitime.
Également, si les données personnelles des utilisateurs sont transférées vers un pays situé en dehors de l’Union européenne, la politique de confidentialité de l’entreprise doit fournir des informations détaillées sur ce transfert. Elle devra, aussi, indiquer les modalités et les garanties mises en place pour assurer la protection des données personnelles.
Enfin, il devra être fait mention du fait que l’organisme situé en dehors de l’Union européenne peut consulter ces données personnelles.
Qui est tenu de rédiger une politique de confidentialité ?
Il convient de préciser que peu importe le secteur d’activité ou le statut juridique de l’entreprise, la mise en place d’une politique de confidentialité est obligatoire. En effet, la rédaction de ce document est imposée à tout organisme qui va collecter et manipuler les données personnelles de ses utilisateurs. Il peut s’agir de sociétés, d’associations, de sous-traitants et de création de sites internet.
Si l’entreprise ne se met pas en conformité aux dispositions du RGPD, elle peut encourir des sanctions. Plus particulièrement, l’entreprise peut encourir des sanctions administratives et des sanctions pénales.
Sanctions administratives
L’autorité compétente de contrôle, à savoir la Commission nationale de l’informatique et des libertés (CNIL), peut imposer des sanctions administratives à l’égard d’une entreprise qui ne serait pas en conformité avec les dispositions du RGPD. Il peut s’agir :
- d’une amende représentant 2% du chiffre d’affaires de l’entreprise ou jusqu’à 10 millions d’euros d’amende ;
- d’une amende représentant 4% du chiffre d’affaires annuel mondial de l’entreprise ou jusqu’à 20 millions d’euros d’amende ;
Les sanctions administratives doivent, obligatoirement, être proportionnées et dissuasives. Sont notamment pris en compte, les éléments suivants :
- Le degré de coopération de l’entreprise envers la CNIL ;
- La gravité et la durée de la violation opérée par l’entreprise ;
- Les mesures prises par l’entreprise pour atténuer le dommage subi par l’utilisation concerné ;
Sanctions pénales
Des sanctions supplémentaires peuvent être mises en place par les États membres de l’Union européenne.
À titre d’illustration, en France, en cas de détournement de la finalité lors du traitement des données personnelles, l’article 226-21 du Code pénal prévoit dans sanctions. En effet, ce dernier dispose que la personne coupable de ces agissements peut être punie d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.
La rédaction de votre politique de confidentialité : Conseils
La politique de confidentialité doit être rédigée de manière transparente, concise, compréhensible et être facilement accessible. Afin que celle-ci respecte les exigences imposées par le RGPD, voici quelques conseils pratiques.
Tout d’abord, votre politique de confidentialité doit être rédigée de manière simple. En effet, elle doit être rendue accessible à tous, son contenu doit être facilement compris. Ainsi, il convient d’éviter les termes trop techniques ou juridiques.
Également, évitez d’inclure des informations inutiles dans la rédaction de celle-ci. Ce document doit garantir une certaine transparence. Il est donc préférable de se concentrer sur les informations essentielles liées au traitement des données personnelles.
Enfin, vous devez faciliter la navigation et la compréhension du contenu de votre politique de confidentialité. Vous pouvez notamment inclure l’utilisation d’onglets ou de renvois internes facilités rendant la lecture plus simple et attrayante.