La politique de confidentialité fait partie (avec les mentions légales) des mentions obligatoires de tout site web. Elle concerne l'utilisation des données personnelles des utilisateurs par le propriétaire du site. Comment générer une politique de confidentialité ? Est-ce obligatoire ? On vous dit tout ce qu'il faut savoir.

Qu'est-ce qu'une politique de confidentialité ?

La politique de confidentialité - appelée aussi charte de confidentialité - se définit comme un contrat qui détaille les engagements de l'entreprise en ce qui concerne le traitement des données personnelles des utilisateurs d'un site web, d'une application ou d'un service, par exemple. Autrement dit, elle explique comment l'entreprise recueille, stocke, diffuse et protège les données personnelles de ses utilisateurs.

S'il arrive que cette politique de confidentialité soit incluse dans les mentions légales, il est d'usage de lui dédier une page spécifique sur votre site.

Cette politique de confidentialité doit être transparente, claire et concise, afin de renforcer la confiance entre l'entreprise émettrice de la charte et l'utilisateur.

Politique de confidentialité : quand est-elle obligatoire ?

Depuis son entrée en vigueur en mai 2018, le RGPD - Règlement général sur la protection des données - oblige les sites web à afficher certaines informations à destination de leurs utilisateurs, que la page " politique de confidentialité " permet de regrouper. 

Elle protège aussi le responsable du traitement de ces informations en cas de contrôle de la Commission nationale de l'informatique et des libertés (CNIL) ou d'une plainte éventuelle d'un utilisateur.

Quelles sont les données collectées dans une politique de confidentialité ?

La politique de confidentialité concerne uniquement les données personnelles, c'est-à-dire toute information qui permet d'identifier clairement, ou de rendre identifiable, une personne physique : le nom, le prénom, la date de naissance, l'adresse, les données financières, professionnelles ou des informations sur la santé, par exemple.

Ces données peuvent être collectées de manière :

  • active : via un formulaire de contact, une inscription à une newsletter, un achat en ligne, etc.
  • passive : par le biais de cookies, d'outils de mesure d'audience (type Google Analytics), ou de systèmes de géolocalisation.

À l'inverse, toutes les données ne permettant pas d'identifier la personne ne sont pas concernées par la charte de confidentialité, comme le fuseau horaire local, l'historique de navigation ou la langue utilisée.

Politique de confidentialité : qui est concerné par cette obligation ?

Toutes les entreprises, administrations, associations ou indépendants exploitant un site ou une application qui traite des données personnelles sont concernés. Et ce, quels que soient leur taille, leur secteur ou leur statut juridique.

Le RGPD distingue plusieurs cas : 

  • Collecte directe : si vous recueillez des données directement auprès de l'utilisateur (formulaire, devis en ligne, inscription...), vous devez l'informer au moment précis de la collecte sur l'identité du responsable, les finalités, la base juridique, les destinataires, les droits des utilisateurs, etc.
  • Collecte indirecte : si les données sont obtenues via un tiers (partenaire commercial, source publique, rachat du fichier...), vous devez informer la personne dans un délai d'un mois maximum, sauf cas particuliers (secret professionnel, disproportion manifeste...).
  • Modification substantielle : si vous modifiez les objectifs de traitement (ex : vous souhaitez désormais utiliser les données pour une campagne marketing), vous devez à nouveau informer les personnes concernées avant tout nouveau traitement.

Quels risques en cas de manquement ?

En cas de non-respect de cette obligation liée au RGPD, une sanction administrative peut être prononcée, pouvant aller jusqu'à 4 % du chiffre d'affaires global s'il s'agit d'une société ou d'une administration. La suspension du site internet est également possible. Par ailleurs, des poursuites judiciaires ainsi que des sanctions pénales peuvent également être engagées.

En France, le Code pénal affirme que le traitement des données personnelles sans respect des règles peut entraîner une peine de 5 ans d'emprisonnement ainsi qu'une amende de 300 000 euros. Il en est de même pour le détournement de la finalité des données à caractère personnel.

En plus des conséquences juridiques, l'impact sur la confiance des utilisateurs peut être durable, notamment si la faille de conformité est révélée publiquement.

Où placer la politique de confidentialité sur son site web ?

Pour être conforme, la politique de confidentialité doit être clairement identifiable et facilement accessible. Idéalement, placez le lien : 

  • dans le footer (pied de page) de chaque page du site web ; 
  • à proximité immédiate des formulaires de collecte (via un lien ou un encart informatif) ;
  • dans les paramètres de vos applications ou espaces personnels ; 
  • dans les conditions générales d'utilisation, tout en la rendant accessible indépendamment.

Que contient une politique de confidentialité ?

Voici les principales informations qui doivent figurer sur la page de votre site dédiée à la politique de confidentialité :

  • identité et coordonnées de la personne ou l'organisme en charge des données ;
  • type de données collectées et objectif de la collecte ;
  • informations financières et conditions générales de ventes ;
  • bases légales du traitement de données, donnant droit de collecter et de traiter les informations personnelles de l'utilisateur ;
  • caractère obligatoire ou facultatif du recueil des données ;
  • destinataires des données, c'est-à-dire les personnes qui ont besoin d'accéder aux données telles que les responsables informatiques, les associations, etc. ;
  • durée de conservation des données ;
  • conditions de suppression ;
  • droits des personnes concernées (accès aux données, suppression, rectification, portabilité) ;
  • modalités de protection des données ;
  • coordonnées du délégué à la protection des données ;
  • mention du droit d'introduire une réclamation auprès de la CNIL.

Comment rédiger une politique de confidentialité ?

Rédiger une politique de confidentialité implique bien plus que de remplir un simple formulaire type. Vous devez être précis, transparent, et conforme à votre activité réelle.

Les règles à respecter

Le RGPD précise que la personne concernée par le traitement de ses données personnelles et leur sécurisation doit recevoir une information facilement compréhensible (vocabulaire simple, phrases courtes, style direct) et pensée pour le public visé (ex : enfants). La page politique de confidentialité implique de faire court et lisible et de l'adapter aux situations et aux supports.

Garantir l'accessibilité de l'information est également essentiel : les utilisateurs de votre site internet ne doivent pas avoir à la chercher ni rencontrer de difficultés à trouver les informations sur la politique de confidentialité des données. Ils doivent au contraire être dirigés vers l'emplacement de ces informations, idéalement par un lien présent sur chaque page de votre site.

Générateur ou juriste : quelle solution choisir ?

Sachez qu'il existe des générateurs de politique de confidentialité : vous renseignez les informations relatives à votre entreprise ou votre organisme, ainsi qu'au responsable de la collecte des données, vous répondez à plusieurs questions afin de personnaliser votre page. Résultat :  le générateur vous livre une politique de confidentialité spécifique à vos besoins et votre situation.

Nous vous recommandons toutefois de faire appel aux services d'un professionnel juridique pour établir votre politique de confidentialité, tant les enjeux liés au RGPD sont importants. Et ce, surtout si votre activité implique des traitements sensibles (santé, géolocalisation, données bancaires...) ou si vous avez des partenaires à l'étranger.

Exemple de politique de confidentialité

Une politique de confidentialité doit explicitement mentionner : 

  • le responsable du traitement : nom de l'entreprise ; 
  • les données collectées : prénom, nom, e-mail, téléphone, adresse IP ;
  • la finalité : prise de contact, gestion commerciale, analyse d'audience ; 
  • la base légale : consentement, exécution d'un contrat ; 
  • la durée de conservation : 3 ans après la dernière interaction ; 
  • les droits des personnes : accès, rectification, effacement, opposition ; 
  • les coordonnées de la DPO : dpo@entreprise.fr
  • la réclamation auprès de la CNIL : www.cnil.fr 

Pour vous aider, voici un modèle de politique de confidentialité que vous pouvez utiliser : " Les données collectées via nos formulaires sont utilisées pour répondre à vos demandes commerciales, vous proposer des services adaptés et améliorer votre expérience utilisateur. Les informations recueillies sont strictement réservées à [Nom de l'entreprise] et ne sont jamais vendues à des tiers. Vous pouvez à tout moment exercer vos droits d'accès, de rectification ou de suppression, en nous contactant à dpo@entreprise.fr. Pour plus d'informations, consultez notre politique complète en bas de page. "

 
Orange Pro vous accompagne de A à Z dans la création de votre site web
De l'établissement de votre politique de confidentialité à la mise en ligne de votre site en passant par la création d'un design personnalisé, découvrez notre offre Site Web Clé en Main Vitrine
En savoir plus