La politique de confidentialité fait partie (avec les mentions légales) des mentions obligatoires de tout site web. Elle concerne l'utilisation des données personnelles des utilisateurs par le propriétaire du site. Comment générer une politique de confidentialité ? Est-ce obligatoire ? On vous dit tout ce qu'il faut savoir.
Qu'est-ce qu'une politique de confidentialité ?
La politique de confidentialité - appelée aussi charte de confidentialité - se définit comme un contrat qui détaille les engagements de l'entreprise en ce qui concerne le traitement des données personnelles des utilisateurs d'un site web, d'une application ou d'un service, par exemple. Autrement dit, elle explique comment l'entreprise recueille, stocke, diffuse et protège les données personnelles de ses utilisateurs.
S'il arrive que cette politique de confidentialité soit incluse dans les mentions légales, il est d'usage de lui dédier une page spécifique sur votre site.
Cette politique de confidentialité doit être transparente, claire et concise, afin de renforcer la confiance entre l'entreprise émettrice de la charte et l'utilisateur.
La charte de confidentialité, quant à elle, se rapporte davantage à la protection des données personnelles des utilisateurs. Toutefois, les deux éléments sont obligatoires et doivent être faciles à trouver.
Politique de confidentialité : quand est-elle obligatoire ?
Depuis mai 2018, le RGPD - Règlement général sur la protection des données - oblige les sites web à afficher certaines informations à destination de leurs utilisateurs, que la page " politique de confidentialité " permet de regrouper. Elle protège aussi le responsable du traitement de ces informations en cas de contrôle de la Commission nationale de l'informatique et des libertés (CNIL) ou d'une plainte éventuelle d'un utilisateur.
Quelles sont les données collectées ?
La politique de confidentialité concerne uniquement les données personnelles, c'est-à-dire toute information qui permet d'identifier clairement, ou de rendre identifiable, une personne physique : le nom, le prénom, la date de naissance, l'adresse, les données financières, professionnelles ou des informations sur la santé, par exemple.
À l'inverse, toutes les données ne permettant pas d'identifier la personne ne sont pas concernées par la charte de confidentialité, comme le fuseau horaire local, l'historique de navigation ou la langue utilisée.
Qui est concerné par cette obligation ?
Selon les critères de transparence définis aux articles 12, 13 et 14 du RGPD, vous êtes dans l'obligation d'informer les personnes concernées par le biais d'une page " Politique de confidentialité " :
- En cas de collecte directe des données (formulaire, achat en ligne, etc.) ou lorsqu'elles sont recueillies via des dispositifs d'observation d'activité (analyse de la navigation web, géolocalisation, etc.). Dans ce cas, l'information doit avoir lieu au moment du recueil des données.
- En cas de collecte indirecte des données personnelles (données récupérées auprès de partenaires commerciaux, sources accessibles au public, etc.). L'information des personnes concernées doit avoir lieu dès que possible et au plus tard dans un délai d'un mois (sauf exceptions).
- En cas de modification substantielle ou d'événement particulier (nouvelle finalité des informations personnelles, nouveaux destinataires, etc.).
Quel risque en cas de manquement ?
En cas de non-respect de cette obligation liée au RGPD, une sanction administrative peut être prononcée, pouvant aller jusqu'à 4 % du chiffre d'affaires global s'il s'agit d'une société ou d'une administration. La suspension du site internet est également possible. Par ailleurs, des poursuites judiciaires ainsi que des sanctions pénales peuvent également être engagées.
En France, le Code pénal affirme que le traitement des données personnelles sans respect des règles peut entraîner une peine de 5 ans d'emprisonnement ainsi qu'une amende de 300 000 euros. Il en est de même pour le détournement de la finalité des données à caractère personnel.
Que contient une politique de confidentialité ?
Voici les principales informations qui doivent figurer sur la page de votre site dédiée à la politique de confidentialité :
- Identité et coordonnées de la personne ou l'organisme en charge des données ;
- Type de données collectées et objectif de la collecte ;
- Informations financières et conditions générales de ventes ;
- Bases légales du traitement de données, donnant droit de collecter et de traiter les informations personnelles de l'utilisateur ;
- Caractère obligatoire ou facultatif du recueil des données ;
- Destinataires des données, c'est-à-dire les personnes qui ont besoin d'accéder aux données telles que les responsables informatiques, les associations, etc. ;
- Durée de conservation des données ;
- Conditions de suppression ;
- Droits des personnes concernées (accès aux données, suppression, rectification, portabilité) ;
- Modalités de protection des données ;
- Coordonnées du délégué à la protection des données ;
- Mention du droit d'introduire une réclamation auprès de la CNIL.
Comment rédiger une politique de confidentialité ?
Le RGPD précise que la personne concernée par le traitement de ses données personnelles et leur sécurisation doit recevoir une information facilement compréhensible (vocabulaire simple, phrases courtes, style direct) et pensée pour le public visé (ex : enfants). La page politique de confidentialité implique de faire court et lisible et de l'adapter aux situations et aux supports.
Garantir l'accessibilité de l'information est également essentiel : les utilisateurs de votre site internet ne doivent pas avoir à la chercher ni rencontrer de difficultés à trouver les informations sur la politique de confidentialité des données. Ils doivent au contraire être dirigés vers l'emplacement de ces informations, idéalement par un lien présent sur chaque page de votre site.
Sachez qu'il existe des générateurs de politique de confidentialité : vous renseignez les informations relatives à votre entreprise ou votre organisme, ainsi qu'au responsable de la collecte des données, vous répondez à plusieurs questions afin de personnaliser votre page. Résultat : le générateur vous livre une politique de confidentialité spécifique à vos besoins et votre situation.
Nous vous recommandons toutefois de faire appel aux services d'un professionnel juridique pour établir votre politique de confidentialité, tant les enjeux liés au RGPD sont importants.