Le blog qui vous aide à maîtriser le digital et développer votre visibilité en ligne !
401, rue des Pyrénées 75020 Paris

Rédiger une politique de confidentialité : comment s’y prendre ?

Rédiger une politique de confidentialité

La protection des données personnelles est une préoccupation majeure pour les entreprises du monde entier. Avec l’évolution des technologies, on assiste à une augmentation massive de la collecte des données personnelles. De fait, rédiger une politique de confidentialité claire et transparente s’impose, et ce, conformément au RGPD.

Quels sont les principes fondamentaux de la rédaction d’une politique de confidentialité ? Quelles sont les étapes à suivre pour l’élaboration de ce document ? C’est à ces différentes questions que nous répondrons dans la suite de cet article.

Politique de confidentialité : ce qu’il faut savoir

La politique de confidentialité est un élément primordial qui permet de se conformer au RGPD. Le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne (UE) assure la sécurité des citoyens. Il s’applique aux organisations, publiques ou privées, traitant des données personnelles pour leur compte ou non, établies sur le territoire de l’UE.

La politique de confidentialité est un document expliquant minutieusement les modalités de traitement des données personnelles dans une relation commerciale.

En conséquence, une politique de confidentialité encadre les opérations de traitement de données telles que :

  • la collecte ;
  • le classement ;
  • le traitement ;
  • la publication ;
  • et la suppression des données.

Comprendre comment rédiger une politique de confidentialité conforme au RGPD est indispensable. Cela passe notamment par la définition de ses différents objectifs.

Rédiger une politique de confidentialité

Quels sont les objectifs d’une politique de confidentialité ?

La politique de confidentialité vise à garantir une information concise, transparente et compréhensible aux clients. Elle vous permet de :

  • connaître la légitimité de la collecte d’information personnelle ;
  • être informé sur les procédés de traitement appliqués à vos données ;
  • vérifier la sécurité des données susceptibles d’être sensibles ;
  • et faciliter l’exercice de vos droits.

En matière de politique de confidentialité, l’entreprise doit assurer un recueil de données conforme au consentement explicite requis par le RGPD. Les clients doivent donner leurs accords pour la collecte, l’utilisation et la communication de leurs données.


Lire aussi : Quel avenir pour les métiers du web avec le développement de l’IA ?


Quelles données comprend une politique de confidentialité ?

Une politique de confidentialité comprend des données personnelles. Il s’agit ici des informations qui permettent d’identifier directement ou indirectement une personne physique. Les données personnelles peuvent inclure :

  • le nom et les prénoms ;
  • la date de naissance ;
  • les données de santé ;
  • les données éducatives ;
  • les données financières ;
  • les données professionnelles, etc.

Cependant, notons que les dispositions du RGPD n’encadrent pas les données personnelles ne permettant pas d’identifier un client. À savoir :

  • les informations du plug-in du navigateur ;
  • le fuseau horaire local ;
  • le navigateur utilisé ;
  • l’historique de navigation ;
  • le dispositif utilisé ;
  • et la préférence de langue.

Ces informations peuvent être collectées, mais sont traitées sans les mêmes contraintes légales en matière de confidentialité et de consentement.

Qui doit se conformer à une politique de confidentialité ?

Il n’est pas toujours facile de déterminer qui relève du RGPD. Toutefois, la politique de confidentialité s’impose en général à tout organisme collectant et manipulant des données à caractère personnel. Il s’agit donc des sociétés, des sites web, des associations ainsi que des sous-traitants.

Facebook, Google, Amazon… Aucun de ces géants d’Internet n’échappe à la politique de confidentialité. La taille, le secteur d’activité ou le statut juridique d’une entreprise n’influent aucunement sur la mise en place d’une politique de confidentialité. Que vous soyez une petite startup ou une grande entreprise internationale, vous vous devez de rédiger une politique de confidentialité.

Pourquoi rédiger une politique de confidentialité conforme au RGPD ?

La politique de confidentialité assure aux entreprises une conformité avec le RGPD. Dans le cadre de l’application du RGPD, elle peut être requise lorsque les données à caractère personnel sont collectées directement chez leur propriétaire. En effet, la collecte des données peut s’effectuer à partir de formulaires, de contrats, de documents d’ouverture d’un compte bancaire.

On y a également recours en cas de renseignements recueillis via des dispositifs d’observation de l’activité des personnes. Il peut s’agir de vidéosurveillance ou d’analyse de la navigation sur Internet. La politique de confidentialité est aussi nécessaire lorsque les informations personnelles ne sont pas collectées chez le propriétaire. Celles-ci peuvent en effet s’obtenir à travers un partenaire commercial. Les organismes et les sites y ont accès via des data brokers ou une source ouverte à tout public.

Quand faut-il rédiger une politique de confidentialité ?

Recueillir des données sans préalablement informer le client sur leur traitement est punissable par la loi. Par conséquent, il faut rédiger une politique de confidentialité dès que vous envisagez de collecter les données de vos clients/utilisateurs. Dès qu’une modification des procédés s’applique pour la manipulation des données, mettez à jour votre document. Ensuite, informez les personnes concernées par cette mise à jour. Vous respecterez ainsi le principe d’accountability.


Lire aussi : Les nouveaux défis de la sécurité web à l’ère de l’intelligence artificielle


Que contient une politique de confidentialité conforme au RGPD ?

En tant que prestataire et responsable du traitement des données, vous devez assurer une communication transparente avec vos clients. Vous devez les informer de la collecte et la protection de leurs données suivant les règles imposées par le RGPD.

Les mentions obligatoires 

Votre politique de confidentialité doit inclure diverses mentions obligatoires. Elles varient selon que les données personnelles sont collectées directement ou indirectement.

En cas de collecte directe, la politique de confidentialité doit obligatoirement inclure les coordonnées du propriétaire de l’organisme prestataire. À ceux-là s’ajoutent les coordonnées du responsable du traitement des données, et éventuellement du délégué à la protection des données. Elle doit également préciser le :

  • but de la collecte ;
  • ses bases légales ;
  • et son caractère.

Il faut en effet spécifier si celle-ci est obligatoire ou facultative.

Dans le même ordre, vous devez aussi indiquer :

  • les personnes susceptibles de traiter ces données ;
  • leur durée de conservation ;
  • les modalités de suppression ;
  • les droits d’accès et de modification ;
  • les droits de suppression et de portabilité ;
  • et les droits de réclamation auprès de la CNIL.

Dans le cadre d’une collecte indirecte, la déclaration de protection contiendra obligatoirement la catégorie des données recueillies. Elle devra également indiquer les sources utilisées pour la récupération de ces mêmes données.

Des informations facultatives variables selon la situation

Viennent ensuite les informations supplémentaires ou facultatives. Contrairement aux mentions obligatoires, elles varient selon vos objectifs et le contexte de la collecte. Si le traitement des données se base sur l’intérêt légitime, la déclaration devra relater le contenu de cet intérêt. Elle définira notamment les dispositifs établis en guise de prévention aux fraudes.

Prenons par exemple un transfert de données dans un pays hors de l’UE. Dans ce cas, la déclaration doit détailler l’existence et les modalités ainsi que les garanties relatives à ce transfert. La politique de confidentialité devra aussi renseigner la possibilité de consultation des données par l’organisme situé hors de l’UE.

Si l’organisme effectue un profilage, il convient de préciser les informations nécessaires pour la compréhension de l’algorithme et des conséquences. Le consentement étant la base légale du traitement, la politique de confidentialité doit mentionner les droits au retrait du consentement.

Quelles sont les règles générales pour rédiger la politique de confidentialité ?

Rédiger une politique de confidentialité est inhérent à la conformité aux règles imposées par le RGPD. Donc, les informations doivent être fournies de manière détaillée, compréhensible, concise et transparente. Pour vous aider à bien rédiger la politique de confidentialité, voici quelques conseils :

  • Rédigez la déclaration le plus simplement possible de sorte qu’il soit compréhensible pour le grand public. Évitez les termes juridiques et techniques et privilégiez l’utilisation de mots simples.
  • Formulez les informations selon votre cible : optez pour des formulations concises, succinctes et efficaces pour faciliter la compréhension.
  • Priorisez un accès facile aux informations : les utilisateurs doivent pouvoir trouver les informations nécessaires sans avoir à effectuer de nombreuses recherches.

Comment ça se passe le RGPD quand on est établi hors de l’UE, mais que notre site est destiné à un public de l’UE ?

Si un site est destiné à un public de l’UE, même si l’entreprise est établie hors de l’UE, elle doit se conformer au RGPD. L’entreprise doit donc respecter certaines règles (collecte, traitement, protection des données personnelles des utilisateurs). Elle doit nommer un représentant de l’UE pour la protection des données si elle n’y dispose pas d’un établissement.

Peut-on rédiger une politique RGPD pour une marque qui regroupe plusieurs entreprises ?

Oui, il est tout à fait possible de rédiger une politique de confidentialité conforme au RGPD pour une marque regroupant plusieurs entreprises. Dans ce cas de figure, il s’agira de :

  • présenter clairement l’identité et les coordonnées de chaque entreprise regroupée sous la marque ;
  • définir les types de données personnelles collectées et traitées par chaque entreprise ;
  • expliquer la base légale sur laquelle les données sont collectées par chaque entreprise et les objectifs de cette collecte ;
  • informer sur les mesures de sécurité mises en place par chaque entreprise pour protéger les données personnelles ;
  • identifier les droits des utilisateurs concernant leurs données personnelles collectées par chaque entreprise et la manière de les exercer ;
  • indiquer comment les utilisateurs seront informés des mises à jour de la politique de confidentialité pour chaque entreprise.

À ce jour, de nombreuses grandes marques rédigent des politiques RGPD pour les différentes entreprises qu’elles comportent. D’une part, on distingue la multinationale Alphabet inc. Avec les entreprises Google, YouTube, Waze ou encore Nest, elle propose moult services sur le territoire de l’UE et doit donc rédiger une politique de confidentialité conforme au RGPD.

Quelles sont les sanctions encourues en cas de non-conformité de la politique de confidentialité ?

Les entreprises qui ne se conforment pas aux exigences du RGPD en matière de politique de confidentialité s’exposent à des sanctions à la fois administratives et pénales. Au niveau administratif, deux niveaux de sanctions existent : une amende pouvant atteindre 2 % du chiffre d’affaires, tandis que le deuxième niveau de sanction peut entraîner une amende équivalente à 4 % du chiffre d’affaires.

En matière pénale, le RGPD autorise les États membres à établir des sanctions adaptées au cas de non-conformité. En France, le traitement illégal des données personnelles est sanctionné d’une peine d’emprisonnement et d’une amende de 300 000 euros. Cette peine peut s’étendre sur cinq ans.

Privacy Policy

La politique de confidentialité est-elle indispensable pour les sites web ?

La politique de confidentialité devient indispensable dès lors que votre site web implique le traitement de données personnelles. Cela inclut notamment la collecte d’informations personnelles via :

  • des formulaires de contact ;
  • des inscriptions à des newsletters ;
  • des transactions commerciales ;
  • des cookies de suivi, etc.

En somme, la politique de confidentialité s’applique à toute activité dans laquelle les données des utilisateurs sont recueillies et traitées.

Une politique de confidentialité détaillée informe les visiteurs de votre site sur la manière dont leurs données sont collectées, utilisées et protégées. Ce qui renforce la transparence et établit la confiance. Vous devez y recourir pour rester conforme aux réglementations en matière de protection des données. Cela vous épargnerait des litiges juridiques.

Quel est l’emplacement d’une politique de confidentialité sur un site Internet ?

S’il importe de rédiger une politique de confidentialité, il convient également de savoir où la placer de sorte que les utilisateurs la remarquent. Vous pouvez la mettre sur une page de votre site. Elle peut aussi être accessible en lien dans votre page « À propos ». De même, vous pouvez la placer dans l’entête ou le pied de page de votre boutique en ligne.

Quelle que soit l’option que vous choisissez, assurez-vous qu’elle puisse être visible par les visiteurs de votre site.

En conclusion

Rédiger une politique de confidentialité conforme au RGPD est nécessaire pour toute entreprise qui souhaite traiter des données personnelles. En respectant le RGPD, elle garantit la sécurité des données personnelles des clients et renforce la confiance qu’ils lui portent.

Dans le cadre de la rédaction d’une politique de confidentialité, il importe d’assurer qu’elle soit claire, concise et accessible. Elle doit informer les utilisateurs de manière transparente sur le traitement de leurs données. Par ailleurs, avez-vous déjà rédigé une politique de confidentialité pour votre entreprise ou votre site web ? Si oui, quelles ont été vos principales difficultés ?


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *