Temps de lecture
:
9 min
Par
Dr. Frédéric ROZIERE
Mise à jour le
25/04/2021
Temps de lecture
:
9 min
Par
Dr. Frédéric ROZIERE
-
Mise à jour le
25/04/2021
Conformité SST

L’ESSENTIEL

  • La politique de confidentialité est obligatoire dans toute entreprise qui possède un site internet et qui collecte des données utilisateurs.
  • Elle permet de protéger et de sécuriser les informations personnelles recueillies.
  • C'est déjà dans ce but qu'avait été mis en place le RGPD (Règlement Général de Protection des Données) en 2018.
  • La politique de confidentialité mentionne de façon très précise le type d'information collectée, la façon dont elle est recueillie puis stockée et protégée, ainsi que la finalité de la collecte.
  • Elle doit être facilement accessible et compréhensible, notamment grâce à l'insertion de liens sur les pages web, ainsi que de cases à cocher pour valider son accord.

La politique de confidentialité est obligatoire si votre entreprise possède un site internet. En effet, les services en ligne se sont fortement développés et, avec eux, le transfert des données utilisateurs. Face à cette croissance, les informations personnelles sont de plus en plus exposées au risque d'une utilisation frauduleuse.

C'est dans le but de sécuriser ces renseignements que le Règlement Général de Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Les entreprises ont aujourd'hui l'obligation de garantir la sécurité des données personnelles et de renforcer ainsi le droit des utilisateurs.

Alors que doit contenir exactement votre politique de confidentialité ? Quelles sont les règles pour l'établir au mieux ? On vous explique tout !

Politique de confidentialité pour votre site internet : de quoi parle-t-on ?

La politique de confidentialité est un texte qui explique dans les détails le mode de collecte, le stockage, le traitement, la publication et la suppression des données personnelles transmises par les utilisateurs.

Mais qu'est-ce qu'une donnée personnelle ? C'est une information qui permet d'identifier, de contacter ou de localiser une personne :

  • nom et prénom ;
  • date de naissance ;
  • adresses postales et électroniques ;
  • numéros de téléphone ;
  • numéros de cartes de crédit ;
  • numéro de sécurité sociale ;
  • informations médicales, professionnelles, financières ;
  • etc.

🔒 Cette politique a pour but de sécuriser les informations, notamment en recueillant l'accord de la personne pour une utilisation appropriée de ses données et répondre à son besoin, conformément au RGPD et à la loi informatique et libertés.

Si votre site internet collecte des données utilisateurs (formulaire de contact, inscription à une newsletter…), vous avez besoin d'une politique de confidentialité, afin de protéger les informations recueillies contre des fraudes éventuelles. Si vous avez des clients en Europe ou que vous êtes vous-même situé en Europe, alors cette politique doit être conforme au RGPD.

Que doit inclure votre politique de confidentialité ?

Trois points essentiels doivent y figurer :

  • le type d'information recueillie ;
  • la façon dont les données sont collectées ;
  • la manière dont les renseignements sont stockés et protégés.

Certaines informations doivent obligatoirement figurer dans la politique de confidentialité. D'autres sont facultatives et sont fonction des situations.

🔎 Les mentions obligatoires sont les suivantes :

  • l'identité de la personne ou de l'organisme qui récupère et traite l'information ;
  • la finalité de la collecte ;
  • les bases légales du traitement des données (consentement des personnes concernées, obligation légale, obligation contractuelle, mission d’intérêt public, sauvegarde des intérêts vitaux, intérêt légitime) ;
  • en quoi cette collecte d'informations est nécessaire, son caractère obligatoire ou facultatif ;
  • les destinataires de ces données ;
  • leur durée de conservation et les conditions de suppression ;
  • le droit d'accès, de modification, de suppression et de limitation des personnes concernées ;
  • les coordonnées du Délégué à la Protection des Données (DPO), c’est-à-dire la personne déléguée par l'organisme collecteur pour assurer la protection des données ;
  • le droit de réclamation auprès de la Commission Nationale Informatique et libertés (CNIL) ;
  • pour une collecte indirecte, la catégorie des données recueillies et les sources utilisées doivent être mentionnées.

🔎 Les mentions facultatives peuvent être :

  • les dispositifs de prévention mis en place ;
  • dans le cas d'un transfert de données hors Union européenne, il s'agit d'indiquer les modalités et les garanties afférentes à ce transfert ;
  • les mentions relatives au retrait de consentement ou d'opposition ;
  • etc.

Quelles sont les règles générales dans la rédaction de votre politique de confidentialité ?

👍🏻 Rédiger une politique de confidentialité nécessite de respecter certaines règles, en application du RGPD. Les informations y figurant doivent être mentionnées de façon précise avec un langage simple et compréhensible de tous, en fonction des personnes visées (si les destinataires sont des enfants, il peut s'agir de dessins ou de vidéos d'animation par exemple).

Il convient tout d'abord de préciser de façon claire qu'il s'agit de renseignements relatifs à la protection des données. Le texte doit être précis, concis et parfaitement structuré, afin d'en faciliter la compréhension. Il est conseillé de hiérarchiser les informations, en les classant par ordre d'importance. De cette façon, elles sont facilement accessibles et compréhensibles.

Les éléments les plus importants sont ceux relatifs à l'organisme qui traite les données, le but de cette collecte et les droits des personnes concernées. D'autres informations, facultatives, peuvent être mentionnées en fonction de chaque situation.

💻 Dans un environnement numérique, cette hiérarchisation doit être faite grâce à l'insertion de liens sur les pages du site. En naviguant sur une plateforme, l'utilisateur doit pouvoir accéder immédiatement à l'information recherchée et arriver directement sur la page concernée, notamment sur celle contenant les informations afférentes à la politique de confidentialité.

Toutes les pages d'un site internet doivent donc contenir un lien menant vers cette page, dans le footer du site ou lors de la demande d’informations. Si elle concerne plusieurs catégories de données, il est préférable de les répertorier dans un seul document ou une seule page de votre site web.

Je n’ai pas de politique de confidentialité sur mon site internet, que risque mon entreprise ?

Si vous recueillez des données personnelles depuis votre site internet, vous devez nécessairement établir une politique de confidentialité, afin que les utilisateurs soient informés de leur utilisation. Si votre société est en Europe et/ou que vous traitez avec des clients européens, elle doit en plus être conforme au RGPD. Dans le cas contraire, il s'agit d'une infraction.

💰 Comme le prévoient l'article 226-16 et l’article 226-21 du Code pénal, le fait d'utiliser ou de détourner de leur finalité des données personnelles sans avoir respecté les formalités garantissant leur sécurité, constitue une infraction. Celle-ci peut être punie de 5 ans d'emprisonnement et de 300 000 euros d'amende.

🚩 Depuis l'entrée en vigueur du RGPD en 2018, les sanctions financières ont été démultipliées. Les amendes pourraient en effet atteindre un montant plus que persuasif de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Les autres obligations à mettre en place découlant de votre politique de confidentialité

La politique de confidentialité doit mentionner les droits des utilisateurs en ce qui concerne leurs données personnelles et mettre en place des actions :

✅ Le droit d'opposition : Un utilisateur peut s'opposer à ce que les informations qu'il a communiquées soient utilisées à certaines fins. Pour cela, l’entreprise doit installer un plugin qui permet aux visiteurs de choisir ou non les cookies.

✅ Le droit de retrait : Une personne peut demander à ce que ses données personnelles soient retirées des listes de diffusion. Il peut s’agir de liens cliquables qui permettent aux utilisateurs de se désinscrire de la base de données.

✅ Le droit d'accès : Tout utilisateur a la possibilité de savoir quelles informations personnelles sont détenues par le site. Il a également la possibilité de les mettre à jour. L’entreprise peut alors faire appel à un DPO qui s’occupera des demandes des clients.

Il existe toutefois d'autres obligations à mettre en place, dans le respect du RGPD. Celles-ci n’ont pas uniquement trait à la confidentialité des données. Il peut s’agir d’un avenant au contrat de travail des salariés, de clauses contractuelles de sous-traitance, de clauses d’information pour l’utilisation de badges, en cas de géolocalisation, de vidéosurveillance... 

Pour cela, il est nécessaire de faire un audit approfondi, parfaitement adapté à l'activité de votre société. C'est ce travail minutieux qui permettra de collecter toutes les informations utiles, afin de mettre en conformité votre entreprise.

La politique de confidentialité mise en place sur le site web de votre entreprise permet aux clients qui transmettent leurs données personnelles d'avoir davantage confiance s'ils connaissent la finalité de cette collecte et leurs droits y afférents. Prenez contact avec nos équipes Aviséconseil. Nos experts, habilités IPRP, réalisent un audit RGPD complet de votre entreprise, afin de la mettre en conformité.

Dr. Frédéric ROZIERE

Frédéric est dirigeant du groupe aviseconseil.com, groupe national présent sur tout le territoire depuis 2004. Enregistré IPRP et formateur auprès de la DREETS, son domaine d'expertise porte sur la prévention des risques professionnels et des litiges. Médiateur assermenté près les Cours d’appel de Paris, Chambéry & Bordeaux, selon Frédéric le conflit ne se résout pas au moyen de combats mais se modifie si les parties tirent profit d’une « conflictualité productive ». La combinaison d’expériences sportives & professionnelles terrains associées à l’apport scientifique des travaux de doctorat publiés, lui permettent de se démarquer dans le domaine du Conseil et d’intervenir auprès de cadres et dirigeants d’organisations privées , publiques , gouvernementales et syndicales.