Politique de confidentialité, Politique Vie Privée (voire PVP), Déclaration de confidentialité, Politique de protection des données, Charte de confidentialité, etc. Autant de termes qui désignent pourtant tous ce même document, vous permettant de mettre votre site internet en conformité avec les normes nationales et européennes, notamment le fameux Règlement général sur la protection des données (autrement dit, le « RGPD »).
Comme expliqué dans cet article, la conformité juridique de votre site internet passe en effet par l’adoption de divers documents et la politique de confidentialité en fait bel et bien partie.
Mais qu’est-ce donc qu’une Politique de confidentialité ?
Une Politique de confidentialité est un document juridique qui informe les personnes concernées – dans le cadre de votre site internet, ce sont donc vos utilisateurs – sur la manière dont vous utilisez leurs données, pour quelles raisons, pendant combien de temps, etc. Bref, vous les informez sur la gestion que vous faites de leurs données (dans notre jargon sur le traitement de données à caractère personnel).
Et pas n’importe quelles données ! Nous parlons ici de « données à caractère personnel » au sens du RGPD, c’est-à-dire des données permettant d’identifier vos utilisateurs directement ou indirectement en tant que personne physique.
S’il est clair que le nom, le prénom et l’adresse e-mail de la personne concernée sont des données à caractère personnel, cette qualification paraît moins évidente pour des données recueillies de localisation ou des identifiants en ligne. Or, il suffit qu’une donnée puisse identifier une personne physique – en étant croisée avec d’autres ou non – pour qu’elle soit définie comme une donnée à caractère personnel.
👉️POLITIQUE DE CONFIDENTIALITÉ : POUR QUI ?
Conformément au RGPD, toute personne utilisant des données pour des finalités qu’elle détermine (que l’on qualifie alors de « Responsable du traitement ») doit informer les personnes concernées qu’elle collecte leurs données à caractère personnel.
Il arrive parfois que certains entrepreneurs ne soient pas conscients du fait qu’ils traitent effectivement des données à caractère personnel et qu’ils sont par conséquent soumis au RGPD.
Si vous avez un doute, posez-vous donc ces questions :
- Permettez-vous à vos utilisateurs de se créer un compte sur votre site internet ?
- Disposez-vous d’un formulaire de contact dans lequel vous demandez le nom, prénom, numéro de téléphone, l’adresse ou toute autre donnée à caractère personnel ?
- Donnez-vous la possibilité à vos utilisateurs de s’inscrire afin d’être rendus destinataires de votre newsletter en enregistrant leur adresse e-mail ?
- Mettez-vous à disposition de vos utilisateurs un chatbot ?
Si vous répondez à l’affirmative à au moins une de ces questions, vous devez dès lors adopter une Politique de confidentialité, que vous soyez une petite start-up fraîchement constituée ou une grande entreprise mondialement connue.
🤔POLITIQUE DE CONFIDENTIALITÉ : QUELLE UTILITÉ ?
La Politique de confidentialité est un document juridique ayant démontré son utilité à maintes reprises et sous plusieurs aspects :
a) Une Politique de confidentialité vous permet d’être en conformité
Comme dit ci-dessus, la Politique de confidentialité de votre site internet vous permet d’être en règle avec les différentes dispositions légales en vigueur, notamment le RGPD et son article 12.
Une Politique de confidentialité rassemble ainsi l’ensemble des informations à fournir à vos utilisateurs, de manière explicite, détaillée et facilement lisible. En outre, avoir un tel document à disposition vous permet de prouver votre conformité et démontre le respect de votre obligation de transparence et d’information, en cas d’examen par l’autorité de contrôle (l’APD pour la Belgique, “Autorité de Protection des Données”, ou la CNIL pour la France, “Commission Nationale de l’Informatique et des Libertés”).
b) Une Politique de confidentialité permet d’instaurer la confiance de vos utilisateurs
En démontrant votre engagement envers la protection des données personnelles, vous confirmez les valeurs de votre entreprise et créez un lien de confiance avec vos utilisateurs. Ces derniers ont alors une meilleure perception de votre entreprise et sont rassurés lorsqu’ils vous communiquent leurs données puisqu’ils sont informés sur la manière dont elles sont traitées, sur la personne derrière le site internet, sur le potentiel transfert de leurs données à d’autres personnes, sur les mesures techniques, organisationnelles et de sécurité autour de leurs données, etc.
Dans un monde où les données des personnes font de plus en plus l’objet de transactions, la transparence de votre entreprise permet de réduire les inquiétudes de vos utilisateurs et démontre votre bonne foi dans votre volonté à protéger leurs données.
c) Une Politique de confidentialité vous permet d’asseoir votre position sur le marché
En démontrant votre respect des exigences européennes, vous renforcez votre crédibilité sur le marché et vous vous assurez une facilité de transactions. Vous renforcez en effet votre crédibilité à l’égard de vos partenaires en prouvant le sérieux de vos démarches ainsi que votre professionnalisme.
d) Une Politique de confidentialité permet de renforcer la protection juridique de votre entreprise
En adoptant ce document, vous réduisez grandement les risques juridiques associés à une non-conformité de votre entreprise. En effet, vous évitez de cette manière les amendes ou les sanctions réglementaires, telles que l’interdiction de traiter des données. Or, cette sanction peut être très lourde puisqu’il est quasiment impossible à l’heure actuelle pour une entreprise de fonctionner correctement et d’être productive sans utiliser de données.
Vous réduisez également les risques de réclamation ou de litige en indiquant dans votre Politique de confidentialité la possibilité pour vos utilisateurs de vous poser directement leurs questions. En indiquant vos coordonnées de contact ou la manière dont ils peuvent exercer leurs droits, vous évitez à vos utilisateurs de recourir d’office à l’autorité de contrôle compétente, en passant en premier lieu par vous.
Enfin, pour rédiger une Politique de confidentialité solide, vous devez au préalable identifier tous les traitements que vous effectuez, vos points de collecte, vos mesures de protection, etc. Mettre en place un tel document démontre le travail que vous avez déjà fait en amont et la réflexion sur la gestion des risques par laquelle vous avez dû passer.
📑POLITIQUE DE CONFIDENTIALITÉ : QUEL CONTENU ?
Adopter une Politique de confidentialité afin d’être conforme au RGPD est une étape mais y intégrer toutes les informations nécessaires est encore mieux !
Vous trouverez ci-après une check-list qui vous aidera à rédiger une Politique de confidentialité complète, conformément aux articles 13 et 14 du Règlement.
Tout comme pour la rédaction des Conditions Générales d’Utilisation (CGU), n’oubliez pas que vous vous adressez la plupart du temps à des personnes n’ayant que très peu de connaissances en la matière. Veillez donc bien à employer des termes clairs et compréhensibles, adaptés à votre public. Facilitez également la lecture de vos utilisateurs en adoptant une mise en page aérée, une structure claire et visuellement attrayante ou en utilisant des paragraphes courts.
Une Politique de confidentialité complète comprend a minima les informations suivantes :
- Votre identité ainsi que vos coordonnées, en tant que Responsable du traitement (dénomination sociale, siège social, numéro d’entreprise, etc. en cas de personne morale) ;
- Les coordonnées de la personne de contact en cas de question d’un utilisateur portant sur l’usage ou la collecte de données ;
- Les raisons pour lesquelles vous utilisez les données transmises ainsi que la base légale le justifiant ;
Vous pouvez évidemment avoir plusieurs objectifs en tête lorsque vous collectez des données ! De nombreuses entreprises ont effectivement besoin des données de leurs utilisateurs pour fournir les services proposés par leur site internet, pour améliorer leur expérience, pour répondre à une demande de contact, etc.
Le tout est de bien indiquer ces différentes raisons dans votre Politique de confidentialité et de déterminer la base légale pertinente qui s’y rattache (exécution du contrat, intérêt légitime ou consentement de l’utilisateur par exemple).
- Dans l’hypothèse où vous justifiez l’utilisation des données par votre intérêt légitime, vous devez décrire en quoi celui-ci consiste ;
- Les personnes à qui vous êtes susceptibles de transférer les données de vos utilisateurs (sous-traitant, prestataire, etc.) ;
- La durée de conservation de ces données ou du moins, les critères pour déterminer celle-ci ;
Veuillez noter que ces durées de conservation ne sont pas établies en tant que tel dans le RGPD, vous devez les fixer par vous-mêmes. Il existe cependant des guidelines ou des recommandations des différentes autorités de contrôle. Par exemple, les données collectées pour des raisons de prospection commerciale ne peuvent être conservées pendant plus de 3 ans.
- L’existence des droits que le RGPD confère à vos utilisateurs, ainsi que la manière de les exercer ;
Ces droits sont compris aux articles 15 et suivants du RGPD et comprennent le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d’opposition ainsi que le droit de retirer son consentement.
- La possibilité de recourir à l’autorité de contrôle compétente (l’APD pour la Belgique ou la CNIL pour la France par exemple) ;
- Les conséquences si l’utilisateur ne fournit pas ses données (p. ex., l’impossibilité pour l’utilisateur de se créer un compte) ;
- L’existence ou non d’une prise de décision automatisée (par le biais d’algorithmes appliqués sur les données du data subject par exemple). Si tel est le cas, vous devez alors expliquer à l’utilisateur quelle est la logique derrière cette prise de décision automatisée, son importance ainsi que les conséquences pour l’utilisateur.
En outre, si vous n’avez pas collecté les données directement auprès de l’utilisateur (en les récupérant auprès de partenaires commerciaux, par exemple), vous devez indiquer les informations supplémentaires suivantes :
- Les types de données à caractère personnel que vous collectez ;
- La source de ces données à caractère personnel, en mentionnant si elles sont issues ou non de sources accessibles au public.
Enfin, si vous utilisez des cookies à travers votre site internet, vous devez également en informer vos utilisateurs. Cela peut se faire à travers votre Politique de confidentialité mais nous vous recommandons fortement de concentrer l’ensemble des informations se rapportant à vos cookies dans un autre document juridique (la Politique cookie), qui fera l’objet d’un prochain article.
💻️POLITIQUE DE CONFIDENTIALITÉ : COMMENT LA PRÉSENTER À VOS UTILISATEURS ?
Maintenant que vous avez une Politique de confidentialité complète, assurez-vous qu’elle soit facilement accessible à vos utilisateurs. Vous pouvez en effet difficilement prétendre au respect du principe de transparence si les personnes concernées doivent parcourir en long et en large votre site internet avant d’accéder à ce fameux document.
C’est pourquoi nous vous conseillons de prévoir un onglet « Politique de confidentialité » sur lequel vos utilisateurs peuvent cliquer pour y accéder, présent sur toutes les pages de votre site internet (notamment en intégrant cet onglet dans votre footer).
Enfin, votre Politique de confidentialité est susceptible d’évoluer avec le temps (si vous utilisez les données de vos utilisateurs pour de nouvelles raisons par exemple), veillez donc à toujours bien mettre à disposition la dernière version du document et à indiquer la date de sa dernière mise à jour.
***
Notez qu’une Politique de confidentialité peut également être adoptée à l’égard de vos clients, de vos fournisseurs, de vos sous-traitants, de vos employés, de vos prestataires, etc. Le présent article s’est en effet concentré sur la Politique de confidentialité à destination de vos utilisateurs et sur la conformité juridique de votre site internet.
Si vous avez encore des doutes sur cette dernière, n’hésitez pas à faire appel à Lex4u !
Nous avons en effet développé une réelle expertise dans l’audit juridique de sites web et notamment dans la conformité au RGPD.
Lex4u vous offre un audit juridique gratuit de votre site internet dans le cadre de notre campagne de sensibilisation auprès des start-ups et entrepreneurs.
Pour bénéficier de cet audit gratuit, il suffit de remplir le formulaire accessible ci-dessous :
Qu’allez-vous recevoir et qu’allons-nous examiner ?
Dans le cadre de cet audit gratuit, notre engagement porte sur une vérification, essentiellement formelle, des différents textes qui sont présentés (ou non) sur votre site web. Ainsi, nous allons par exemple vérifier si vous avez bel et bien une politique de confidentialité, examiner rapidement le contenu pour voir si toutes les mentions nécessaires sont présentes, voir si vous avez des conditions générales d’utilisation et en vérifier le contenu également ainsi que le processus contractuel en cas d’un e-shop.
C’est bien entendu une vérification rapide et sommaire qui n’engage en aucun cas la responsabilité du cabinet.
Dans la mesure du possible, nous vous fournirons quelques recommandations d’améliorations.
Il ne s’agit en aucun cas d’un audit automatisé mais d’un audit effectué par de « vrais humains » (et on entend par là de vrais avocats 👩🎓👨🎓).
Cet article a été rédigé par :