Importance de la politique de confidentialité
RGPD et collecte des données
Le Règlement Général sur la Protection des Données (RGPD) UE 2016/679 est un texte règlementaire européen qui a pour objectif l’harmonisation du traitement des données au sein de l’Union européenne.
En France, il est entré en application le 25 mai 2018 et s’inscrit dans la continuité de la loi « Informatique et Libertés » (1978) modifée par la loi relative à la protection des données personnelles (20 juin 2018).
Le RGPD vise un meilleur encadrement de la collecte et de l’usage des données personnelles d’une personne physique, ainsi qu’à permettre une meilleure information de cette dernière.
Notion de donnée de personnelle
Selon le RGPD, est considérée comme une donnée personnelle, « toute information se rapportant à une personne physique identifiée ou identifiable ».
Cela implique donc deux types de données personnelles :
Notion de traitement de données
Est considéré comme un traitement de données, toute opération effectuée sur une de ces données.
Il peut s’agir, par exemple :
Sur un site internet, on ne peut collecter que la ou les données strictement nécessaires au service et en aucun cas anticiper une collecte pour une éventuelle future utilisation.
Si vous désirez créer un formulaire de contact, le nom, le prénom, l’email ou le numéro de téléphone de l’utilisateur seront considérés comme des données légitimes pouvant être collectées. Ce ne sera pas le cas de son groupe sanguin.
Hors rares exceptions, certaines « données sensibles » ne sont en effet pas légitimes à être collectées : appartenance à une ethnie, à une origine, à une tendance politique, etc.
La politique de confidentialité ou la nécessité d’informer l’utilisateur du site
Le RGPD impose l’information correcte de l’utilisateur d’un site web concernant la collecte et le traitement de ses données. Il doit aussi être informé des possibilités d’action concernant ses données que ce soit auprès du responsable de leur traitement qu’auprès d’institutions comme la CNIL.
Cette information doit se faire pour tout service du site nécessitant la collecte et le traitement de données.
C’est le rôle de la « Politique de Confidentialité ».
La présence d’un tel document d’information est donc obligatoire pour tout site internet, professionnel ou non.
La politique de confidentialité fait partie des mentions obligatoires qui doivent figurer sur un site internet professionnel avec :
Le recueil du consentement de l’utilisateur du site
Le RGPD impose non seulement l’information de l’utilisateur du site internet, mais également le recueil de son consentement à la collecte et au traitement de ses données.
Ce consentement ne peut pas se déduire, il doit être clair et sans ambiguïté.
Il est donc recommandé d’inclure une case à cocher de consentement dans les formulaires de collecte de données et de conditionner le fonctionnement du service concerné au fait que cette case soit cochée ou non.
Par exemple, si vous désirez utiliser un formulaire d’abonnement à une newsletter recueillant le nom et l’email de l’utilisateur, ce dernier ne doit pas pouvoir recevoir cette newsletter sans avoir expressément coché la case lui demandant de consentir au traitement de ses données.
Sanctions en cas d’absence de politique de confidentialité sur votre site
Pour un entrepreneur, le fait de traiter des données personnelles sans avoir préalablement recueilli le consentement de l’utilisateur est puni de 300 000 euros d’amende et de 5 ans de prison.
Les éléments essentiels de la politique de confidentialité
Dans le texte de la politique de confidentialité de votre site internet, vous devez vous assurer de la bonne information de l’utilisateur concernant l’usage de ses données.
Cela se traduit par la nécessité d’indiquer clairement un certain nombre d’informations :
Pour l’ensemble des données collectées et traitées :
Pour chaque donnée collectée et traitée :
Comment s’assurer de la rédaction d’une politique de confidentialité conforme au RGPD ?
Le RGPD fixe la façon dont l’internaute doit être averti.
L’information qu’il reçoit quant à la collecte et le traitement de ses données doit se faire de la façon la plus claire possible, sans ambiguïté, être facilement lisible, compréhensible et surtout trouvable.
Il est conseillé de prévoir un lien vers la politique de confidentialité de votre site dans son pied de page ou dans le menu de navigation du site.
Il peut également être intéressant d’inclure dans votre politique de confidentialité votre « charte des cookies » ou l’explication de l’usage et de la finalité des cookies sur votre site internet.
Qui rédige la politique de confidentialité ?
Rédiger vous-même votre politique de confidentialité
Le document doit être personnel et conforme aux obligations légales. Il est absolument déconseillé de recopier la politique de confidentialité d’un autre site, car elle ne correspondra pas forcément aux spécificités de votre site et surtout rien ne vous garantit son respect du RGPD.
Le Règlement Générale sur la Protection des Données n’indique pas qui doit écrire la politique de confidentialité. Mais c’est sur l’éditeur du site que pèsera la responsabilité d’une rédaction non conforme.
Vous pouvez rédiger vous-même la politique de confidentialité de votre site en respectant les principes fixés par le RGPD. L’information doit être la plus claire et exhaustive possible. Bien distinguer entre les différentes utilisations prévues des données collectées.
Mais en raison des fortes sanctions encourues, il est vivement conseillé de recourir à la supervision d’un juriste ou à d’un avocat en fonction de votre budget.
Recourir à un générateur en ligne de politique de confidentialité
Vous pouvez trouver sur internet des sites proposant des générateurs en ligne de politiques de confidentialité.
Il s’agit de petits programmes dont le fonctionnement est relativement simple. Vous répondez à des questions et vos réponses vont permettre la personnalisation du texte pré-écrit.
L’utilisation de générateur de politique de confidentialité est vivement déconseillée, car rien ne vous garantit la conformité du résultat avec le RGPD.
Si vous construisez votre site avec WordPress, vous avez aussi la possibilité d’opter directement sur le CMS pour une page pré-rédigée qui prend en compte les éléments d’identification que vous avez indiqués à la création du site.
Comme le document engage votre responsabilité et que les sanctions sont très élevées , la relecture par un juriste ou un avocat est vivement recommandée.
Confier la rédaction de votre politique de confidentialité à un juriste ou à un avocat
La Politique de Confidentialité de votre site vous expose à de fortes sanctions en cas de manquement à un de vos devoirs d’information ou de bon traitement des données personnelles collectées.
S’agissant de l’application d’un texte règlementaire, il est préférable de confier la rédaction du document à un juriste ou à un avocat.
C’est pour ces raisons que chez Digit Tale, nous confions la rédaction des Politiques de Confidentialité à un rédacteur-juriste.
Questions fréquemment posées
Conformément aux dispositions du RGPD, tout site internet, professionnel ou non, se doit de contenir un document d’information de l’internaute quant à la collecte et l’utilisation de ses données.
Ce document porte le plus souvent le nom de « Politique de Confidentialité ».
Il est donc obligatoire de prévoir « une politique de confidentialité » sur votre site internet, quel que soit le nom que vous donnerez à cette page, tant qu’il est clair et sans ambiguïté.
Les cookies sont de petits programmes qui enregistrent certaines données de l’internaute pour lui permettre notamment une meilleure navigation sur le site. En fonction des données enregistrées, certains cookies vont nécessiter le consentement de l’internaute et d’autres non.
La « Charte des cookies », à l’image de la politique de confidentialité, va informer l’utilisateur sur la nature et la finalité des cookies utilisés. Elle fait partie des mentions obligatoires devant figurer sur un site web.
Il est possible d’inclure la « charte de cookies » dans la politique de confidentialité du site ou de la faire figurer comme un document autonome.
La politique de confidentialité d’un site internet informe l’internaute sur la collecte et l’usage de ses données personnelles. Les Conditions Générales d’utilisation (ou CGU) fixent les règles du bon usage du site internet par l’internaute. Elle indique ses droits et obligations ainsi que ceux de l’éditeur du site.
Les CGU sont purement informatives, mais peuvent revêtir une force contractuelle pour certains services du site où le consentement de l’internaute est requis.
Il ne s’agit pas d’un des documents obligatoires, à l’inverse de la Politique de confidentialité du site.
La politique de confidentialité d’un site internet informe l’internaute sur la collecte et l’usage de ses données personnelles. Les Mentions Légales l’informent de l’identité des responsables du site (éditeur et hébergeur notamment).
Comme pour la politique de confidentialité, les mentions légales font partie des documents obligatoires que doit posséder tout site internet.
Tout site internet, professionnel ou non, se doit de posséder un document d’information de l’internaute quant à la collecte et l’utilisation de ses données personnelles pour être conforme au RGPD.
Ce document porte le plus souvent le nom de « politique de confidentialité ».
Le site d’une association se doit donc de posséder une « politique de confidentialité », quel que soit le nom donné à la page tant que ce dernier reste clair et facilement compréhensible.
Des données peuvent être recueillies de façon visible ou non, comme c’est le cas pour certains cookies de navigation.
Les données personnelles, qu’elles permettent une identification directe ou indirecte de l’internaute, ne sont recueillies qu’après demande du consentement de ce dernier à les donner.
Cela peut être au moment de l’inscription de l’utilisateur sur le site, de son abonnement à une newsletter, lors d’une demande d’information par utilisation d’un formulaire de contact…
La façon la plus rapide d’obtenir une politique de confidentialité pour son site web est de recourir à un générateur en ligne de politique de confidentialité.
Une autre façon tout aussi rapide, lors de la création d’un site sous WordPress, est de demander la création d’une page de politique de confidentialité directement au CMS.
Ces deux procédés sont vivement déconseillés, car ils ne garantissent pas que le document créé soit conforme au RGPD et correspond aux activités et services du site. Une relecture par un juriste ou un avocat est plus que recommandée.
Dans le cadre du RGPD, la finalité du recueil d’une donnée personnelle implique sa pertinence c’est-à-dire son caractère strictement nécessaire pour atteindre l’objectif.
Par exemple, une adresse email est strictement nécessaire pour souscrire un abonnement à une newsletter, mais pas le nombre d’enfants de l’internaute (sauf exception).
Il s’agit de toute opération effectuée sur une donnée, par exemple :
Selon le RGPD, est considérée comme une donnée personnelle, « toute information se rapportant à une personne physique identifiée ou identifiable ».
Cela implique donc deux types de données personnelles :
La politique de confidentialité d’un site web est un document obligatoire informant l’internaute sur l’utilisation de ses données personnelles, sur ses droits et les recours qu’il possède.
La « donnée personnelle » au sens du RGPD ne concerne que les données de personnes physiques.
Les règles fixées par le RGPD concernant le traitement des données personnelles ne concernent ni les personnes morales ni les associations.
Le RGPD confirme l’obligation d’informer tout internaute sur la collecte et le traitement de ses données personnelles ainsi que sur ses droits et recours.
Cette information doit se faire, qu’importe la finalité du site.
Il est donc obligatoire pour tout site, même personnel et sans but professionnel, de posséder une « Politique de Confidentialité » ou un document semblable.
Description de ce bloc. Utilisez cet espace pour décrire votre bloc. N’importe quel texte fera l’affaire. Description de ce bloc. Vous pouvez utiliser cet espace pour décrire votre bloc.
