Comment rédiger sa politique de confidentialité en 2024 ?

Depuis plusieurs années, les politiques de confidentialité fleurissent sur un grand nombre de sites internet et d’applications mobiles. À quoi sert une politique de confidentialité ? Est-elle obligatoire ? Comment rédiger une politique de confidentialité en 2024 ? Tous nos conseils et notre modèle de politique de confidentialité.

Politique de confidentialité : définition 

La politique de confidentialité, aussi appelée charte de confidentialité, est un document qui explique en toute transparence, et de manière concise et compréhensible par tous, l’usage qui est fait, par un site internet ou une application mobile, des données personnelles des utilisateurs. 

Cela concerne aussi bien la collecte et le classement de ces données, que leur traitement, leur publication ou leur suppression.

Dans la pratique, le traitement de données à caractère personnel a lieu très fréquemment, notamment lors de l’utilisation d’une application ou d’un site internet. Cela peut être par exemple :

• lors de l’utilisation d’un formulaire de contact ;
• lors de la création d’un compte ;
• lors de la connexion à un espace client ;
• lors de l’inscription à une newsletter.

Par ailleurs, on parle souvent de politique de confidentialité RGPD en référence au Règlement Général sur la Protection des Données. Le règlement UE 2016/679, plus communément appelé RGPD, est entré en application le 25 mai 2018. Il a harmonisé et renforcé au niveau européen les obligations qui s’imposent en cas de traitement de données à caractère personnel.

Par exemple, l’utilisateur doit donner son consentement explicite pour le recueil de ses données. C’est ce qui explique que les sites web vous demandent votre accord pour les cookies informatiques dès que vous arrivez dessus.

Quelles données sont concernées par la politique de confidentialité d’un site internet ?

La politique de confidentialité en 2023 et 2024 est étroitement liée à la notion de données personnelles.

Sont concernées par la confidentialité des données toutes les informations permettant d’identifier une personne physique (un individu) de manière directe ou indirecte. Il peut ainsi s’agir du nom et du prénom de la personne, de son âge, mais aussi d’informations relatives à sa santé, sa religion, sa situation financière ou professionnelle, etc.

Qui est concerné par l’obligation d’établir une politique de confidentialité ?

Avoir une politique de confidentialité est obligatoire pour tous les organismes qui collectent et traitent des données à caractère personnel.

Cela comprend aussi bien un particulier, une entreprise, ou bien une administration. En fait, peu importe le statut juridique du propriétaire du site internet ou de l’application mobile. Le seul critère à prendre en compte est la manipulation de données personnelles.

Or, cela est le cas pour tous les propriétaires de site internet et d’application mobile. C’est pourquoi, mettre à disposition la politique de confidentialité d’un site web est indispensable.

Quel est l’intérêt de rédiger une politique de confidentialité ?

La nécessité de rédiger une politique de confidentialité

La raison d’être de la politique de confidentialité d’un site internet est de permettre à l’utilisateur de :

• savoir pourquoi le propriétaire du site internet collecte ses informations personnelles ;
• savoir quels sont les procédés appliqués au traitement de ses données ;
• s’assurer de la sécurité de ses données sensibles ;
• faciliter l’exercice de ses droits.

Du côté du propriétaire du site web ou de l’application mobile, la politique de confidentialité a vocation à lui permettre d’être en conformité avec le RGPD, et de se prémunir en cas de litige. En effet, la mise à disposition de la politique de confidentialité lui permet de prouver qu’il a bien rempli ses obligations relatives à la protection des données personnelles.

Quelles sont les sanctions en cas de non-conformité concernant la politique de confidentialité ?

Les entreprises qui ne respectent pas les obligations énoncées par le RGPD quant à la mise en place d’une politique de confidentialité peuvent faire l’objet de sanctions tant administratives que pénales. 

Deux niveaux de sanctions administratives sont envisageables : 

• une amende s’élevant à 2% du chiffre d'affaires ;
• tandis que le deuxième niveau de sanction peut entraîner une amende équivalente à 4% du chiffre d'affaires. 

Par ailleurs, il est aussi possible de faire l’objet de sanctions pénales. En effet, le RGPD autorise les États membres à établir des sanctions pénales adaptées en cas de non-respect de ses dispositions. 

En France, le Code pénal énonce que le traitement de données à caractère personnel sans respect des formalités préalables prévues par la loi peut entraîner une peine de cinq ans d'emprisonnement et une amende de 300 000 euros. De même, le détournement de la finalité des données personnelles lors d'un traitement est passible de cinq ans d'emprisonnement et d'une amende de 300 000 euros. 

Comment rédiger une politique de confidentialité conforme au RGPD ? 

Avoir une politique de confidentialité en 2024 ne suffit pas à être en conformité avec le RGPD. Ainsi, que vous utilisiez ou non un exemple de politique de confidentialité pour vous aider dans la rédaction de votre politique de confidentialité, ce document doit répondre à certaines exigences.

Rédaction d’une politique de confidentialité conforme au RGPD : bonnes pratiques

Selon le RGPD, la politique de confidentialité doit être rédigée « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

Cela implique de :

• rédiger de manière simple pour que le plus grand nombre puisse comprendre facilement son contenu. Il convient donc d’éviter les termes trop techniques ou juridiques ;
  
  
• ne pas noyer le lecteur d’informations inutiles qui nuiraient à la bonne compréhension du texte et à sa transparence ;
  
  
• rendre accessible la politique de confidentialité. Généralement, un lien vers la page de politique de confidentialité dédiée est placé en pied de page (footer) du site web.

Les politiques de confidentialité peuvent aussi être construites de manière à faciliter la navigation : utilisation d’onglets, de renvois facilités, etc.

En résumé, la politique de confidentialité doit permettre au responsable de traitement de démontrer qu’il traite les données en toute transparence, et à la personne concernée de savoir comment sont traitées les données le concernant.

Les mentions obligatoires dans une politique de confidentialité

Vous pouvez rédiger seul votre politique de confidentialité et vous aider d’un modèle de politique de confidentialité de site internet, ou faire appel à un professionnel. Dans tous les cas, la politique de confidentialité doit contenir un certain nombre de mentions obligatoires, qui correspondent aux mentions d’information imposées par le RGPD.

En cas de collecte directe des données personnelles, les mentions obligatoires sont :

• l’identité et les coordonnées du propriétaire du site ou de l’application ;
• l’identité et les coordonnées du responsable du traitement des données ;
• l’identité et les coordonnées du délégué à la protection des données, le cas échéant ;
• le but de la collecte des données à caractère personnel ;
• les bases légales qui permettent au propriétaire du site de collecter et de traiter ces données. Par exemple, la signature d’un contrat ou le consentement donné par la personne ;
• le caractère obligatoire ou facultatif de la collecte de données. Ainsi, un e-commerce doit forcément recueillir le nom, le prénom ou encore l’adresse postale de ces clients pour éditer la facture et livrer l’achat réalisé en ligne
• les différents types de personnes amenées à traiter ces données ;
• le délai de conversation des données ;
• les conditions de suppression ;
• le droit d’accès, de modification et de suppression des personnes à leurs données personnelles, ainsi que la portabilité des données ;
• les droits de réclamations auprès de la CNIL.

En cas de collecte indirecte des données, la déclaration de confidentialité doit préciser la catégorie de données collectées et les sources utilisées pour le faire.

Les mentions facultatives dans une politique de confidentialité

En fonction de votre situation, le contenu de la politique de confidentialité de votre site internet ou de votre application mobile peut varier. Ainsi, en plus des mentions obligatoires, certaines mentions vont venir compléter la politique de confidentialité.

La politique de confidentialité, par exemple, doit préciser les modalités de traitement des données personnelles des utilisateurs si elles sont transférées en dehors de l’Union européenne. Elle doit également indiquer les garanties prises dans le cadre de ce transfert.

En outre, si la politique de confidentialité fait référence à l’intérêt légitime, elle doit définir le contenu de celui-ci et indiquer les mesures prises pour éviter les fraudes.

D’autre part, si le propriétaire du site utilise les données recueillies pour faire du profilage, il convient de préciser le fonctionnement de l’algorithme utilisé et ses conséquences.

FAQ 

En quoi consiste l’obligation d’information du responsable du traitement ?

Le responsable d’un traitement de données à caractère personnel est soumis au respect de certaines obligations pour que son traitement soit licite. Notamment, il doit informer la personne dont les données sont traitées (ou « personne concernée ») des modalités du traitement mis en œuvre. Le RGPD précise que la personne concernée doit être informée lors de la collecte de ses données. Des mentions d’information doivent apparaître dès la phase de collecte des données (par exemple, lors du remplissage des formulaires).

La politique de confidentialité permet de centraliser les informations relatives aux différents traitements opérés sur le site ou l’application. 

Comment utiliser un générateur de politique de confidentialité ?

Pour la rédaction de votre politique de confidentialité, un exemple type peut être utilisé de manière dynamique, afin de s’adapter à votre situation spécifique. Ainsi, le générateur de politique de confidentialité vous demande de renseigner les informations relatives à votre organisme et au responsable du traitement des données. Ensuite, vous répondez à plusieurs questions pour personnaliser le contenu. Une politique de confidentialité est alors générée et téléchargeable.

La politique de confidentialité est-elle obligatoire pour votre site web ?

Si elle n’est pas obligatoire au sens de la réglementation, elle se révèle indispensable dès lors que l’on sort du simple site institutionnel et que plusieurs traitements de données à caractère personnel sont mis en œuvre.

Qu’est-ce que le Privacy by design ?

Le Privacy by Design (PbD) consiste à faire de la protection des données personnelles et de la vie privée comme une priorité absolue de l'entreprise. 

Principales sources législatives et réglementaires : 

• Article 12.1 - RGPD
• Article 13 - RGPD
• Article 14 - RGPD