En raison du fort développement des services en ligne, les données personnelles des utilisateurs sont de plus en plus exposées à des risques d’exploitation frauduleuse. Face à ce constat, il est devenu nécessaire de protéger et de sécuriser ces données. C’est la raison pour laquelle le Règlement général sur la protection des données (RGPD) a été mis en vigueur le 25 mai 2018. Ce règlement vise à renforcer les droits des citoyens européens, ainsi que le contrôle de leurs données personnelles.
En conséquence, les entreprises ont désormais l’obligation de prendre des mesures pour garantir à leurs clients la sécurité de leurs données. Des mesures qui doivent être détaillées dans une politique de confidentialité, aussi appelée charte de confidentialité ou encore charte de protection des données personnelles.Mais que dit exactement le RGPD à ce sujet ? Que doit contenir une politique de confidentialité ? Enfin, quels sont les risques de sanctions en cas de non-conformité aux dispositions du RGPD ?
Me Mirabel Chambaud vous explique tout et vous accompagne dans votre mise en conformité.
Qu’est-ce qu’une charte/politique de confidentialité ?
Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs (d’un service, d’un site Web…). Cette politique doit expliquer en détail le mode de collecte, le traitement, le procédé de publication et de suppression des données personnelles, ainsi que la finalité de ces procédés. L’information qui figure dans la politique de confidentialité doit être claire, concise et transparente.
Ce document doit permettre aux clients et/ou aux utilisateurs de :
- savoir pourquoi leurs informations personnelles sont collectées (l’usage qu’il en est fait) ;
- connaître les modalités de traitement de leurs données personnelles ;
- s’assurer de la protection de leurs données ;
- s’informer sur l’exercice de leurs droits.
La politique de confidentialité permet donc de renforcer la confiance entre l’utilisateur et l’entreprise qui collecte et traite ses données personnelles. En faisant preuve de transparence et de clarté, l’entreprise garantit à ses utilisateurs qu’elle veille à la protection de leurs données.
Qui est concerné par la rédaction d’une politique de confidentialité ?
Toute entreprise et toute organisation qui recueille, de manière directe ou indirecte, les données à caractère personnel de ses clients ou utilisateurs, a pour obligation d’établir une politique de confidentialité. De manière concrète, si votre entreprise possède un site Internet par lequel elle est susceptible de recueillir des données personnelles, vous devez mettre en place une politique de confidentialité.
Une donnée à caractère personnel vise toute information pouvant identifier ou rendre identifiable une personne physique. Il peut s’agir d’un nom, prénom, numéro de téléphone, numéro de sécurité sociale, adresse, etc.
La taille de l’entreprise n’a aucune incidence sur l’obligation de mise en place d’une telle politique, pas plus que le secteur d’activité.
Tout recueil de données personnelles sans la mise en place d’une information relative au traitement de ces données est sanctionnable par la loi. A chaque modification des procédés utilisés pour collecter et traiter les données personnelles des utilisateurs, les informations mises à disposition de ces derniers doivent être mises à jour. L’entreprise doit par ailleurs informer les personnes concernées de toute modification de leurs données, à l’occasion par exemple d’un événement particulier.
Le règlement RGPD impose dans ses articles 12, 13 et 14 une obligation de transparence à l’égard des entreprises. Ces dernières doivent ainsi présenter une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Ce dernier critère d’accessibilité n’est pas défini par le RGPD : il revient donc aux entreprises de juger ce qui relève d’un endroit “accessible”.
Pour quelles raisons devriez-vous créer une politique de confidentialité conforme au RGPD ?
La politique de confidentialité doit être conforme au RGPD (Règlement Général sur la Protection des Données). Il convient d'identifier dans quelles circonstances une entreprise a besoin d'une politique de confidentialité.
La politique de confidentialité doit être établie lorsque :
- Les informations personnelles sont recueillies de manière directe de la part du propriétaire du site. Les formulaires, les contrats, les documents d'établissement de compte bancaire et les achats sur Internet constituent des moyens de collecte.
- Les données sont acquises à l'aide de divers outils qui surveillent les activités des personnes. La vidéosurveillance, la navigation en ligne et d'autres technologies similaires peuvent être utilisées.
- Les données personnelles sont obtenues par le biais d'une base de données d'un partenaire commercial, d'un courtier en données ou d'une source accessible au public.
Quelles informations faut-il communiquer dans une politique de confidentialité, et par quels moyens ?
Pour être conforme au RGPD, une politique de confidentialité doit comporter :
- l’identité et les coordonnées de l’entreprise ;
- la finalité de la collecte des données (à quoi celles-ci vont servir, étant entendu que les données collectées doivent être justifiées par le service rendu au client) ;
- la base légale du traitement des données (le RGPD en prévoit 6 : le consentement des personnes concernées, l’obligation légale, l’obligation contractuelle, la mission d’intérêt public, la sauvegarde des intérêts vitaux et l’intérêt légitime) ;
- le caractère obligatoire ou facultatif du recueil de données, et les conséquences en cas de non-consentement de la personne concernée à fournir ses données personnelles ;
- les destinataires des données recueillies ;
- la durée de conservation des données ;
- les droits des utilisateurs (droit d’accès à leurs données, droit de rectification, droit d’effacement et droit à la limitation des données) ;
- les coordonnées du délégué à la protection des données de l’entreprise, le cas échéant, ou le contact pour toutes les questions relatives à ce sujet ;
- la mention du droit à introduire une réclamation auprès de la CNIL.
Dans le cas d’une collecte indirecte de données, des informations supplémentaires devront figurer dans la politique de confidentialité, à savoir :
- la catégorie des données recueillies ;
- la source des données recueillies.
Pour informer ses clients de l’utilisation qui est faite de leurs données, l’entreprise peut rédiger une politique de confidentialité spécifique, qui peut figurer sur une page seule ou être incluse dans les Conditions générales de vente, ou insérer une page “Confidentialité des données” sur son site Internet. L’essentiel n’est pas tant le moyen de communication utilisé (le RGPD n’en fait pas mention) que la nature de l’information, qui doit obligatoirement être accessible, transparente et compréhensible par tous.
Mentions légales et politique de confidentialité : est-il nécessaire de les séparer sur votre site ?
Les mentions légales et politique de confidentialité doivent être publiées sur tout site web professionnel.
La législation exige qu'elles soient présentées de manière claire et compréhensible pour le plus grand nombre d'individus. Il est également essentiel de veiller à ce qu'elles soient facilement disponibles pour tous les utilisateurs, par exemple au moyen d'un lien dans votre pied de page. Toutefois, la règle ne fait aucune mention de la disposition de ces pages sur votre site web.
Par conséquent, vous pouvez élaborer votre page de mentions obligatoires sur une ou deux pages. Il est possible de créer une page d'informations juridiques distincte de la politique de confidentialité, comme c'est le cas sur la majeure partie des sites Web.
Ce qui compte, c'est le fond, pas la forme : il vous appartient de veiller à ce que toutes les mentions juridiques figurent sur votre site web. Pour vous éviter des sanctions pour non conformité, Captain Contrat vous permet d'obtenir votre politique de confidentialité en ligne.
Les mentions légales et politique de confidentialité doivent être élaborées pour être en conformité avec le RGPD. En réalité, quelques mentions doivent être incluses dans le document. Cela peut se faire en un seul bloc directement sur le support de collecte (par exemple, le formulaire) ou en deux parties sur des supports distincts.
Quels sont les risques de sanctions en l’absence de politique de confidentialité ?
Les entreprises qui ne se mettent pas en conformité avec les dispositions du RGPD encourent deux types de sanctions. Attention : les contrôles de la CNIL se sont durcis ces dernières années, et toute société est susceptible de faire l’objet de sanctions.
Tout d’abord, les sanctions administratives (amendes). L’article 83 du RGPD fait ainsi une liste des conditions permettant à une autorité de contrôle (en France, il s’agit de la CNIL) d’imposer une sanction administrative à une entreprise ou un organisme qui ne respecte pas les dispositions du RGPD. Deux niveaux de sanctions sont prévus : le premier consiste en une amende représentant 2% du chiffre d’affaires, et le second en une amende représentant 4% du chiffre d’affaires. Le site Internet de l’entreprise peut également être suspendu.
Ensuite, les sanctions pénales. L’article 84 du RGPD prévoit que les Etat Membres peuvent mettre en place des sanctions supplémentaires en cas de violation du RGPD. On retrouve ces dispositions dans le Code pénal français.
Se mettre en conformité avec le RGPD n’est pas toujours chose aisée. Il est malheureusement facile de passer à côté de certains impératifs ! Or, en cas de violation (même involontaire) des dispositions RGPD, les sanctions peuvent être très lourdes. C’est la raison pour laquelle il est judicieux de se faire accompagner par un avocat dans la mise en conformité RGPD de son entreprise. Grâce à l’assistance et à l’expertise de votre avocat, vous pourrez mettre en place dans votre entreprise un processus de mise en conformité adapté, tout en étant accompagné dans vos démarches auprès de la CNIL le cas échéant.
- La politique de confidentialité doit notamment permettre aux utilisateurs de savoir quelles sont les informations collectées, l’usage qu’il en est fait, leurs modalités de traitement ou encore sur l’exercice de leurs droits.
- Toute entreprise et toute organisation qui recueille, de manière directe ou indirecte, les données à caractère personnel de ses clients ou utilisateurs, a pour obligation d’établir une politique de confidentialité.
- En cas d’irrégularité, les sanctions administratives et pénales peuvent être importantes.
Une question ? Laissez votre commentaire