Politique de confidentialité RGPD

Le RGPD a bouleversé les obligations des entreprises collectant des données personnelles. Son champ d’application très vaste concerne presque toutes les entreprises, et les sanctions administratives se comptant en plusieurs dizaines de millions d’euro infligées par la CNIL aux grands groupes ont démontré que l’autorité de contrôle veillait au grain. 

Avec l’entrée en application du RGPD le 25 mai 2018, fini le temps la déclaration préalable à la CNIL afin de traiter les données personnelles. Il faut dorénavant se concentrer sur les obligations de fonds posées par le RGPD. C’est pourquoi, il est devenu presque obligatoire, par la force des choses, pour les entreprises de se doter d’une politique de confidentialité suffisamment exhaustive en conformité avec le RGPD. 

Votre assistant juridique augmenté QIIRO vous propose un modèle de politique de confidentialité à jour du RGPD à télécharger au format Word. 

Voyons les innovations du RGPD, au travers de cet article et de la FAQ que vous trouverez au bas de cette page.

La politique de confidentialité RGPD comprend le corpus de règles qu’applique une société à la gestion des données personnelles (confidentielles) de ses clients.

Elle réglemente la collecte de données sensibles à caractère personnel.

Cette politique est rendue obligatoire par le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de vos données à caractère personnel.

La société a de nouvelles obligations et doit accorder de nouveaux droits à ses clients (le droit d’accès, le droit d’opposition, le droit à la limitation du traitement, le droit à la portabilité des données, le droit de rectification, le droit à l’oubli).

Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable. 

Une personne physique peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, adresse postale, voix ou photo, un identifiant tel que numéro de sécurité sociale, etc.).

L’identification d’une personne physique peut être réalisée soit à partir d’une seule donnée (nom), soit à partir du croisement d’un ensemble de données.

Bon à savoir :

Les coordonnées d’entreprises ne sont pas, en principe, des données personnelles.

Le RGPD interdit en principe, la collecte et le traitement des données personnelles dites “sensibles”. On retrouve parmi les données sensibles : Les éléments qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

Certaines exceptions existent pour ces données sensibles notamment dans le domaine médical.

Vous avez l’obligation, dès lors que vous gérer des données personnelles de vous assurer que vous êtes bien en conformité avec la loi et les règlements.

Il est très important de rédiger une politique de confidentialité RGPD sous peine de sanctions administratives et pénales.

Les sanctions administratives peuvent aller jusqu’à un pourcentage compris entre 2 et 4% du chiffre d'affaires mondial de l’entreprise. 

Tout le monde a en tête la spectaculaire amende administrative de 50 millions d’euro infligée à Google par la CNIL en 2019

S’agissant des sanctions pénales, l’article 226-16 du Code pénal dispose que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi » est un délit puni de 5 ans d’emprisonnement et de 300.000 euros d’amende.

L’article 226-16-1 du Code pénal puni quant à lui « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » est un délit puni de cinq ans d’emprisonnement et de 300.000 euros d’amende.

Enfin, l’article 226-17 du Code pénal punit « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » des mêmes peines d’emprisonnement.

N’attendez plus ! Télécharger maintenant notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédiger en quelques minutes votre document.

Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.

Vous ne savez pas comment rédiger votre politique de confidentialité RGPD ayant pour objectif l’information sur la protection des données personnelles des utilisateurs  de votre site web ?

Pas de panique ! Notre équipe de juristes et avocats vous a préparé un modèle de document politique de confidentialité RGPD entièrement personnalisable, disponible au format WORD.

Ce modèle est à jour du règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Votre document devra contenir un certain nombre d’informations, parmi lesquelles figurent :

• Les informations sur la société propriétaire du site web : dénomination sociale, forme juridique, capital social, siège social, lieu et numéro d’immatriculation au RCS, adresse de contact (mail, téléphone) ;

• Le consentement de l’utilisateur : il est nécessaire de préciser que l’utilisateur, en continuant la navigation sur le site web, consent à la présente politique de confidentialité ;

• Le temps de conservation des données et son/ses destinataires : il est important de préciser à l’utilisateur le temps durant lequel le site et la société conserveront ses données, ce qui peut être par exemple le temps nécessaire à l’accomplissement des finalités poursuivies. Toutefois, vous pouvez préciser que nonobstant la règle de principe concernant la conservation des données personnelles, le site et la société appliquent une durée de conservation différente pour certaines données, que vous devez spécifier. Il faut préciser combien de temps les données sont conservées.

• L’usage des données : pour traiter les données personnelles, vous devez préciser leur usage (prospection commerciale, nécessité de collecte des données pour une meilleure utilisation du site, pour l’exécution du contrat, etc.)
  
  

Le document doit contenir d’autres informations, que vous retrouverez directement dessus.

D’où vient le RGPD ?

C’est la Commission européenne qui a choisi d’actualiser les règles en vigueur depuis 1995. En 2012, elle propose un nouveau règlement : un accord entre le Conseil, le Parlement et la Commission est signé le 15 décembre 2015.

Le texte a été porté par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 13 mai 2014, qui reconnaissait un droit au déréférencement pour les utilisateurs Google.

Enfin, le 1er octobre 2015, la CJUE a invalidé le régime juridique américain du Safe Harbor, qui permettait aux entreprises US d’importer des données personnelles concernant les citoyens européens.

Le règlement UE 2016/679 a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015.

Quel est l’objectif du RGPD ?

Le Règlement général sur la protection des données (RGPD) poursuit l’objectif d’être le nouveau pilier en matière de protection des données personnelles, au cœur de l’UE.

Remplaçant la directive de 1995, le RGPD a pour objectif de mieux appréhender les nouveaux usages et les nouveaux modèles économiques enfantés par le boom du numérique.

De plus, ce règlement a pour finalité d’harmoniser le droit européen en ce qui concerne son objet, c’est-à-dire la protection des données personnelles.

Quand est-ce que le RGPD est entré en vigueur ?

Le Règlement général sur la protection des données est entré en vigueur le 24 mai 2016 et est entré en application le 25 mai 2018.

Existe-t-il une liste des données personnelles ?

Il n’existe aucune liste officielle de ce que sont les données personnelles.

‍

Il faut se référer à la définition officielle : une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable.

Qu’est-ce qu’un traitement ?

Le traitement de données à caractère personnel est définit, par la CNIL, comme « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, etc.) ».

Par ailleurs, un traitement doit comporter un objectif, être associé à des acteurs internes ou externes qui y participent, et identifier les flux des données afin d’en donner l’origine et la localisation. Ainsi, un traitement peut être une vente en ligne, la gestion d’un fichier client, la facturation, le stockage dans la base de données, la gestion des accès aux locaux, etc.

Qui est responsable ?

En matière de données personnelles, le responsable sera la personne physique ou morale, de l’autorité publique, du service ou de tout autre organisme qui, seul ou conjointement avec d’autres, « détermine les finalités et les moyens » du traitement de données à caractère personnel.

Concrètement, il s’agira le plus souvent de la société ou du dirigeant de l’entreprise, auxquels s’ajoute le responsable de traitement (sous-traitant).

Bon à savoir :

En fonction de la situation, le sous-traitant peut être qualifié de co-responsable de traitement.

Qui doit se conformer au RGPD ?

Le Règlement est clair : toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. 

Le texte ne s’applique pas qu’aux organisations établies dans l’UE. D’autres entreprises (américaines, japonaises, etc.) qui collectent des données personnelles européennes doivent aussi s’y conformer.

À quelle condition peut-on collecter des données personnelles ?

Il faut soit recevoir le consentement explicite de la personne concernée, soit satisfaire aux conditions prévues par la loi.

Ces conditions sont les suivantes :

• La collecte et le traitement doivent être conformes à certains principes juridiques ;
• Les données personnelles ne pourront être collectées que pour certaines finalités, qui doivent être précisément déterminées, explicites et légitimes. Elles ne peuvent, par ailleurs, être réutilisées de manière incompatible avec cette finalité.
• Lesdites données doivent être collectées de manière licite et loyale. De plus, elles doivent être adéquates, pertinentes et non excessives eu égard aux finalités. En d’autres termes, la collecte ne doit porter que sur des données strictement nécessaires pour atteindre l’objectif déterminé.
• Enfin, les données personnelles doivent être exactes, complètes et mises à jour.

Faut-il encore procéder à une déclaration à la CNIL de la collecte des données ?

Depuis l’entrée en application du RGPD le 25 mai 2018, le système de déclaration à la CNIL a disparu. 

Dorénavant il faut se concentrer sur le respect des obligations de fonds posées par le RGPD (consentement, finalité, pertinence, durée de conservation, droits des personnes, sécurité, documentation). 

Quels sont les droits de l’utilisateur ?

En matière de données personnelles, l’utilisateur a les droits suivants :

• Le droit d’accès : si l’utilisateur en fait la demande, la société lui fournira une copie des données personnelles qui le concernent ;

• Le droit d’opposition : l’utilisateur a le droit de s’opposer à ce que ses données personnelles soient traitées par la société.

• Le droit à la limitation du traitement : l’utilisateur a le droit de demander à la société que celle-ci limite le traitement de ses données personnelles, notamment lorsque celui-ci s’oppose à ce traitement, conteste l’exactitude des données ou lorsqu’il pense que l’utilisation en est illicite.

• Le droit à la portabilité des données : l’utilisateur peut, sous certaines conditions, demander à recevoir l’intégralité de ses données personnelles pour les transférer vers un autre responsable de traitement, sans que la société ne puisse s’y opposer.

• Le droit de rectification : l’utilisateur peut demander à la société de rectifier les données personnelles qui lui ont été communiquées par lui.

• Le droit à l’oubli : sous certaines conditions, l’utilisateur a le droit d’obtenir de la société qu’elle efface dans les meilleurs délais certaines données personnelles le concernant. Le droit à l’oubli ne peut être obtenu que dans certains cas, et notamment pour des motifs d’intérêt public, à des fins d’archives ou pour respecter des obligations légales conditionnant le traitement des données personnelles par la société.

En bref, toute personne peut s’opposer, pour des motifs légitimes, à ce que ces données (à caractère personnel) fassent l’objet d’un traitement. 

En outre, chaque utilisateur peut exiger du responsable du traitement des données personnelles que celles-ci soient effacées, rectifiées, complétées ou mises à jour, dès lors que celles-ci sont équivoques, incomplètes, périmées, inexactes ou que leur collecte, utilisation, communication ou conservation sont interdites. 

Ainsi, tout individu qui remplit les critères précités peut introduire une réclamation et demander l’effacement de ses données personnelles.

Vous cherchez un modèle de politique de confidentialité RGPD ?

Vous êtes au bon endroit.

Téléchargez notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédigez en quelques minutes votre document.

Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.