La politique de confidentialité (ou de protection des données à caractère personnel) comprend les règles qu’une société se fixe en matière de traitement des données personnelles. Le terme anglais est « privacy policy » (politique de protection des données).
Le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel a instauré des obligations en matière de protection de la vie privée des utilisateurs sur Internet. Ce règlement remplace la loi informatique et libertés de 1978.
En effet, la création et le traitement de données personnelles sont soumis à des obligations destinées à protéger les libertés individuelles.
Aujourd’hui, il est devenu incontournable de se doter d’une politique de confidentialité suffisamment exhaustive.
Elle peut être gérée directement par un DPO (délégué à la protection des données).
La politique de confidentialité RGPD comprend le corpus de règle qu’applique une société à la gestion des données personnelles (confidentielles) de ses clients.
Elle réglemente la collecte de données sensibles à caractère personnel.
Cette politique est rendue obligatoire par le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de vos données à caractère personnel.
La société a de nouvelles obligations et doit accorder de nouveaux droits à ses clients (le droit d’accès, le droit d’opposition, le droit à la limitation du traitement, le droit à la portabilité des données, le droit de rectification, le droit à l’oubli).
Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne physique peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, adresse postale, voix ou photo, un identifiant tel que numéro de sécurité sociale, etc.).
L’identification d’une personne physique peut être réalisée soit à partir d’une seule donnée (nom), soit à partir du croisement d’un ensemble de données.
Bon à savoir : les coordonnées d’entreprises ne sont pas, en principe, des données personnelles.
L’article 25 du règlement UE 2016/679 précise que l’employeur doit s’assurer que les outils qu’il utilise sont en conformité avec cette réglementation.
Vous avez l’obligation, dès lors que vous gérer des données personnelles de vous assurer que vous êtes bien en conformité avec la loi et les règlements.
Il est très important de rédiger une politique de confidentialité RGPD sous peine de sanctions pénales.
En effet, l’article 226-16 du Code pénal dispose que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi » est un délit puni de 5 ans d’emprisonnement et de 300.000 euros d’amende.
L’article 226-16-1 du Code pénal puni quant à lui « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » est un délit puni de cinq ans d’emprisonnement et de 300.000 euros d’amende.
Enfin, l’article 226-17 du Code pénal punit « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » des mêmes peines d’emprisonnement.
N’attendez plus ! Télécharger maintenant notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédiger en quelques minutes votre document.
Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.
Vous ne savez pas comment rédiger votre politique de confidentialité RGPD ayant pour objectif l’information sur la protection des données personnelles des utilisateurs de votre site web ?
Pas de panique ! Notre équipe de juristes et avocats vous a préparé un modèle de document politique de confidentialité RGPD entièrement personnalisable, disponible au format WORD.
Ce modèle est à jour du règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Votre document devra contenir un certain nombre d’informations, parmi lesquelles figurent :
Le document doit contenir d’autres informations, que vous retrouverez directement dessus.
C’est la Commission européenne qui a choisi d’actualiser les règles en vigueur depuis 1995. En 2012, elle propose un nouveau règlement : un accord entre le Conseil, le Parlement et la Commission est signé le 15 décembre 2015.
Le texte a été porté par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 13 mai 2014, qui reconnaissait un droit au déréférencement pour les utilisateurs Google.
Enfin, le 1er octobre 2015, la CJUE a invalidé le régime juridique américain du Safe Harbor, qui permettait aux entreprises US d’importer des données personnelles concernant les citoyens européens.
Le Règlement UE 2016/679 a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015.
Le Règlement général sur la protection des données (RGPD) poursuit l’objectif d’être le nouveau pilier en matière de protection des données personnelles, au coeur de l’UE.
Remplaçant la directive de 1995, le RGPD a pour objectif de mieux appréhender les nouveaux usages et les nouveaux modèles économiques enfantés par le boom du numérique.
De plus, ce règlement a pour finalité d’harmoniser le droit européen en ce qui concerne son objet, c’est-à-dire la protection des données personnelles.
Le Règlement général sur la protection des données est entré en vigueur le 24 mai 2016.
Il n’existe aucune liste officielle de ce que sont les données personnelles.
Il faut se référer à la définition officielle : une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable.
Le traitement de données à caractère personnel est définit, par la CNIL, comme « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, etc.) ».
Par ailleurs, un traitement doit comporter un objectif, être associé à des acteurs internes ou externes qui y participent, et identifier les flux des données afin d’en donner l’origine et la localisation. Ainsi, un traitement peut être une vente en ligne, la gestion d’un fichier client, la facturation, le stockage dans la base de données, la gestion des accès aux locaux, etc.
En matière de données personnelles, le responsable sera la personne physique ou morale, de l’autorité publique, du service ou de tout autre organisme qui, seul ou conjointement avec d’autres, « détermine les finalités et les moyens » du traitement de données à caractère personnel.
Concrètement, il s’agira le plus souvent de la société ou du dirigeant de l’entreprise, auxquels s’ajoute le responsable de traitement (sous-traitant).
Bon à savoir : en fonction de la situation, le sous-traitant peut être qualifié de co-responsable de traitement.
Le Règlement est clair : toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.
Le texte ne s’applique pas qu’aux organisations établies dans l’UE. D’autres entreprises (américaines, japonaises, etc.) qui collectent des données personnelles européennes doivent aussi s’y conformer.
Sauf exception particulière, le traitement automatisé de données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL, d’une autorisation ou d’un avis préalable.
Il faut également préciser à la CNIL la finalité du traitement.
Ensuite, il faut soit recevoir le consentement explicite de la personne concernée, soit satisfaire aux conditions prévues par la loi.
Ces conditions sont les suivantes :
En matière de données personnelles, l’utilisateur a les droits suivants :
En bref, toute personne peut s’opposer, pour des motifs légitimes, à ce que ces données (à caractère personnel) fassent l’objet d’un traitement.
En outre, chaque utilisateur peut exiger du responsable du traitement des données personnelles que celles-ci soient effacées, rectifiées, complétées ou mises à jour, dès lors que celles-ci sont équivoques, incomplètes, périmées, inexactes ou que leur collecte, utilisation, communication ou conservation sont interdites.
Ainsi, tout individu qui remplit les critères précités peut introduire une réclamation et demander l’effacement de ses données personnelles.
Vous cherchez un modèle de politique de confidentialité RGPD ?
Vous êtes au bon endroit.
Téléchargez notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédiger en quelques minutes votre document.
Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.