Politique de confidentialité RGPD

La politique de confidentialité (ou de protection des données à caractère personnel) comprend les règles qu’une société se fixe en matière de traitement des données personnelles. Le terme anglais est « privacy policy » (politique de protection des données).

Le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel a instauré des obligations en matière de protection de la vie privée des utilisateurs sur Internet. Ce règlement remplace la loi informatique et libertés de 1978.

En effet, la création et le traitement de données personnelles sont soumis à des obligations destinées à protéger les libertés individuelles.

Aujourd’hui, il est devenu incontournable de se doter d’une politique de confidentialité suffisamment exhaustive.

Elle peut être gérée directement par un DPO (délégué à la protection des données).

La politique de confidentialité RGPD comprend le corpus de règle qu’applique une société à la gestion des données personnelles (confidentielles) de ses clients.

Elle réglemente la collecte de données sensibles à caractère personnel.

Cette politique est rendue obligatoire par le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de vos données à caractère personnel.

La société a de nouvelles obligations et doit accorder de nouveaux droits à ses clients (le droit d’accès, le droit d’opposition, le droit à la limitation du traitement, le droit à la portabilité des données, le droit de rectification, le droit à l’oubli).

Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable. 

Une personne physique peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, adresse postale, voix ou photo, un identifiant tel que numéro de sécurité sociale, etc.).

L’identification d’une personne physique peut être réalisée soit à partir d’une seule donnée (nom), soit à partir du croisement d’un ensemble de données.

Bon à savoir : les coordonnées d’entreprises ne sont pas, en principe, des données personnelles.

L’article 25 du règlement UE 2016/679 précise que l’employeur doit s’assurer que les outils qu’il utilise sont en conformité avec cette réglementation.

Vous avez l’obligation, dès lors que vous gérer des données personnelles de vous assurer que vous êtes bien en conformité avec la loi et les règlements.

Il est très important de rédiger une politique de confidentialité RGPD sous peine de sanctions pénales.

En effet, l’article 226-16 du Code pénal dispose que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi » est un délit puni de 5 ans d’emprisonnement et de 300.000 euros d’amende.

L’article 226-16-1 du Code pénal puni quant à lui « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » est un délit puni de cinq ans d’emprisonnement et de 300.000 euros d’amende.

Enfin, l’article 226-17 du Code pénal punit « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » des mêmes peines d’emprisonnement.

N’attendez plus ! Télécharger maintenant notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédiger en quelques minutes votre document.

Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.

Vous ne savez pas comment rédiger votre politique de confidentialité RGPD ayant pour objectif l’information sur la protection des données personnelles des utilisateurs  de votre site web ?

Pas de panique ! Notre équipe de juristes et avocats vous a préparé un modèle de document politique de confidentialité RGPD entièrement personnalisable, disponible au format WORD.

Ce modèle est à jour du règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Votre document devra contenir un certain nombre d’informations, parmi lesquelles figurent :

• Les informations sur la société propriétaire du site web : dénomination sociale, forme juridique, capital social, siège social, lieu et numéro d’immatriculation au RCS, adresse de contact (mail, téléphone) ;
• Le consentement de l’utilisateur : il est nécessaire de préciser que l’utilisateur, en continuant la navigation sur le site web, consent à la présente politique de confidentialité ;
• Le temps de conservation des données et son/ses destinataires : il est important de préciser à l’utilisateur le temps durant lequel le site et la société conserveront ses données, ce qui peut être par exemple le temps nécessaire à l’accomplissement des finalités poursuivies. Toutefois, vous pouvez préciser que nonobstant la règle de principe concernant la conservation des données personnelles, le site et la société appliquent une durée de conservation différente pour certaines données, que vous devez spécifier. Il faut préciser combien de temps les données sont conservées.
• L’usage des données : pour traiter les données personnelles, vous devez préciser leur usage (prospection commerciale, nécessité de collecte des données pour une meilleure utilisation du site, pour l’exécution du contrat, etc.)

Le document doit contenir d’autres informations, que vous retrouverez directement dessus.

D’où vient le RGPD ?

C’est la Commission européenne qui a choisi d’actualiser les règles en vigueur depuis 1995. En 2012, elle propose un nouveau règlement : un accord entre le Conseil, le Parlement et la Commission est signé le 15 décembre 2015.

Le texte a été porté par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 13 mai 2014, qui reconnaissait un droit au déréférencement pour les utilisateurs Google.

Enfin, le 1er octobre 2015, la CJUE a invalidé le régime juridique américain du Safe Harbor, qui permettait aux entreprises US d’importer des données personnelles concernant les citoyens européens.

Le Règlement UE 2016/679 a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015.

Quel est l’objectif du RGPD ?

Le Règlement général sur la protection des données (RGPD) poursuit l’objectif d’être le nouveau pilier en matière de protection des données personnelles, au coeur de l’UE.

Remplaçant la directive de 1995, le RGPD a pour objectif de mieux appréhender les nouveaux usages et les nouveaux modèles économiques enfantés par le boom du numérique.

De plus, ce règlement a pour finalité d’harmoniser le droit européen en ce qui concerne son objet, c’est-à-dire la protection des données personnelles.

Quand est-ce que le RGPD est entré en vigueur ?

Le Règlement général sur la protection des données est entré en vigueur le 24 mai 2016.

Existe-t-il une liste des données personnelles ?

Il n’existe aucune liste officielle de ce que sont les données personnelles.

‍

Il faut se référer à la définition officielle : une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable.

Qu’est-ce qu’un traitement ?

Le traitement de données à caractère personnel est définit, par la CNIL, comme « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, etc.) ».

Par ailleurs, un traitement doit comporter un objectif, être associé à des acteurs internes ou externes qui y participent, et identifier les flux des données afin d’en donner l’origine et la localisation. Ainsi, un traitement peut être une vente en ligne, la gestion d’un fichier client, la facturation, le stockage dans la base de données, la gestion des accès aux locaux, etc.

Qui est responsable ?

En matière de données personnelles, le responsable sera la personne physique ou morale, de l’autorité publique, du service ou de tout autre organisme qui, seul ou conjointement avec d’autres, « détermine les finalités et les moyens » du traitement de données à caractère personnel.

Concrètement, il s’agira le plus souvent de la société ou du dirigeant de l’entreprise, auxquels s’ajoute le responsable de traitement (sous-traitant).

Bon à savoir : en fonction de la situation, le sous-traitant peut être qualifié de co-responsable de traitement.

Qui doit se conformer au RGPD ?

Le Règlement est clair : toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. 

Le texte ne s’applique pas qu’aux organisations établies dans l’UE. D’autres entreprises (américaines, japonaises, etc.) qui collectent des données personnelles européennes doivent aussi s’y conformer.

À quelle condition peut-on collecter des données personnelles ?

Sauf exception particulière, le traitement automatisé de données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL, d’une autorisation ou d’un avis préalable.

Il faut également préciser à la CNIL la finalité du traitement.

Ensuite, il faut soit recevoir le consentement explicite de la personne concernée, soit satisfaire aux conditions prévues par la loi.

Ces conditions sont les suivantes :

• La collecte et le traitement doivent être conformes à certains principes juridiques ;
• Les données personnelles ne pourront être collectées que pour certaines finalités, qui doivent être précisément déterminées, explicites et légitimes. Elles ne peuvent, par ailleurs, être réutilisées de manière incompatible avec cette finalité.
• Lesdites données doivent être collectées de manière licite et loyale. De plus, elles doivent être adéquates, pertinentes et non excessives eu égard aux finalités. En d’autres termes, la collecte ne doit porter que sur des données strictement nécessaires pour atteindre l’objectif déterminé.
• Enfin, les données personnelles doivent être exactes, complètes et mises à jour.
  
  

Quels sont les droits de l’utilisateur ?

En matière de données personnelles, l’utilisateur a les droits suivants :

• Le droit d’accès : si l’utilisateur en fait la demande, la société lui fournira une copie des données personnelles qui le concernent ;

• Le droit d’opposition : l’utilisateur a le droit de s’opposer à ce que ses données personnelles soient traitées par la société.

• Le droit à la limitation du traitement : l’utilisateur a le droit de demander à la société que celle-ci limite le traitement de ses données personnelles, notamment lorsque celui-ci s’oppose à ce traitement, conteste l’exactitude des données ou lorsqu’il pense que l’utilisation en est illicite.

• Le droit à la portabilité des données : l’utilisateur peut, sous certaines conditions, demander à recevoir l’intégralité de ses données personnelles pour les transférer vers un autre responsable de traitement, sans que la société ne puisse s’y opposer.

• Le droit de rectification : l’utilisateur peut demander à la société de rectifier les données personnelles qui lui ont été communiquées par lui.

• Le droit à l’oubli : sous certaines conditions, l’utilisateur a le droit d’obtenir de la société qu’elle efface dans les meilleurs délais certaines données personnelles le concernant. Le droit à l’oubli ne peut être obtenu que dans certains cas, et notamment pour des motifs d’intérêt public, à des fins d’archives ou pour respecter des obligations légales conditionnant le traitement des données personnelles par la société.

En bref, toute personne peut s’opposer, pour des motifs légitimes, à ce que ces données (à caractère personnel) fassent l’objet d’un traitement. 

En outre, chaque utilisateur peut exiger du responsable du traitement des données personnelles que celles-ci soient effacées, rectifiées, complétées ou mises à jour, dès lors que celles-ci sont équivoques, incomplètes, périmées, inexactes ou que leur collecte, utilisation, communication ou conservation sont interdites. 

Ainsi, tout individu qui remplit les critères précités peut introduire une réclamation et demander l’effacement de ses données personnelles.

Vous cherchez un modèle de politique de confidentialité RGPD ?

Vous êtes au bon endroit.

Téléchargez notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédiger en quelques minutes votre document.

Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.