Politique de Confidentialité RGPD

de Maria P.
Politique de Confidentialité RGPD

Le Règlement général sur la protection des données (RGPD) est une législation de l'UE qui vise à procurer aux ressortissants de l'UE un meilleur contrôle de leurs données. En vertu de ce règlement, les entreprises qui manipulent des données de ressortissants de l'UE doivent se conformer aux règles relatives aux données et à la confidentialité.

Parmi les exigences et les modifications clés figure le fait que votre Politique de Confidentialité devra être mise à jour pour refléter les exigences du RGPD. Dans certains cas, vous pouvez être tenus d'envoyer ou de publier un Avis de mise à jour concernant des modifications de votre Politique de Confidentialité.

Cette publication a pour but de mieux vous familiariser avec le RGPD et de vous montrer ce à quoi votre accord de Politique de Confidentialité doit ressembler en tenant compte du RGPD.


Qu'est-ce que le RGPD et pourquoi êtes-vous tenus de vous y conformer ?

Le RGPD est une nouvelle législation sur la sécurité des données et la confidentialité qui a été élaborée par le Parlement et le Conseil européens pour les droits à la protection des données des ressortissants de l'UE. Les entreprises (y compris les sites Internet, les applications mobiles et de bureau, etc.) qui réalisent des transactions commerciales avec des ressortissants de l'UE seront concernées par ce règlement.

Le 25 mai 2018, le RGPD a remplacé la loi existante sur la protection des données, à savoir la Directive relative à la protection des données qui était en vigueur depuis 1995. Si votre société collecte ou traite les données de ressortissants de l'UE, vous êtes tenus de vous conformer à ce règlement. Tout non-respect est passible de lourdes amendes pouvant atteindre 20 millions € ou quatre pour cent du chiffre d'affaires annuel, le montant le plus élevé étant retenu.

Parmi les objectifs et exigences clés du RGPD figure le fait de tenir les ressortissants de l'UE informés de la manière dont les entreprises collectent, utilisent, partagent, sécurisent et traitent leurs données à caractère personnel.

En vertu du RGPD, vous êtes tenus d'informer vos clients des raisons pour lesquelles vous traitez leurs données et de la durée pendant laquelle vous les stockerez. Vous devez leur indiquer dans des termes simples et clairs comment vous utilisez leurs données. Toutes ces informations doivent leur être communiquées gratuitement. Lorsque les utilisateurs sont des enfants, vous êtes tenus de les informer dans des termes qu'ils peuvent comprendre - et non dans un jargon de juristes.

Informations RGPD : Texte complet du Considérant 58 : Le principe de transparence

Votre Politique de Confidentialité est l'un des moyens les plus simples de garantir votre transparence et d'informer vos utilisateurs.

Votre Politique de Confidentialité conforme au RGPD

En vertu du RGPD, vous serez tenus de rédiger une Politique de Confidentialité complète mais simple, et de la rendre accessible à vos utilisateurs.

Avant le RGPD, il était accepté et attendu que la plupart des Politiques de Confidentialité comportent les informations suivantes :

  • Les informations à caractère personnel que vous collectez
  • Comment vous les collectez
  • À quelles fins vous les utilisez
  • Comment vous les sécurisez
  • Si vous les partagez avec des tiers
  • Tout contrôle que les utilisateurs peuvent exercer sur ce qui précède

Or, désormais, le RGPD a renforcé les exigences concernant le contenu de votre Politique de Confidentialité.

Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:

  1. Click on "Start creating your Privacy Policy" on our website.
  2. Select the platforms where your Privacy Policy will be used and go to the next step.
  3. PrivacyPolicies.com: Privacy Policy Generator - Select platforms - Step 1

  4. Add information about your business: your website and/or app.
  5. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  6. Select the country:
  7. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  8. Answer the questions from our wizard relating to what type of information you collect from your users.
  9. PrivacyPolicies.com: Privacy Policy Generator - Answer questions from our wizard - Step 3

  10. Enter your email address where you'd like your Privacy Policy sent and click "Generate".

    PrivacyPolicies.com: Privacy Policy Generator - Enter your email address - Step 4

    And you're done! Now you can copy or link to your hosted Privacy Policy.

Examinons quelques mises à jour et clauses propres au RGPD que votre Politique de Confidentialité doit intégrer.

Qui est votre responsable du traitement des données et ses coordonnées

Si vous êtes le responsable du traitement des informations à caractère personnel de vos clients ou si vous les traitez pour une autre société, informez-en vos clients. Indiquez-leur qui vous êtes et le rôle que vous jouez concernant leurs données.

Dans cet exemple, Slack - une société en cloud - indique à ses utilisateurs que sa société basée en Irlande contrôle et traite les informations en qualité d'utilisateurs autorisés des clients en dehors des États-Unis et du Canada. Elle précise également que sa société basée aux États-Unis contrôle et traite les informations en qualité d'utilisateurs autorisés des clients aux États-Unis et au Canada.

Politique de Confidentialité Slack : Clauses Délégué à la protection des données et identification du responsable du traitement des données et du sous-traitant du traitement

Voici comment Towergate procède dans son Avis de traitement équitable. Vous pouvez inclure une clause similaire à votre Politique de Confidentialité :

Avis de traitement équitable Towergate : Clause Qui sommes-nous : Coordonnées du responsable du traitement des données RGPD

Towergate indique clairement à ses utilisateurs qu'elle est le responsable du traitement de leurs données. Toutes les informations communiquées par les utilisateurs sont conservées par Towergate.

Qui est votre DPD et ses coordonnées

Les entreprises ne sont pas toutes tenues de compter un Délégué à la protection des données (DPD) en vertu du RGPD.

Toutefois, si vous l'êtes, vous devrez inclure des informations à ce sujet dans votre Politique de Confidentialité, ainsi que les coordonnées du DPD.

GitHub a intégré un tableau à sa Déclaration de Confidentialité dans un article Résolution des réclamations qui indique les coordonnées du DPD.

Déclaration de confidentialité GitHub : Clause Résolution des réclamations avec coordonnées du DPD

Si vous utilisez des données pour prendre des décisions automatisées

Le RGPD exige que vous informiez vos clients si vous utilisez des décisions automatisées (par exemple, pour des notations de crédit ou pour profiler des utilisateurs) pour fournir des services/produits à vos utilisateurs.

Voici comment Towergate procède :

Avis de traitement équitable Towergate : Article Vos droits : Prise de décisions automatisée : RGPD

Informer les utilisateurs des 8 droits dont ils disposent en vertu du RGPD

Le RGPD exige que vous indiquiez à vos utilisateurs leurs 8 droits en vertu du RGPD, qui sont :

  1. Le droit d'être informé
  2. Le droit d'accès
  3. Le droit de rectification
  4. Le droit à l'effacement
  5. Le droit à la limitation du traitement
  6. Le droit à la portabilité des données
  7. Le droit de s'opposer
  8. Les droits en relation avec une prise de décisions automatisée et un profilage

Vous pouvez aborder ces droits en une seule clause longue dans votre Politique de Confidentialité, comme le fait ici Direct Travel dans sa Politique :

Politique de Confidentialité Direct Travel : Clause Droits des personnes concernées : RGPD

Ou vous pouvez aborder chaque droit dans une clause distincte avec des informations plus personnalisées.

Voici un autre exemple de clause de uSwitch qui aborde les droits des utilisateurs en vertu du RGPD :

Politique de Confidentialité uSwitch : Clause Vos droits : RGPD

uSwitch informe ses clients de leur droit de faire cesser le traitement de leurs informations à caractère personnel à des fins de marketing. Ce droit peut être exercé par l'utilisateur en cochant ou décochant des cases sur des formulaires lorsque ses données sont collectées, ou ultérieurement par e-mail.

Voici comment GameStop notifie à ses utilisateurs leur droit d'accès via sa Politique de Confidentialité :

Politique de Confidentialité GameStop : Clause Vous pouvez accéder à, changer ou modifier vos informations à caractère personnel

Veuillez noter qu'il est très important que vous traitiez les demandes d'accès se rapportant à la confidentialité de manière appropriée.

Dans sa Politique de Confidentialité, Twitter compte une clause Portabilité qui explique que les utilisateurs peuvent suivre une série d'instructions liées afin de télécharger vers l'aval les informations qu'ils ont partagées à travers le site Internet.

Politique de Confidentialité Twitter : Clause Portabilité

Twitter compte également une clause distincte pour accéder à et rectifier des données à caractère personnel, qui donne aux utilisateurs des instructions pour rectifier leurs données à caractère personnel directement depuis la page paramètres du compte.

Politique de Confidentialité Twitter : Clause Accéder à ou rectifier vos données à caractère personnel

Tant que chacun des 8 droits est abordé quelque part dans votre Politique de Confidentialité, vous pouvez le faire de différentes manières.

Si vous transférez des données au niveau international

Si vous transférez des données au niveau international, vous devrez le mentionner dans votre accord de Politique de Confidentialité. Vous devez également mentionner toute « protection de la confidentialité » qui incombe à votre société.

Debenhams l'illustre ainsi :

Politique de Confidentialité Debenhams : Clause Transférer des données au niveau international

Debenhams indique à ses utilisateurs qu'elle transfère des données d'utilisateurs à un tiers situé en dehors de l'Espace économique européen (EEE). Elle indique également à ses clients qu'elle se conformera à la Loi de 1998 relative à la protection des données lors desdits transferts.

Votre base légale pour le traitement de données

Le RGPD exige que vous indiquiez une base légale pour traiter des données à caractère personnel de clients. Il existe 6 bases légales, qui sont les suivantes :

  1. La personne concernée a donné son consentement au traitement
  2. Le traitement est nécessaire pour exécuter un contrat entre les deux parties
  3. Le traitement est nécessaire pour s'acquitter d'une obligation légale
  4. Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée
  5. Le traitement est nécessaire pour protéger un intérêt public ou exercer un pouvoir officiel
  6. Le traitement est nécessaire à des fins d'intérêts légitimes, tant que les droits et libertés fondamentaux ne sont pas enfreints

Comme vous pouvez le voir, il est plus facile d'obtenir simplement un consentement au traitement de données à caractère personnel, ce dont nous parlerons sous peu dans cet article.

La raison numéro 6 est également une base légale courante car la notion d' « intérêt légitime » est très vaste.

Ces informations figureront généralement dans une clause « Comment nous utilisons les informations que nous collectons » comme dans cet exemple de Trello :

Politique de Confidentialité Trello : Extrait de la clause Informations que nous collectons couvrant les intérêts légitimes, la sécurité et le consentement

Trello compte également une clause dédiée spécifiquement aux Bases légales du traitement (pour les utilisateurs de l'EEE) :

Politique de Confidentialité Trello : Clause Bases légales du traitement pour les utilisateurs de l'EEE

Vos bases légales comprendront probablement des intérêts légitimes comme fournir une assistance clients, un marketing et d'autres intérêts commerciaux courants. Indiquez-le dans votre Politique de Confidentialité afin que les utilisateurs sachent pourquoi vous devez collecter leurs données.

Et, comme indiqué, la meilleure chose à faire est de toujours obtenir un consentement avant de collecter ou d'utiliser des données à caractère personnel.

Comment obtenir un consentement

Le RGPD exige qu'avant de collecter des informations à caractère personnel de vos utilisateurs finaux (telles que noms, numéros de téléphone, etc.), vous demandiez et obteniez leur consentement univoque. Dans le cas où les informations collectées sont de nature très sensible (comme un numéro de carte de crédit, un numéro de sécurité sociale, etc.), vous êtes tenus d'obtenir explicitement leur consentement.

Vous devez également obtenir que les utilisateurs consentent aux conditions de votre Politique de Confidentialité.

Pour obtenir le consentement des utilisateurs, il vous est recommandé d'utiliser des cases à cocher et une acceptation au clic. Vous trouverez ci-après quelques exemples qui montrent comment obtenir le consentement d'un utilisateur.

Sainsbury's utilise une case à cocher pour demander le consentement des utilisateurs mais également des liens vers sa page Conditions Générales. La société demande également la permission pour envoyer d'autres informations à l'utilisateur avec un simple bouton radio oui/non.

Formulaire d'inscription de Sainsbury's avec consentement au clic pour les Conditions Générales et la permission de contacter

The Data Protection Network affiche les Conditions Générales du site Internet sur une page déroulante avec une case à cocher pour obtenir le consentement des utilisateurs figurant directement en-dessous. La société utilise un bouton intuitif avec une coche/croix pour demander le consentement de l'utilisateur à l'envoi de courriels. Elle fournit également un lien vers sa Politique de Confidentialité sur la même page.

The Data Protection Network : Formulaire d'inscription avec consentement au clic pour les Conditions Générales et adhérer à la liste de diffusion

Ceci fonctionne également pour les applications. Voici comment l'application Adobe ID utilise un consentement au clic pour que les utilisateurs acceptent sa Politique de Confidentialité à leur inscription :

Écran d'inscription Adobe ID : Exemple de consentement au clic avec acceptation des Conditions et de la Politique de Confidentialité

Conclusion

Même si vous comptez déjà probablement une Politique de Confidentialité pour votre entreprise, site Internet ou application, le RGPD vous préconise de la réviser et de la mettre à jour afin de la rendre plus informative, concise et qu'elle contienne certaines informations spécifiques qui n'étaient pas exigées auparavant.

Vous devrez également renforcer vos exigences relatives au consentement en utilisant des cases à cocher, des boutons J'accepte et un texte clair autour de ces fonctions qui indique aux utilisateurs exactement ce qu'ils acceptent.

Mise à jour le 24 June 2021

Maria P.