RGPD : Politique de confidentialité pour site web

Protection des données sur un site web

Chaque site Web sur lequel des données sur ses utilisateurs sont collectées doit avoir une page distincte qui explique tous les détails de ce processus. Peu importe que vous soyez une entreprise, un entrepreneur, une personne physique, un indépendant, un blogueur ou un jardinier – votre site Web collecte des données personnelles ? Vous devez avoir une page dédiée pour informer les utilisateurs, souvent appelé politique de confidentialité.

À première vue, il peut sembler que la page de politique de confidentialité soit une charge supplémentaire pour les propriétaires de sites Web, mais grâce à elle, nous pouvons placer presque toutes les informations requises au même endroit, ce qui s’avérera vraiment pratique lorsqu’il s’agit des exigences du RGPD. Un tel document séparé vous facilitera également la mise en œuvre des mises à jour – vous n’aurez pas à faire des modification à de nombreux endroits sur le site Web.

rgpd comment supprimer les données des internautes de la base de données

CNIL sur twitter.com – Comment supprimer les données des internautes de la base de données

Générateur de politique de confidentialité

Soyez très prudent avec les générateurs de politique de confidentialité disponibles sur Internet. Chaque site est différent, il collecte, traite et utilise les données des utilisateurs de manière différente, ce qui nécessite une explication appropriée aux spécificités du site concerné. Cet article n’épuise pas non plus le sujet de la politique de confidentialité conformément au RGPD. Pour créer un document qui vous convient, il vous est vivement conseillé de contacter un juriste, votre DPO ou encore la CNIL.

La politique de confidentialité – qu’est-ce que c’est ?

La politique de confidentialité est un document contenant les informations nécessaires que vous devez fournir aux personnes dont vous avez l’intention de traiter ou dont vous traitez déjà les données personnelles.

Dans les directives RGPD, nous pouvons trouver des recommandations spécifiques sur la façon de remplir l’obligation d’information pour un site Web. Voici l’exemple de l’article 29 du RGPD :

Chaque entreprise disposant d’un site internet devrait publier une déclaration ou un avis sur la protection de la vie privée sur son site. Un lien direct vers cette déclaration ou cet avis sur la protection de la vie privée devrait être clairement visible sur chaque page de ce site internet sous un terme communément utilisé (comme «Confidentialité», «Politique de confidentialité» ou «Avis de protection de la vie privée»). Les textes ou liens dont la mise en page ou le choix de couleur les rend moins visibles ou difficiles à trouver sur une page web ne sont pas considérés comme aisément accessibles.

Le G29 recommande à titre de bonne pratique que, dans un contexte en ligne, un lien vers la déclaration ou l’avis sur la protection de la vie privée soit fourni au point de collecte des données à caractère personnel, ou que ces informations soient consultables sur la même page que celle où les données à caractère personnel sont collectées.

Qu’est-ce que cela veut dire ?

À tout moment lorsqu’une personne vous fournit ses données, par exemple :

  • en remplissant le formulaire de contact,
  • en s’inscrivant à la newsletter,
  • via achat dans la boutique en ligne,
  • en ajoutant un commentaire,

vous devez lui faire savoir ce qu’il adviendra de ces données. Afin de ne pas lister toutes les informations là où les données sont collectées, une courte clause est utilisée, faisant référence au document complet – la politique de confidentialité.

Le lien vers la politique de confidentialité est également placé dans le pied de page. Les personnes intéressées par ce document le chercheront également là-bas.

Que demande RGPD en termes de politique de confidentialité ?

Le RGPD attache une importance particulière à rendre le langage utilisé dans ce document compréhensible à tout internaute, et dans des cas particuliers même à un enfant. Ceci est mentionné au point 1 de l’article 12 du RGPD :

Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

Des instructions détaillées sur ce que la politique de confidentialité doit contenir peuvent être trouvées dans les articles 12, 13 et 14 de la loi RGPD. La portée des informations à fournir est large, il est donc essentiel de créer un document approprié.

Veuillez noter, cependant, que vous n’y trouverez pas l’expression « politique de confidentialité ». Ces lignes directrices s’appliquent à tout document public qui décrit les activités liées à la collecte et au traitement des données personnelles dans une organisation.

Ce qu’il faut inclure dans la politique de confidentialité

Le RGPD indique plusieurs éléments qui devraient être inclus dans la politique de confidentialité.

  • Identité et coordonnées de l’administrateur des données personnelles – qui est l’administrateur des données collectées ? Il peut s’agir par exemple d’une entreprise, d’une association, d’une institution ou simplement d’une personne physique qui, par exemple, envoie une newsletter aux lecteurs de son blog.

  • Coordonnées de DPO (le cas échéant).

  • Objectifs et base légale du traitement des données personnelles, par exemple vous pouvez collecter une adresse e-mail pour répondre à une demande ou vous collectez une adresse pour envoyer une commande. Collecter des données avant d’avoir défini l’objectif de cette collecte, ou à des fins non légitimes – c’est contraire au RGPD.

  • Informations sur les destinataires des données personnelles – indiquez les organisations auxquelles vous divulguez les données personnelles collectées.

  • La durée de conservation des données personnelles – Ce temps doit être le plus court possible, les données ne peuvent pas être stockées indéfiniment. Les données doivent être conservées pour une durée déterminée « en fonction de la finalité du traitement ». Le RGPD n’impose pas de durée de conservation des données spécifique mais elle doit être défini par le responsable de traitement.

  • Informations sur les droits des personnes dont vous traitez les données, c’est-à-dire que les utilisateurs sont informés de leurs droits. Ils ont le droit d’accéder à leurs données, de les rectifier, de les supprimer ou de limiter le traitement.

Pour plus de détails, voir l’article 13 du RGPD.

Exemples de politique de confidentialité

Vous cherchez un exemple de politique de confidentialité ? Vous devriez pouvoir les trouver sur presque tous les sites Web. Découvrez comment les plus grands géants de l’internet remplissent leurs obligations d’information :

Politique de confidentialité de Facebook

Politique de confidentialité d’Instagram

Politique de confidentialité de Zalando

BESOIN D’UNE CONSULTATION RGPD ?