Qu’est-ce qu’une politique de confidentialite ?
La politique de confidentialite est un document qui informe les personnes concernees de la maniere dont leurs donnees personnelles sont collectees, utilisees et protegees. Elle repond a l’obligation de transparence prevue par les articles 12, 13 et 14 du RGPD. Ce document doit etre facilement accessible, redige dans un langage clair et comprehensible par tous.
Toute structure qui collecte des donnees personnelles doit disposer d’une politique de confidentialite : site internet, application mobile, formulaire papier ou logiciel interne. L’absence de ce document peut entrainer des sanctions de la CNIL pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Les mentions obligatoires
Le RGPD impose d’inclure un certain nombre d’informations dans votre politique de confidentialite. Ces mentions varient selon que les donnees sont collectees directement aupres de la personne (article 13) ou aupres d’un tiers (article 14).
L’identite du responsable de traitement
Vous devez indiquer le nom, l’adresse et les coordonnees de votre organisme, ainsi que les coordonnees du DPO si vous en avez designe un. Si un representant dans l’Union europeenne a ete nomme, ses coordonnees doivent egalement figurer.
Les finalites et bases legales
Pour chaque traitement, precisez la finalite poursuivie et la base legale sur laquelle il repose (consentement, contrat, obligation legale, interet legitime, etc.). Si vous invoquez l’interet legitime, decrivez-le precisement.
Les destinataires et transferts
Indiquez les categories de destinataires des donnees, qu’il s’agisse de services internes, de sous-traitants ou de partenaires. En cas de transfert hors de l’Union europeenne, precisez les pays concernes et les garanties appropriees (clauses contractuelles types, decision d’adequation, regles d’entreprise contraignantes).
Les durees de conservation
Mentionnez la duree de conservation des donnees ou les criteres utilises pour la determiner. Il est recommande de presenter ces informations sous forme de tableau pour plus de clarte.
Les droits des personnes
Informez les personnes de leurs droits : droit d’acces, de rectification, d’effacement, de limitation, de portabilite et d’opposition. Precisez comment exercer ces droits (adresse email, formulaire en ligne) et mentionnez le droit de deposer une reclamation aupres de la CNIL.
Comment rediger une politique de confidentialite efficace
Privilegiez un langage simple et evitez le jargon technique. Structurez votre document avec des titres clairs pour faciliter la lecture. Utilisez des tableaux pour presenter les durees de conservation et les bases legales de maniere synthetique.
Adaptez le niveau de detail au public concerne. Une politique destinee a des particuliers doit etre plus accessible que celle destinee a des professionnels. Prevoyez une version courte (resume) et une version complete pour satisfaire tous les lecteurs.
Les erreurs courantes a eviter
La premiere erreur consiste a copier une politique de confidentialite generique trouvee sur internet. Chaque politique doit etre adaptee aux traitements reellement effectues par votre organisme. Une politique inadaptee est aussi risquee que l’absence de politique.
Evitez egalement les formulations vagues comme « nous pouvons partager vos donnees avec des tiers ». Soyez precis sur les destinataires et les finalites. N’oubliez pas de mettre a jour votre politique lorsque vos traitements evoluent, et verifiez regulierement que les informations sont toujours exactes.
Ou afficher votre politique de confidentialite ?
Votre politique de confidentialite doit etre accessible depuis toutes les pages de votre site internet, generalement via un lien dans le pied de page. Elle doit egalement etre accessible au moment de la collecte des donnees : formulaires de contact, formulaires d’inscription, processus de commande.
Pour les applications mobiles, prevoyez un acces depuis les parametres de l’application et depuis les stores (App Store, Google Play). Pour les traitements hors ligne, affichez un resume dans vos locaux et fournissez le document complet sur demande.
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
