Politique de confidentialité RGPD

Avec l'avènement de l'essor des services en ligne, il est devenu impératif de protéger les données personnelles des utilisateurs, exposées de plus en plus aux risques d'exploitation frauduleuse.

C'est dans ce contexte de protection des consommateurs que nous sommes toutes et tous, que  la déclaration préalable à la CNIL pour le traitement des données personnelles est révolue depuis l'entrée en vigueur du RGPD le 25 mai 2018. L'accent est désormais mis sur les obligations de fond imposées par le RGPD.
‍

Dès lors, les entreprises ont l'obligation de prendre des mesures concrètes pour assurer la sécurité des données de leurs clients. Ces mesures doivent être clairement définies dans une politique de confidentialité, également appelée charte de confidentialité ou charte de protection des données personnelles.

Vous vous demandez peut-être quels éléments précis le RGPD impose dans une politique de confidentialité 🤔 et quels risques de sanctions peuvent survenir en cas de non-conformité aux règles établies par cette réglementation ?

‍

Le RGPD a profondément modifié les obligations des entreprises collectant des données personnelles. Son champ d'application s'étend à presque toutes les entreprises, et les importantes sanctions administratives infligées par la CNIL à l'encontre des grandes entreprises ont démontré que l'autorité de contrôle veille attentivement.

Désormais il est indispensable pour les entreprises de se doter d'une politique de confidentialité complète et conforme au RGPD, afin de répondre à cette nouvelle réalité. La législation impose des exigences rigoureuses, mais elle vise avant tout à protéger les droits et la vie privée des individus.
En adoptant une politique de confidentialité solide, les entreprises se prémunissent contre les risques juridiques et renforcent la confiance de leurs clients.

‍

En bref 📌 : Le RGPD stipule que votre politique de confidentialité doit être claire, concise et accessible à tous. Vous devez informer vos utilisateurs des données que vous collectez, de la manière dont vous les utilisez et des droits dont ils disposent.

‍

Votre assistant juridique augmenté QIIRO vous propose un modèle de politique de confidentialité à jour du RGPD à télécharger au format Word. 

Voyons les innovations du RGPD, au travers de cet article et de la FAQ que vous trouverez au bas de cette page.

La politique de confidentialité est un document essentiel pour informer les utilisateurs sur la collecte, l'utilisation, le traitement et l'exercice des droits liés aux données personnelles. Toute entreprise ou organisation qui recueille des données à caractère personnel doit mettre en place une politique de confidentialité.

Les sanctions administratives et pénales peuvent être lourdes en cas d'irrégularité.

‍

La politique de confidentialité joue un rôle essentiel dans la conformité au RGPD. Avec l'augmentation croissante de la collecte de données personnelles, il est devenu crucial de sécuriser ces informations grâce à une politique de protection cohérente.
‍

La politique de confidentialité RGPD comprend le corpus de règles qu’applique une société à la gestion des données personnelles (confidentielles) de ses clients.

Cependant, elle ne se limite pas seulement à cela !

‍

Elle réglemente la collecte de données sensibles à caractère personnel.

Cette politique est rendue obligatoire par le règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de vos données à caractère personnel.

‍

Pour faire court, concernant la politique de confidentialité et le RGPD :
‍
Il est crucial de recueillir le consentement explicite des clients conformément au RGPD. La rédaction d'une politique de confidentialité claire et adaptée aux besoins de l'entreprise est essentielle pour se conformer aux réglementations et établir une relation de confiance avec les utilisateurs.

La société se voit imposer de nouvelles obligations et doit octroyer de nouveaux droits à ses clients, tels que le droit d'accéder à leurs données, le droit de s'opposer au traitement, le droit de limiter le traitement, le droit à la portabilité des données, le droit de rectification et le droit à l'oubli.

Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable. 

Une personne physique peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, adresse postale, voix ou photo, un identifiant tel que numéro de sécurité sociale, etc.).

L’identification d’une personne physique peut être réalisée soit à partir d’une seule donnée (nom), soit à partir du croisement d’un ensemble de données.

✍️ Bon à savoir : Les coordonnées d’entreprises ne sont pas, en principe, des données personnelles.

Le RGPD interdit en principe, la collecte et le traitement des données personnelles dites “sensibles”. On retrouve parmi les données sensibles : Les éléments qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

Certaines exceptions existent pour ces données sensibles notamment dans le domaine médical.

Vous avez l’obligation, dès lors que vous gérer des données personnelles de vous assurer que vous êtes bien en conformité avec la loi et les règlements.

Il est très important de rédiger une politique de confidentialité RGPD sous peine de sanctions administratives et pénales.

Les sanctions administratives peuvent représenter un pourcentage considérable, pouvant atteindre entre 2 et 4% du chiffre d'affaires mondial de votre entreprise. Il est donc primordial de prendre cette responsabilité au sérieux et de veiller à respecter les exigences légales en matière de protection des données personnelles.
‍

Tout le monde a en tête la spectaculaire amende administrative de 50 millions d’euro infligée à Google par la CNIL en 2019

S’agissant des sanctions pénales, l’article 226-16 du Code pénal dispose que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi » est un délit puni de 5 ans d’emprisonnement et de 300.000 euros d’amende.

L’article 226-16-1 du Code pénal puni quant à lui « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » est un délit puni de cinq ans d’emprisonnement et de 300.000 euros d’amende.

Enfin, l’article 226-17 du Code pénal punit « le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques » des mêmes peines d’emprisonnement.

N’attendez plus ! Télécharger maintenant notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédiger en quelques minutes votre document.

Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.

Vous ne savez pas comment rédiger votre politique de confidentialité RGPD ayant pour objectif l’information sur la protection des données personnelles des utilisateurs  de votre site web ?

Pas de panique ! Notre équipe de juristes et d'avocats a préparé un modèle de document de politique de confidentialité RGPD entièrement personnalisable au format WORD. Vous pourrez ainsi créer une politique de confidentialité claire, concise et adaptée à votre site web ou votre entreprise.


Il est essentiel de rédiger votre politique de confidentialité de manière simple et accessible, afin que tous les utilisateurs puissent comprendre facilement son contenu. Notre modèle de document vous guide pas à pas pour vous assurer d'inclure toutes les informations nécessaires pour protéger les données personnelles de vos utilisateurs.

‍

Il est important de noter que la conformité au RGPD ne se limite pas à une simple certification, mais doit être considérée comme un processus d'amélioration continue. En mettant en place une politique de confidentialité conforme, vous démontrez votre engagement à protéger les données personnelles et à respecter les droits des utilisateurs.

‍

Ce modèle est à jour du règlement UE 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Votre document devra contenir un certain nombre d’informations, parmi lesquelles figurent :

• Les informations sur la société propriétaire du site web : dénomination sociale, forme juridique, capital social, siège social, lieu et numéro d’immatriculation au RCS, adresse de contact (mail, téléphone) ;

• Le consentement de l’utilisateur : il est nécessaire de préciser que l’utilisateur, en continuant la navigation sur le site web, consent à la présente politique de confidentialité ;

• Le temps de conservation des données et son/ses destinataires : il est important de préciser à l’utilisateur le temps durant lequel le site et la société conserveront ses données, ce qui peut être par exemple le temps nécessaire à l’accomplissement des finalités poursuivies. Toutefois, vous pouvez préciser que nonobstant la règle de principe concernant la conservation des données personnelles, le site et la société appliquent une durée de conservation différente pour certaines données, que vous devez spécifier. Il faut préciser combien de temps les données sont conservées.

• L’usage des données : pour traiter les données personnelles, vous devez préciser leur usage (prospection commerciale, nécessité de collecte des données pour une meilleure utilisation du site, pour l’exécution du contrat, etc.)
  
  

Le document de politique de confidentialité que vous pouvez télécharger contient également d'autres informations importantes pour assurer la protection des données personnelles. Vous y trouverez des détails sur les types de données collectées, la manière dont elles sont utilisées, les droits des utilisateurs, les mesures de sécurité mises en place, et bien plus encore.


N'hésitez pas à consulter le document lui-même pour obtenir toutes les informations détaillées nécessaires.

D’où vient le RGPD ?

Le RGPD trouve ses racines dans plusieurs textes et événements importants. En France, la loi « informatique et libertés » du 6 janvier 1978, qui visait à protéger les individus du risque de fichage à partir de leur numéro de sécurité sociale, peut être considérée comme l'un des ancêtres du RGPD.

Cependant, c'est avec le développement des technologies informatiques que le besoin d'une action internationale s'est fait sentir. Les échanges de données entre pays se multiplient avec l'avènement du Minitel et des premiers ordinateurs, rendant indispensable une coopération inter-états. Des lignes directrices sont alors adoptées par l'OCDE en 1980, suivies par une directive européenne en 1995.

C’est la Commission européenne (en s'inspirant largement de la législation française) qui a choisi d’actualiser les règles en vigueur depuis 1995. En 2012, elle propose un nouveau règlement : un accord entre le Conseil, le Parlement et la Commission est signé le 15 décembre 2015.

Le texte a été porté par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 13 mai 2014, qui reconnaissait un droit au déréférencement pour les utilisateurs Google.

Enfin, le 1er octobre 2015, la CJUE a invalidé le régime juridique américain du Safe Harbor, qui permettait aux entreprises US d’importer des données personnelles concernant les citoyens européens.

Le règlement UE 2016/679 a été voté en Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) le 17 décembre 2015.

Quel est l’objectif du RGPD ?

Le Règlement général sur la protection des données (RGPD) poursuit l’objectif d’être le nouveau pilier en matière de protection des données personnelles, au cœur de l’UE.

Le RGPD vise principalement à garantir aux citoyens européens la possibilité de vérifier et d'exercer leurs droits sur leurs données personnelles. Il s'agit d'un ensemble de droits essentiels, dont voici quelques exemples :

‍

• Le droit à l'information : chaque individu a le droit de savoir comment ses données personnelles sont collectées et dans quel but elles sont utilisées ;
  ‍
• Le droit d'accès : toute personne a le droit de savoir quelles données personnelles sont collectées à son sujet par une entreprise ;
  ‍
• Le droit d'opposition : chacun a le droit de s'opposer à la collecte de ses données personnelles, sauf en cas d'obligation légale ;
  ‍
• Le droit de rectification : toute personne peut demander la correction de données personnelles inexactes ou incomplètes ;
  ‍
• Le droit à l'oubli : il est possible de demander la suppression de ses données personnelles, ainsi que celles des sous-traitants qui les ont traitées ;
  ‍
• Le droit à la portabilité : chacun a le droit de récupérer ses données personnelles dans un format lisible ;

‍

Remplaçant la directive de 1995, le RGPD a pour objectif de mieux appréhender les nouveaux usages et les nouveaux modèles économiques enfantés par le boom du numérique.

De plus, ce règlement a pour finalité d’harmoniser le droit européen en ce qui concerne son objet, c’est-à-dire la protection des données personnelles.

Quand est-ce que le RGPD est entré en vigueur ?

Le RGPD, également connu sous le nom de règlement général sur la protection des données, est devenu effectif le 25 mai 2018. Mais avez-vous que cette réglementation a été adoptée dès le 24 mai 2016 🌟 ?

Cette décision de retarder sa mise en œuvre effective a été prise pour permettre aux acteurs économiques de se préparer aux changements majeurs qu'elle implique.

Le choix d'opter pour un règlement plutôt qu'une directive est d'une grande importance, car il rend le RGPD directement applicable dans tous les pays membres de l'Union européenne.

Conformément au Traité sur le fonctionnement de l'Union européenne, les dispositions du RGPD sont opposables en droit français depuis le 25 mai 2016, et les États membres ne peuvent plus prendre de décisions contraires à ce règlement.

Cette période de transition a offert aux entreprises et aux organisations l'occasion de se familiariser avec les nouvelles obligations et exigences du RGPD, ainsi que de mettre en place les mesures nécessaires pour assurer la protection des données personnelles conformément aux dispositions du règlement.

Depuis son entrée en vigueur en 2018 🤝, le RGPD joue un rôle essentiel dans la protection des données des citoyens européens et a un impact significatif sur la façon dont les entreprises et les organisations gèrent et traitent les données personnelles.

Il s'agit d'une étape clé vers une meilleure protection de la vie privée et de la confidentialité dans l'environnement numérique d'aujourd'hui.
‍

Existe-t-il une liste des données personnelles ?

Il n’existe aucune liste officielle de ce que sont les données personnelles.
‍

La CNIL (Commission nationale de l'informatique et des libertés) donne quelques exemples concrets pour illustrer le traitement de données personnelles :

• La tenue d'un fichier de ses clients : Lorsqu'une entreprise conserve des informations sur ses clients, telles que leurs coordonnées, historique d'achats ou préférences, il s'agit d'un traitement de données personnelles. Cela peut permettre à l'entreprise de mieux connaître ses clients et de leur offrir des services adaptés.
  ‍
• La collecte de coordonnées de prospects via un questionnaire : Lorsqu'une entreprise souhaite entrer en contact avec de potentiels clients en collectant leurs coordonnées via un questionnaire, elle doit prendre en compte les règles de protection des données personnelles. Cela implique de recueillir le consentement des personnes concernées et de traiter leurs informations de manière sécurisée.
  ‍
• La mise à jour d'un fichier de fournisseurs : Lorsqu'une entreprise met à jour son fichier de fournisseurs, en ajoutant de nouvelles informations ou en supprimant des données obsolètes, elle effectue également un traitement de données personnelles. Il est essentiel de veiller à la confidentialité et à la sécurité de ces informations pour respecter la vie privée des fournisseurs.

‍

Afin de comprendre ce qu'est une donnée personnelle, il faut se référer à la définition officielle : une donnée personnelle est une information qui concerne une personne physique identifiée ou identifiable. Il peut s'agir de données directes telles que le nom et le prénom, ou de données indirectes telles qu'un numéro de téléphone, une adresse ou une image. L'identification d'une personne peut être réalisée à partir d'une seule donnée ou par le croisement de plusieurs données.
‍

Il est important de souligner que les coordonnées d'entreprises ne sont généralement pas considérées comme des données personnelles, sauf si elles permettent d'identifier une personne physique.

Il n'existe pas de liste officielle des données personnelles. La définition officielle se réfère à toute information se rapportant à une personne physique identifiée ou identifiable.

Lorsqu'une opération implique le traitement de données personnelles, cela signifie qu'il y a manipulation de ces données. Par exemple, la tenue d'un fichier client, la collecte de coordonnées de prospects ou la mise à jour d'un fichier de fournisseurs sont considérées comme des traitements de données personnelles.

Qu’est-ce que le traitement des données personnelles ?

Le traitement de données à caractère personnel est définit, par la CNIL, comme « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, etc.) ».

Par ailleurs, un traitement doit comporter un objectif, être associé à des acteurs internes ou externes qui y participent, et identifier les flux des données afin d’en donner l’origine et la localisation. Ainsi, un traitement peut être une vente en ligne, la gestion d’un fichier client, la facturation, le stockage dans la base de données, la gestion des accès aux locaux, etc.

Qui est responsable des données personnelles ? Le rôle du DPO ?

En matière de données personnelles, le responsable sera la personne physique ou morale, de l’autorité publique, du service ou de tout autre organisme qui, seul ou conjointement avec d’autres, « détermine les finalités et les moyens » du traitement de données à caractère personnel.

Dans la plupart des cas, le responsable du traitement sera l'entreprise elle-même, représentée par son dirigeant ou son propriétaire.

Le rôle du DPO (Délégué à la Protection des Données) est également important dans le cadre de la protection des données personnelles.

Le DPO est chargé de veiller à la conformité de l'entreprise ou de l'organisation avec les réglementations en matière de protection des données. Il conseille et informe l'entreprise sur ses obligations et s'assure que les mesures appropriées sont mises en place pour garantir la sécurité et la confidentialité des données personnelles.

‍

✍️ Bon à savoir : En fonction de la situation, le sous-traitant peut être qualifié de co-responsable de traitement.

Qui doit se conformer au RGPD ?

Le Règlement est clair : toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. 

Le texte ne s’applique pas qu’aux organisations établies dans l’UE. D’autres entreprises (américaines, japonaises, etc.) qui collectent des données personnelles européennes doivent aussi s’y conformer.

À quelle condition peut-on collecter des données personnelles ?

Il faut soit recevoir le consentement explicite de la personne concernée, soit satisfaire aux conditions prévues par la loi.

Ces conditions sont les suivantes :

• La collecte et le traitement doivent être conformes à certains principes juridiques ;
  ‍
• Les données personnelles ne pourront être collectées que pour certaines finalités, qui doivent être précisément déterminées, explicites et légitimes. Elles ne peuvent, par ailleurs, être réutilisées de manière incompatible avec cette finalité.
  ‍
• Lesdites données doivent être collectées de manière licite et loyale. De plus, elles doivent être adéquates, pertinentes et non excessives eu égard aux finalités. En d’autres termes, la collecte ne doit porter que sur des données strictement nécessaires pour atteindre l’objectif déterminé.
  ‍
• Enfin, les données personnelles doivent être exactes, complètes et mises à jour.

Faut-il encore procéder à une déclaration à la CNIL de la collecte des données ?

Depuis l’entrée en application du RGPD le 25 mai 2018, le système de déclaration à la CNIL a disparu. 

Dorénavant il faut se concentrer sur le respect des obligations de fonds posées par le RGPD (consentement, finalité, pertinence, durée de conservation, droits des personnes, sécurité, documentation). 

Quels sont les droits de l’utilisateur concernant ses donneées personnelles ?

En matière de données personnelles, l’utilisateur a les droits suivants :

• Le droit d’accès : si l’utilisateur en fait la demande, la société lui fournira une copie des données personnelles qui le concernent ;

• Le droit d’opposition : l’utilisateur a le droit de s’opposer à ce que ses données personnelles soient traitées par la société.

• Le droit à la limitation du traitement : l’utilisateur a le droit de demander à la société que celle-ci limite le traitement de ses données personnelles, notamment lorsque celui-ci s’oppose à ce traitement, conteste l’exactitude des données ou lorsqu’il pense que l’utilisation en est illicite.

• Le droit à la portabilité des données : l’utilisateur peut, sous certaines conditions, demander à recevoir l’intégralité de ses données personnelles pour les transférer vers un autre responsable de traitement, sans que la société ne puisse s’y opposer.

• Le droit de rectification : l’utilisateur peut demander à la société de rectifier les données personnelles qui lui ont été communiquées par lui.

• Le droit à l’oubli : sous certaines conditions, l’utilisateur a le droit d’obtenir de la société qu’elle efface dans les meilleurs délais certaines données personnelles le concernant. Le droit à l’oubli ne peut être obtenu que dans certains cas, et notamment pour des motifs d’intérêt public, à des fins d’archives ou pour respecter des obligations légales conditionnant le traitement des données personnelles par la société.

En bref, toute personne peut s’opposer, pour des motifs légitimes, à ce que ces données (à caractère personnel) fassent l’objet d’un traitement. 

En outre, chaque utilisateur peut exiger du responsable du traitement des données personnelles que celles-ci soient effacées, rectifiées, complétées ou mises à jour, dès lors que celles-ci sont équivoques, incomplètes, périmées, inexactes ou que leur collecte, utilisation, communication ou conservation sont interdites. 

Ainsi, tout individu qui remplit les critères précités peut introduire une réclamation et demander l’effacement de ses données personnelles.

Vous cherchez un modèle de politique de confidentialité RGPD ?

Vous êtes au bon endroit.

Téléchargez notre modèle politique de confidentialité RGPD entièrement personnalisable au format WORD, et rédigez en quelques minutes votre document.

Au besoin, notre équipe de juristes vous fournit l’ensemble des informations juridique nécessaires.