COMMENT REDIGER LA POLITIQUE DE CONFIDENTIALITE DU SITE INTERNET SUR LA PROTECTION DES DONNEES PERSONNELLES (RGPD) ?
Le professionnel qui créé un site internet et collecte des données personnelles doit prévoir sa politique de confidentialité (également appelée « Politique de protection des données personnelles).
C’est obligatoire. Les obligations sont prévues par le nouveau règlement européen « RGPD ».
NUMETIK AVOCATS vous explique sur cette page :
- Qui doit prévoir une politique de confidentialité sur son site internet
- A quoi sert la politique de confidentialité
- Quelles informations indiquer dans le document
- Qui est compétent pour rédiger et qui ne l’est pas
- Où faire figurer la politique sur le site
- Dans quels cas il faut prévoir des cases à cocher pour obtenir le consentement
- Quels sont les risques de sanctions
- La solution intelligente et sécurisée de politique de confidentialité dédiée au site internet que NUMETIK AVOCATS propose à ses clients grâce à son générateur Numedoc
1° Qui doit prévoir une politique de protection des données personnelles sur son site internet ?
La politique de protection des données personnelles concerne toute personne qui collecte des données personnelles (hors activité personnelle).
Concernant le site internet : dès que des données personnelles sont collectées depuis le site internet, son propriétaire a des obligations importantes à respecter à l’égard des personnes concernées.
De quelles données personnelles s’agit-il exactement ?
La plupart du temps, les données collectées depuis un site sont celles :
- des internautes qui se connectent au site internet (et dont l’adresse IP est par exemple tracée pour mesurer l’audience du site)
- des personnes qui entrent en contact avec le professionnel depuis son site internet (par exemple, en utilisation le formulaire de contact, en s’abonnant à une newsletter, en créant un compte client, ou encore en candidatant à une offre d’emploi en ligne).
Au plan juridique, on dit que le propriétaire du site internet a la qualité de « responsable de traitement ».
- Il est le responsable dans la mesure où c’est lui qui décide des raisons pour lesquelles sont traitées les données personnelles depuis son site internet.
- On parle en droit de « finalités » de traitement : il peut s’agit de l’abonnement à une newsletter, de la mise en place d’un formulaire de contact, ou encore de la création d’une e-boutique
- Parce qu’il est le responsable de traitement, le professionnel a des devoirs d’information légaux à l’égard des personnes concernées
- Ces devoirs d’information doivent en principe se faire dès la collecte des données
- En cas de contrôle de la CNIL (l’autorité de contrôle) ou dans le cas d’une plainte, l’entreprise devra être en mesure de démontrer qu’elle a respecté ses devoirs d’information.
- Par conséquent, et comme l’entreprise a la charge de la preuve, il faudra qu’elle donne ces informations par écrit, de façon à prouver, en cas de contestation, qu’elle a bien donné l’information complète obligatoire dès la collecte.
2° A quoi sert la politique de confidentialité du site internet ?
La politique de confidentialité sert principalement à informer les personnes sur :
- les caractéristiques des traitements que le professionnel réalise sur leurs données personnelles (quelles données, pourquoi, comment)
- des droits dont elles bénéficient (droit d’accès, d’opposition, etc)
La politique de protection des données personnelles sert également à protéger le responsable de traitement en cas de contrôle de la CNIL ou encore d’une plainte éventuelle d’une personne. Ce document lui permet de prouver qu’il a rempli ses obligations d’information.
3° Quelles informations faut-il mettre dans la politique de confidentialité du site internet ?
Les informations à délivrer sont précises et listées par le RGPD. L’entreprise devra notamment informer les personnes concernées :
- de son identité et ses coordonnées
- de toutes les finalités de traitement réalisés depuis le site internet
- des bases légales des traitements (ce qui l’autorise légalement à traiter les données)
- des éventuels transferts de données vers des destinataires (par exemple, lorsqu’il y a des modules de paiement en ligne ou encore pour certains cookies)
- de l’existence de sous-traitants (par exemple pour la maintenance et l’hébergement du site)
- de transferts éventuels de données hors UE par le professionnel ou ses sous-traitants
- de la durée de conservation des données pour chaque finalité
- des droits dont elles disposent, de l’existence d’une prise de décision automatisée, y compris le profilage, etc.
L’entreprise doit veiller à ce que les informations qu’elle donne à l’internaute soient délivrées de la façon la plus claire, la plus complète et la plus intelligible possible.
Dans le cas contraire, les instances considèreront que les informations n’ont pas été délivrées valablement.
Ce document d’information doit donc être rédigé avec une grande attention.
4° Qui est compétent pour rédiger la politique de confidentialité du site internet ?
Ce n’est pas au web master ni à l’agence de communication de rédiger la politique de confidentialité.
Il faut avoir recours à un expert RGPD pour rédiger ce document d’information.
5° Où faire figurer la politique de confidentialité sur le site internet ?
La politique sur la protection des données personnelles est un document d’information.
Il devra donc être librement accessible sur toutes les pages du site internet.
6° Dans quels cas faut-il prévoir des cases à cocher pour faire accepter la politique de confidentialité sur son site internet ?
Lorsque l’entreprise réalise un traitement de données personnelles, elle doit s’interroger pour savoir quelle est la base légale qui l’autorise à faire ce traitement.
S’il n’y a pas de base légale, le traitement n’est pas légal.
Il peut s’agir du consentement de la personne, du respect d’une obligation légale, de l’exécution d’un contrat, d’une mission de service public ou encore de l’intérêt légitime.
Ainsi, pour certains traitements de données, le consentement de la personne est obligatoire.
Dans quel cas le consentement de l’internaute est-il nécessaire ?
Par exemple, dans les cas suivants (attention, il ne s’agit que d’exemples) :
- pour certains cookies (mesures d’audience, partage sur les réseaux sociaux, régie publicitaire)
- pour certains envois de prospection commerciale
- en cas de transfert de données en dehors de l’UE
- lorsque le professionnel transfère des données à un tiers à des fins de prospection commerciale
Pour ces traitements, le consentement de l’internaute devra être donné pour chaque finalité de traitement concernée, de manière expresse et préalable.
Si vous n’êtes pas certain d’être dans un cas de consentement obligatoire, prévoyez sur le site une case à cocher pour obtenir le consentement de la personne (mieux vaut prévenir que guérir !)
Vous pouvez également inviter les personnes concernées à accepter votre politique de confidentialité par une case à cocher (par exemple, au niveau de l’inscription à la newsletter ou encore lors du parcours de vente d’une e-boutique).
6° Quels sont les risques si le professionnel n’a pas de politique de confidentialité sur son site internet ?
Les sanctions prévues en cas de non-respect des obligations d’information RGPD sont importantes.
–Sanctions administratives (CNIL) :
Possibles amendes variables selon la violation :
-10 à 20 M d’euros (pour les personnes physiques)
-2 à 4 % du chiffre d’affaires mondial (pour les sociétés/administrations)
-Sanctions financières : en cas de poursuites devant les juridictions administratives ou judiciaires (actions individuelles et collectives)
-Sanctions pénales : un chapitre relatif aux données personnelles est prévu dans le Code pénal
7° Quelle solution pour rédiger la politique de confidentialité du site internet ?
La solution NUMEDOC conçue par le cabinet NUMETIK AVOCATS permet au professionnel de commander en ligne une politique de confidentialité adaptée à son activité.
Pour commander une politique de confidentialité dédiée à votre site internet, n’hésitez pas à utiliser le générateur NUMEDOC.