Comment rédiger la politique de confidentialité du site internet obligatoire ?

La politique de confidentialité du site internet est obligatoire pour toute personne ayant un site internet qui collecte des données personnelles dans le cadre du RGPD.

Cette politique de confidentialité est l’un des 3 principaux documents légaux que l’entreprise doit prévoir pour son site web, en plus des mentions légales et des informations obligatoires sur les cookies (traceurs). 

Dans cet article, découvrez ce qu’il faut savoir sur la politique de confidentialité du site internet, quel contenu prévoir et comment obtenir un document fiable et personnalisé pour son entreprise.

Table des matières

Qui doit prévoir une politique de protection des données personnelles sur son site internet ?

La politique de protection des données personnelles concerne toute personne qui collecte des données personnelles (hors activité personnelle).

Concernant le site internet : dès que des données personnelles sont collectées depuis le site internet, son propriétaire a des obligations importantes à respecter à l’égard des personnes concernées.

  • De quelles données personnelles s’agit-il exactement ?
  • La plupart du temps, les données collectées depuis un site sont celles :

    • des internautes qui se connectent au site internet (et dont l’adresse IP est par exemple tracée pour mesurer l’audience du site)
    • des personnes qui entrent en contact avec le professionnel depuis son site internet (par exemple, en utilisation le formulaire de contact, en s’abonnant à une newsletter, en créant un compte client, ou encore en candidatant à une offre d’emploi en ligne).

  • Qui est le responsable de traitement ?
  • Au plan juridique, l’éditeur du site internet a la plus souvent la qualité de « responsable de traitement ».

    • Il est le responsable dans la mesure où c’est lui qui décide des raisons pour lesquelles sont traitées les données personnelles depuis son site internet.
    • On parle en droit de « finalités » de traitement : il peut s’agit de l’abonnement à une newsletter, de la mise en place d’un formulaire de contact, ou encore de la création d’une e-boutique
    • Parce qu’il est le responsable de traitement, le professionnel a des devoirs d’information légaux à l’égard des personnes concernées
    • Ces devoirs d’information doivent en principe se faire dès la collecte des données
    • En cas de contrôle de la CNIL (l’autorité de contrôle) ou dans le cas d’une plainte, l’entreprise devra être en mesure de démontrer qu’elle a respecté ses devoirs d’information.
    • Par conséquent, et comme l’entreprise a la charge de la preuve, il faudra qu’elle donne ces informations par écrit, de façon à prouver, en cas de contestation, qu’elle a bien donné l’information complète obligatoire dès la collecte.

    A quoi sert la politique de confidentialité du site internet ?

    La politique de confidentialité sert principalement à informer les personnes sur :

    les caractéristiques des traitements que le professionnel réalise sur leurs données personnelles (quelles données, pourquoi, comment)

    Des droits dont elles bénéficient (droit d’accès, d’opposition, etc)

    La politique de protection des données personnelles sert également à protéger le responsable de traitement en cas de contrôle de la CNIL ou encore d’une plainte éventuelle d’une personne. Ce document lui permet de prouver qu’il a rempli ses obligations d’information.

    Quelles informations faut-il mettre dans la politique de confidentialité du site internet ?

    Les informations à délivrer sont précises et listées par le RGPD. L’entreprise devra notamment informer les personnes concernées :

    • de son identité et ses coordonnées
    • de toutes les finalités de traitement réalisés depuis le site internet
    • des bases légales des traitements (ce qui l’autorise légalement à traiter les données)
    • des éventuels transferts de données vers des destinataires (par exemple, lorsqu’il y a des modules de paiement en ligne ou encore pour certains cookies)
    • de l’existence de sous-traitants (par exemple pour la maintenance et l’hébergement du site)
    • de transferts éventuels de données hors UE par le professionnel ou ses sous-traitants
    • de la durée de conservation des données pour chaque finalité
    • des droits dont elles disposent, de l’existence d’une prise de décision automatisée, y compris le profilage, etc.

    L’entreprise doit veiller à ce que les informations qu’elle donne à l’internaute soient délivrées de la façon la plus claire, la plus complète et la plus intelligible possible. 

    Dans le cas contraire, les instances considèreront que les informations n’ont pas été délivrées valablement.

    Ce document d’information doit donc être rédigé avec une grande attention.

    La page des mentions légales site internet ou encore la politique de cookies font également partie de la documentation juridique à avoir lorsque l’on a un site internet.

    C’est pourquoi, il est important d’identifier dans un premier temps de quels documents légaux VOTRE entreprise a besoin. Pour vous aider, vous pouvez contacter un avocat.

    Qui est compétent pour rédiger la politique de confidentialité du site internet ?

    Ce n’est pas au webmaster ni à l’agence de communication de rédiger la politique de confidentialité.

    Il faut avoir recours à un expert RGPD pour rédiger ce document d’information.

    Où faire figurer la politique de confidentialité sur le site internet ?

    La politique sur la protection des données personnelles est un document d’information.

    Il devra donc être librement accessible sur toutes les pages du site internet.

    Dans quels cas faut-il prévoir des cases à cocher pour faire accepter la politique de confidentialité sur son site internet ?

    Lorsque l’entreprise réalise un traitement de données personnelles, elle doit s’interroger pour savoir quelle est la base légale qui l’autorise à faire ce traitement.

    S’il n’y a pas de base légale, le traitement n’est pas légal.

    Il peut s’agir du consentement de la personne, du respect d’une obligation légale, de l’exécution d’un contrat, d’une mission de service public ou encore de l’intérêt légitime.

    Ainsi, pour certains traitements de données, le consentement de la personne est obligatoire.

    Dans quel cas le consentement de l’internaute est-il nécessaire ?

    Par exemple, dans les cas suivants (attention, il ne s’agit que d’exemples) :

    • pour certains cookies (mesures d’audience, partage sur les réseaux sociaux, régie publicitaire)
    • pour certains envois de prospection commerciale (par exemple via une newsletter)
    • en cas de transfert de données en dehors de l’UE
    • lorsque le professionnel transfère des données à un tiers à des fins de prospection commerciale

     

    Pour ces traitements, le consentement de l’internaute devra être donné pour chaque finalité de traitement concernée, de manière expresse et préalable.

    Si vous n’êtes pas certain d’être dans un cas de consentement obligatoire, prévoyez sur le site une case à cocher pour obtenir le consentement de la personne (mieux vaut prévenir que guérir !)

    Vous pouvez également inviter les personnes concernées à accepter votre politique de confidentialité par une case à cocher (par exemple, au niveau de l’inscription à la newsletter ou encore lors du parcours de vente d’une e-boutique).

    Quels sont les risques si le professionnel n’a pas de politique de confidentialité sur son site internet ?

    Les sanctions prévues en cas de non-respect des obligations d’information RGPD sont importantes.

    Sanctions administratives (CNIL)

    Possibles amendes variables selon la violation :

  • 10 à 20 M d’euros (pour les personnes physiques)
  • 2 à 4 % du chiffre d’affaires mondial (pour les sociétés)

  • Sanctions financières

    En cas de poursuites devant les juridictions administratives ou judiciaires (actions individuelles et collectives)

    Sanctions pénales

    Un chapitre relatif aux données personnelles est prévu dans le Code pénal

    Quelle solution pour rédiger la politique de confidentialité site internet ?

    Il existe plusieurs solutions pour rédiger la politique de confidentialité du site internet.

    1. Vous pouvez rédiger seul votre politique de confidentialité, mais la tâche ne sera pas aisée
    2. Vous pouvez demander à un avocat ou un expert RGPD de la rédiger sur mesure pour qu’elle soit parfaitement adapté à votre site internet. La rédaction de documents juridiques ne s’improvise pas. C’est un métier à part entière. 
    3. Vous pouvez utiliser un générateur de politique en ligne 

    Mais attention. Utiliser un générateur n’est pas toujours une bonne idée. Si vous prenez un générateur de mauvaise qualité, vous risquez d’obtenir une politique de confidentialité trop générique et inadapté à votre site internet.

    Or, comme nous l’avons vu, il est important que la politique comporte toutes les mentions RGPD obligatoires, au risque de s’exposer à des sanctions par la CNIL.

    Si vous voulez avoir recours à un générateur, n’hésitez pas à vous reporter à notre article dédié pour savoir comment choisir le bon générateur de politique d’utilisation des données personnelles et ce qu’il faut vérifier pour être en conformité RGPD » 

    La check list des points à vérifier si vous optez pour un générateur en ligne de politique de confidentialité

    Vous souhaitez utiliser un générateur en ligne pour obtenir la politique de confidentialité de votre site internet ?

    Attention, car il existe des générateurs non fiables sur internet.

    Demandez à NUMETIK AVOCATS la check list gratuite des points juridiques à vérifier à propos du générateur.

    Découvrez le générateur d’avocat NumeDoc : une solution simple et sécurisée

    NumeDoc est un générateur en ligne conçu par le cabinet NUMETIK AVOCATS. Il permet aux entreprises d’obtenir en quelques clics une politique de confidentialité adaptée à leur site internet.

    Pour exercer en toute sérénité, mieux vaut prévenir que guérir et avoir recours à une solution d’avocat.