Utiliser un générateur de politique de confidentialité est-il vraiment une bonne idée pour une entreprise ?
Est-ce qu’un modèle gratuit de politique de confidentialité est sans risque pour l’entreprise et la protection des données personnelles ?
Quels sont les avantages et les inconvénients des générateurs de politiques de confidentialité gratuites ?
Existe-il un générateur sûr, offrant un excellent rapport qualité prix ?
Les entreprises se posent souvent ces questions lorsqu’elles doivent établir leurs documents légaux. C’est notamment le cas lorsque le professionnel a un site web pour lequel il lui faut une politique de confidentialité pour délivrer les informations obligatoires sur les données personnelles.
Si le sujet légal (comme le RGPD) est souvent fastidieux, il n’en reste pas moins un sujet important, qui peut exposer l’entreprise à des risques et à des sanctions si elle n’a pas les bons documents juridiques de protection.
Il est donc essentiel que l’entreprise comprenne ce qu’elle doit prévoir comme documents juridiques et qu’elle mesure si un générateur est adapté à son cas particulier.
En effet, dans certains cas, il est plus prudent de demander la rédaction sur mesure de la politique de confidentialité à un avocat ou à un expert RGPD plutôt que d’utiliser un générateur en ligne.
Par exemple, l’entreprise qui crée un site internet vitrine sur WordPress n’a pas besoin des mêmes documents légaux que la société qui a une boutique en ligne (e-commerce) sur Shopify ou que l’entreprise qui a développé une application mobile.
L’entreprise doit donc d’abord s’assurer que c’est bien une politique de confidentialité qu’il lui faut, et faire la différence entre ce document et les autres documents pouvant également être obligatoires selon les cas (mentions légales, CGV, CGU, politique de remboursement, etc).
Définissons, tout d’abord, le générateur de politique de confidentialité avant de voir quel meilleur générateur choisir.
Table des matières
Qu’est-ce qu’un générateur et une politique de confidentialité ?
Avant d’étudier les avantages et inconvénients d’un générateur de politique de confidentialité, prenons un instant pour bien comprendre de quoi nous parlons.
Un générateur en ligne est un outil permettant de produire un document à partir d’un modèle type et d’un questionnaire.
L’utilisateur va générer un document personnalisé en répondant à un questionnaire. La plupart du temps, le générateur est un logiciel proposé sur le web par une société de services numériques.
Une politique de confidentialité est un document d’information relatif aux traitements de données à caractère personnel que réalise une entreprise (ou tout autre organisme).
Ce document sert à informer les personnes concernées des traitements en matière de vie privée.
Cette information doit être délivrée de manière précise, claire et transparente. A défaut, l’information n’est pas valable.
La politique de confidentialité doit être communiquée par l’entreprise (le “responsable de traitement”) aux “personnes concernées” par les traitements de données personnelles.
Qui sont ces personnes ?
Ce sont toutes les personnes physiques dont l’entreprise traite les données (collecte, stockage, etc).
Pour une entreprise, ces personnes sont en général les internautes qui naviguent sur son site internet (si elle en a un) mais aussi ses clients (les personnes exerçant en entreprise individuelle et les dirigeants et salariés des sociétés clientes), ses prospects, ses employés, ses fournisseurs, ses partenaires, etc.
A retenir
Il est important de comprendre que la politique de confidentialité n’est pas limitée au seul site internet de l’entreprise et à ses visiteurs.
L’entreprise a un devoir d’information GDPR à l’égard de toutes les personnes concernées par ses traitements de données : ses clients, ses prospects, ses salariés, etc.
Elle a donc en général plusieurs politiques de confidentialité à élaborer.
Les informations à prévoir dans une politique de confidentialité sont listées par le RGPD.
Elles portent sur les éléments suivants :
- L’identité du responsable de traitement
- Les coordonnées du DPO ou du référent RGPD
- Les finalités de traitement (objectifs poursuivis par la collecte de données)
- La transmission éventuelle des données à des destinataires
- Le transfert éventuel des données en dehors de l’UE
- La durée de conservation des données
- La collecte obligatoire et facultative des données
- Les droits des personnes concernés
Pour en savoir plus sur le contenu de la politique de confidentialité, vous pouvez retrouver sur notre article dédié toutes les informations obligatoires à prévoir sur les données personnelles dans sa politique de site internet.
Les informations doivent être communiquées dès la collecte des données par l’entreprise ou dès que possible en cas de collecte indirecte des données (par le biais d’un intermédiaire).
L’écrit n’est pas imposé par le RGPD.
Mais, il faut rappeler qu’en cas de contrôle de la CNIL, l’entreprise a la charge de la preuve, c’est-à-dire qu’elle doit démontrer qu’elle a bien communiqué les informations aux personnes concernées. A défaut, la CNIL considérera que l’entreprise n’a pas fourni l’information obligatoire.
L’écrit est donc dans la pratique obligatoire. D’où l’importance du document d’information que l’on appelle usuellement “politique de confidentialité”.
Mais rappelons que ce document peut aussi s’appeler “politique de protection des données personnelles” – “privacy policy” ou “charte de confidentialité site internet”.
Ne pas confondre la politique de confidentialité avec les autres documents légaux obligatoires
Comme nous l’avons souligné en introduction de l’article, l’entreprise doit veiller à ne pas confondre les différents documents juridiques pouvant être obligatoires.
Bon nombre de sites proposant des générateurs en ligne confondent les règles et font un mélange des documents, ce qui est regrettable pour le lecteur.
Les documents juridiques obligatoires sont nombreux et s’appliquent selon les cas, en fonction des activités des entreprises.
Voici une synthèse rapide pour comprendre quels documents prévoir et dans quels cas :
Politique de confidentialité | C’est un document RGPD prévu lorsque l’entreprise collecte des données personnelles Si la collecte se fait sur un website, l’entreprise prévoit une politique de confidentialité de son site internet. Si la collecte de données concerne ses clients classiques, l’entreprise devra se doter d’une politique de confidentialité client |
Page “Mentions légales” d’un site internet | Des mentions bien précises sont à prévoir pour tout site internet (même un site vitrine). Cette page est la carte d’identité du site. |
Conditions Générales de Vente (ou CGV) | Ce document fixe les règles en matière de vente (conditions tarifaires, responsabilité, garantie, etc). Il faut donc en prévoir pour les boutiques en ligne (c’est obligatoire), et plus largement à chaque fois qu’il est nécessaire de sécuriser la relation entreprise-clients sur le plan juridique (que l’entreprise propose des produits ou des services) |
Politique de retours | Cette politique vise à informer ses clients des règles de retour de produits vendus (ce document n’est pas obligatoire et peut être directement intégré à des CGV) |
Charte sur les cookies (ou politique sur les cookies) | Ce document permet d’informer les internautes d’un site que l’entreprise a installé des traceurs (quels types, à qui ils appartiennent, etc) |
Conditions Générales d’Utilisation (ou CGU) | Elles sont obligatoires uniquement pour les sites de mise en relation et de référencement de contenus de tiers (opérateur de plateforme en ligne). Il est également conseillé de prévoir des CGU pour fixer les règles d’utilisation des applications mobiles (surtout s’il y a des utilisateurs autres que les clients). |
Formulaire de rétractation | Ce document est prévu pour les boutiques en ligne vendant des produits ou des services à des particuliers (il est obligatoire sauf exceptions) |
Accord de sous-traitance RGPD | Cet accord est obligatoire lorsqu’une entreprise (responsable de traitement) confie des traitements de données personnelles à un organisme tiers (sous-traitant). Par exemple : une entreprise confie la maintenance de son site internet à un webmaster qui réalise des sauvegardes des données collectées. |
Comme vous le voyez, chaque document juridique a une finalité bien particulière, et vise un contenu différent afin de répondre à des obligations légales bien spécifiques. Il est donc important de ne pas faire de confusion et d’identifier quels sont les documents nécessaires à VOTRE entreprise.
Deux choses à retenir :
- Certains générateurs proposent par exemple des “mentions légales RGPD”.
C’est à éviter car, comme nous venons de le voir, la page “mentions légales” d’un site et le RGPD sont 2 sujets différents qui ne doivent pas être confondus ni mélangés.
Les informations RGPD doivent être prévues dans un document séparé (exigence de la CNIL).
- Si vous optez pour un générateur de mentions légales, les informations sur les données personnelles ne seront a priori pas incluses dans le document.
La check list des points à vérifier avant de choisir un générateur de politique de confidentialité
Vous envisagez d’utiliser un générateur de politique de confidentialité pour votre site internet ?
Demandez à NUMETIK AVOCATS de vous envoyer gratuitement la check list des points juridiques à vérifier.
Exemple de la politique de confidentialité de Shopify
Prenons un exemple concret pour mieux comprendre.
Lorsque l’on cherche un générateur de politique de confidentialité sur Google, celui proposé par Shopify arrive en tête. Il est également mis en avant par plusieurs articles de blog comme étant l’un des meilleurs générateurs.
Allons voir de plus près cette politique
On remarque tout d’abord que Shopify propose sur son site internet un générateur gratuit.
Le modèle proposé concerne les sites web.
Shopify précise ensuite qu’il ne s’agit que d’un modèle, qu’elle ne donne pas de conseil juridique et qu’elle n’est pas responsable en cas de problème.
On remarque avec surprise que le générateur est ultra court.
Shopify invite l’entreprise à renseigner trois informations :
- un mail
- un mot de passe
- le nom de sa boutique en ligne
Aucune question n’est posée dans le générateur sur le nom de l’entreprise ou encore sur les données personnelles collectées depuis le site web en question.
Shopify adresse ensuite un mail invitant à accéder à la politique de confidentialité.
Le document est disponible sur une page en ligne et il faut copier coller le texte.
Il ne s’agit pas d’un document au format word et on ne peut pas le télécharger.
Dans le document, l’entreprise est invitée à renseigner des informations bien précises comme par exemple d’insérer les “autres informations que vous recueillez, le cas échéant : données hors ligne, données/listes achetées à des fins de marketing«
Il n’y a pas guide ou d’explications pour aider l’entreprise à personnaliser elle-même le document.
Shopify envoie ensuite plusieurs mails de prospection commerciale à l’adresse mail renseignée dans le générateur afin de proposer à l’entreprise des produits ou services payants (sans avoir été informé ni donné de consentement à recevoir cette prospection).
Alors ?
A votre avis, le générateur de politique de confidentialité est-il un bon générateur ?
Répond-il réellement aux besoins de l’entreprise ?
Alternative sécurisée : le générateur de politique de confidentialité de NUMETIK AVOCATS
NUMETIK AVOCATS est une société d’avocats française.
Son cœur de métier est d’aider les entreprises qui se développent sur internet à gagner en sérénité juridique (site web, cgv, cgu, conformité RGPD, etc).
NUMETIK AVOCATS a une priorité : proposer à ses clients des solutions juridiques qui soient vraiment adaptées et qui répondent à leurs besoins. Que ce soit au plan de l’expertise et de la sécurité juridique, mais aussi en termes d’accessibilité, de rapidité et de tarif.
C’est pourquoi, NUMETIK AVOCATS a choisi de se différencier des autres cabinets français en proposant à ses clients entreprises 2 types de solutions au choix, en fonction de leurs besoins et de leur budget :
- soit un accompagnement juridique sur mesure et sur devis (par exemple pour rédiger des CGV adaptées aux produits d’une entreprise)
- soit des documents qu’elle a pré conçu, et personnalisables en ligne grâce à son générateur de politique de confidentialité NumeDoc
Cette deuxième solution est particulièrement adaptée aux petites entreprises qui n’ont pas forcément le budget de consulter un avocat pour une mission sur mesure, mais qui, pour autant, ont besoin d’avoir leurs documents juridiques obligatoires, notamment pour leur site internet (mentions légales, politique de confidentialité, charte sur les cookies, etc).
Le générateur NumeDoc
Compte tenu de l’importance des sanctions prévues pour les entreprises qui ne sont pas en règle, NUMETIK AVOCATS considère que ces documents juridiques doivent être rédigés par de vrais professionnels de droit maîtrisant les lois (et non par des sociétés de services numériques vendant par exemple des sites internet). C’est pourquoi, il a conçu son propre générateur de politique de confidentialité NumeDoc : un générateur 100% avocats.
Les tarifs proposés sont fixes et transparents.
Une fois le document obtenu, l’entreprise peut toujours demander à NUMETIK AVOCATS un rendez-vous si elle a des doutes ou des questions sur le document ou le générateur (en activant l’option Acte secure).
Enfin, NUMETIK AVOCATS étant une société d’avocats, elle a souscrit une assurance de responsabilité professionnelle et engage sa responsabilité sur tous ses documents.
L’entreprise sait qu’elle peut donc compter sur nous en cas de problème sur l’un de ses documents juridiques.
Les 8 avantages du générateur NumeDoc de politique de confidentialité de NUMETIK AVOCATS
- a été conçu par un avocat français
- pour les entreprises françaises
- prend en compte les lois françaises et européennes
- intègre toutes les mentions obligatoires exigés par le RGPD
- génère des documents Word et personnalisés en fonction des activités de traitement de données personnelles de l’entreprise
- n’est pas gratuit mais transparent sur les tarifs (pas de mauvaise surprise à la fin)
- permet d’échanger avec un avocat si l’entreprise a des questions ou des doutes sur le document ou le générateur (option Acte secure)
- est couvert par la responsabilité professionnelle de l’avocat
Vous voulez tester un générateur sans risque pour votre entreprise et vos données personnelles ? Vous souhaitez éviter les sanctions avec un générateur de politique de confidentialité adapté à votre activité ?
En résumé, vous voulez gagner en sérénité juridique ?