Qu’est-ce que la politique de confidentialité d’un site internet ? est-ce un document obligatoire ? Comment faire pour l’obtenir ?
Si vous êtes un professionnel, vous vous êtes probablement déjà posé ces questions épineuses.
La politique de confidentialité d’un site internet n’est pas un document facile à rédiger. C’est pour cela que NUMETIK AVOCATS vous explique dans cet article plus complet, comment rédiger la politique d’utilisation des données personnelles et à quoi il faut veiller lorsque l’on a recours à un générateur ou à un modèle gratuit.
Mais avant de rédiger, il est important de comprendre à quoi sert une politique de confidentialité, vérifier si ce document est obligatoire dans votre cas et, plus largement, quelles sont vos obligations.
Cette politique est un document devant être conforme au RGPD et la Loi Informatique et Libertés. Elle sert à donner des informations sur les traitements que l’entreprise fait sur des données à caractère personnel.
Toute entreprise qui a un site web doit avoir une politique de confidentialité dédiée à son site.
A défaut, l’entreprise est passible de sanctions importantes.
Voyons ici ce qu’il faut savoir sur la politique de confidentialité du site internet et comment obtenir un document fiable et personnalisé pour son entreprise.
A quoi sert la politique de confidentialité du site web ?
Une politique de confidentialité est un document juridique. Ce document sert à informer les personnes qui visitent un site web (navigation), que l’entreprise collecte leurs données personnelles. Cette politique doit leur expliquer clairement et précisément ce que l’entreprise fait sur les données.
Ce document peut également s’appeler “politique de protection des données personnelles” – “privacy policy” ou encore “charte de confidentialité site internet”.
La politique de confidentialité sert principalement à informer les internautes sur :
- l’utilisation que l’entreprise fait sur leurs données personnelles (quelles catégories de données sont collectées, pourquoi, qui y a accès, combien de temps, la sécurité)
- des droits dont elles bénéficient (droit d’accès, d’opposition, etc)
La politique de protection des données personnelles sert également à protéger l’entreprise en cas de contrôle de la CNIL ou encore d’une plainte éventuelle d’une personne. Ce document lui permet de prouver qu’elle a rempli ses obligations d’information.
La politique de confidentialité doit être librement accessible depuis toutes les pages des sites web.
En complément de la politique de confidentialité, et pour que l’information soit la plus claire et accessible possible, la CNIL conseille aux entreprises de prévoir sur leur site des informations courtes, par exemple juste au niveau d’un formulaire de collecte de données : “Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, reportez-vous à la la politique de confidentialité ci-jointe”.
Pour en savoir plus et avoir des exemples de formules, vous pouvez vous reporter à notre article sur les exemples de formulaires RGPD
Est-ce que la politique de confidentialité est obligatoire pour l’entreprise ?
La politique de confidentialité doit être prévue par le professionnel si le site internet collecte des données personnelles (hors activité personnelle).
Elle concerne toutes les entreprises, et quel que soit l’activité proposée sur le site : vente de produits ou services.
Qui sont les personnes concernées exactement ?
La plupart du temps, les données collectées depuis un site sont celles :
- des internautes qui se connectent au site internet (et dont l’adresse IP est par exemple tracée pour mesurer l’audience du site)
- des personnes qui entrent en contact avec le professionnel depuis son site internet (par exemple, en utilisant le formulaire de contact, en s’abonnant à une newsletter, en créant un compte client, ou encore en partagant un article sur les réseaux sociaux).
Au plan juridique, on dit que le propriétaire du site internet a la qualité de « responsable de traitement » lorsqu’il collecte des renseignements personnels sur des tiers.
A retenir : dès que des données personnelles sont collectées depuis le site internet, l’entreprise a des obligations importantes à respecter à l’égard des personnes concernées.
Dans certains cas, l’entreprise doit demander le consentement des personnes concernées avant d’utiliser leurs données. C’est par exemple le cas en matière marketing.
Depuis l’entrée en application du RGPD, l’entreprise doit se responsabiliser et a notamment la charge de la preuve en cas de contrôle de la CNIL. Elle n’a plus de déclaration à faire à la CNIL sauf exception. En savoir plus sur les déclarations à la CNIL concernant les sites web.
Quelles sont les sanctions si le site n’a pas de politique de confidentialité ?
Les sanctions prévues en cas de non-respect des obligations d’information RGPD sont importantes.
- Sanctions administratives (Source : CNIL) :
Possibles amendes variables selon la nature de la violation :
-10 à 20 millions d’euros (pour les personnes physiques)
-2 à 4 % du chiffre d’affaires mondial (pour les sociétés/administrations)
- Sanctions pénales : un chapitre relatif aux données personnelles est prévu dans le Code pénal. La CNIL sanctionne régulièrement des entreprises qui ne respectent pas le RGPD, notamment l’obligation d’information.
- Sanctions pénales : un chapitre relatif aux données personnelles est prévu dans le Code pénal. La CNIL sanctionne régulièrement des entreprises qui ne respectent pas le RGPD, notamment l’obligation d’information.
Elle a par exemple infligé en 2021 une sanction de 500 000 euros à l’encontre de la société BRICO PRIVÉ en raison notamment du fait que l’information mise à disposition des utilisateurs du site ne comportait pas l’ensemble des éléments exigés par le RGPD.
Comment rédiger la politique de confidentialité du site ?
Les informations à prévoir sont précises et listées par le RGPD. L’entreprise doit notamment informer les personnes concernées :
- de son identité et ses coordonnées
- de toutes les finalités de traitement réalisés
- des bases légales des traitements (ce qui l’autorise légalement à traiter les données)
- des éventuels transferts de données vers des destinataires (par exemple, lorsqu’il y a des modules de paiement en ligne)
- de l’existence de sous-traitants (par exemple pour la maintenance et l’hébergement du site)
- de transferts éventuels de données hors UE par le professionnel ou ses sous-traitants (exemple Google Analytics)
- de la durée de conservation des données pour chaque finalité
- des droits dont elles disposent, de l’existence d’une prise de décision automatisée, y compris le profilage, etc.
L’entreprise doit veiller à ce que les informations qu’elle donne à l’internaute soient délivrées de la façon la plus claire, la plus complète et la plus intelligible possible.
Dans le cas contraire, les juges considèrent que les informations données ne sont pas valables.
La politique de confidentialité doit donc être rédigée avec une grande attention.
Peut-on prendre un modèle gratuit de politique de confidentialité ?
Étant donné la complexité des règles RGPD pour les entreprises, la solution la plus sûre est de confier la rédaction de la politique de confidentialité à un avocat, un juriste ou à un expert qui maîtrise le RGPD.
Mais pour limiter les frais et aller au plus vite, les entreprises optent parfois pour un modèle gratuit de politique de confidentialité qu’elles ont trouvé sur internet ou encore pour un générateur en ligne de politique de confidentialité.
D’autres entreprises délèguent le sujet à leur webmaster ou à leur agence de communication, en considérant à tort, que c’est à eux de savoir quoi prévoir dans la politique de confidentialité.
C’est une erreur ! La grande majorité des experts du web ne connaissent pas le RGPD et ne sont pas capables de rédiger des documents légaux conformes. Lorsque leurs clients leur demandent de faire le travail, ils ont alors recours à des générateurs gratuits de sociétés tierces.
Wix, WordPress ou encore Shopify proposent des générateurs de politique de confidentialité gratuits.
Mais ces générateurs sont-ils vraiment fiables ?
C’est loin d’être toujours le cas malheureusement.
Il faut être vigilant sur le choix du générateur ou du modèle.
Voici les 4 constats que nous avons fait :
- Constat n°1 : la plupart des modèles et des générateurs gratuits ne permettent pas de personnaliser correctement la politique de confidentialité par rapport au site de l’entreprise. Il s’agit de documents génériques.
- Constat n°2 : beaucoup de modèles et générateurs sont proposés par des sociétés étrangères à l’UE. Leurs documents sont souvent peu compréhensibles et traduits automatiquement de l’anglais au français. Qui est responsable en cas de mauvaise rédaction ? Qui paye les amendes en cas de contrôle de la CNIL ? Ce sera l’entreprise éditeur du site.
- Constat n°3 : les sociétés qui proposent des générateurs et modèles gratuits de politiques de confidentialité prévoient souvent des clauses d’exclusion de responsabilité. L’entreprise devra donc bien vérifier le contenu de la politique de confidentialité obtenue grâce au générateur afin de s’assurer qu’il est conforme. A défaut, elle risque de subir des sanctions.
- Constat n°4 : certains générateurs sont faussement gratuits. Ils donnent l’impression que la politique de confidentialité est gratuite et après le travail de personnalisation, ils réclament un paiement ou la souscription à un abonnement qui n’était pas précisé au départ.
Pour en savoir plus sur les avantages et les inconvénients des générateurs et modèles gratuits de politiques de confidentialité, Reportez-vous à cet article dédié
La check list des points à vérifier si vous optez pour un générateur en ligne de politique de confidentialité
Si vous souhaitez utiliser un générateur en ligne, il faut veiller à bien le choisir car il existe de nombreux générateurs non fiables sur internet.
Demandez à NUMETIK AVOCATS la check list gratuite des points juridiques à vérifier concernant le générateur.
En quoi le générateur de politique de confidentialité de NUMETIK AVOCATS est-il différent des autres ?
NUMETIK AVOCATS est un cabinet d’avocats français dont l’expertise est le droit du web (notamment le RGPD).
Son cœur de métier est d’aider les entreprises qui se développent sur internet à gagner en SÉRÉNITÉ JURIDIQUE.
Pour répondre aux besoins de ses clients, NUMETIK AVOCATS a mis en place 2 solutions juridiques :
- des solutions de conseil et de rédaction sur mesure : adaptées pour les besoins complexes (e-commerce, marketplace, etc).
- des documents juridiques en ligne depuis son propre générateur en ligne NUMEDOC : adaptées pour les entreprises qui ont des sites vitrines.
Il permet aux entreprises d’obtenir des documents juridiques d’avocats, fiables et adaptés à leurs activités.
Les tarifs sont transparents et connus à l’avance.
En cas de doute ou de questions lors de la personnalisation du document, l’option Acte secure permet d’échanger avec un avocat pendant 1 heure et de vérifier que le document personnalisé est parfaitement adapté aux activités de l’entreprise.
Dernière précision : NUMETIK AVOCATS s’engage en termes de responsabilité sur la qualité de ses documents (elle a souscrit une assurance obligatoire de responsabilité professionnelle).
Ses clients peuvent donc dormir sur leurs deux oreilles.
Pour commander une politique de confidentialité dédiée à votre site internet, n’hésitez pas à utiliser le générateur NUMEDOC.
Foire aux Questions
Qu’est-ce que le RGPD ?
RGPD ou GDPR signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Le RGPD a pour objectif de protéger la vie privée des individus.
Qu’est qu’une donnée personnelle ?
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition est très large.
Il peut s’agir de données permettant d’identifier directement ou indirectement la personne, comme par exemple des données d’identité (nom, prénom, adresse, mail, etc), des données sur la situation personnelle (ex : habitude de vie), professionnelle (fonction, cv, etc), financière (RIB, numéro de CB), données en ligne (identifiant, mot de passe, adresse ip, etc).
Est-ce que toutes les entreprises doivent respecter le RGPD ?
Toute entreprise, quelle que soit sa taille, son pays d’implantation et son activité, doit respecter le RGPD si :
- elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
Le RGPD concerne-t-il uniquement le site internet ?
Non pas uniquement. Le RGPD s’applique à toutes les activités de traitement de données personnelles réalisées par l’entreprise (sur son site internet et ailleurs : à l’égard de ses clients, ses fournisseurs, ses salariés, etc).
Une association doit-elle également avoir une politique de confidentialité ?
Oui, les associations doivent également respecter le RGPD.
La CNIL a élaboré un guide dédié aux associations pour les aider à respecter leurs obligations RGPD.