16 novembre 2020

La politique de confidentialité : pour qui, pour quoi ?
Temps de lecture : 4 min

Maître Sophie Haddad, Maître Antoine Casanova et Maître Nina Dubois
Avocats au sein du cabinet Carler France

Besoin d'en savoir plus ?

Depuis plusieurs années, les politiques de confidentialité fleurissent sur un grand nombre de sites internet et d’applications mobiles. A quoi sert une politique de confidentialité ? Est-elle obligatoire ? Comment rédiger une politique de confidentialité ? 

politique de confidentialité

Quel est le rôle de la politique de confidentialité ? 

La politique de confidentialité a pour objet d’informer les visiteurs d’un site internet ou les utilisateurs d’une application des différents traitements de données à caractère personnel mis en œuvre par le site ou l’application et de leurs droits concernant lesdits traitements. 

Si elle n’est pas obligatoire au sens de la règlementation, elle se révèle indispensable dès lors que l’on sort du simple site institutionnel et que plusieurs traitements de données à caractère personnel sont mis en œuvre.

Dans la pratique, des traitements de données à caractère personnel ont lieu très fréquemment lors de l’utilisation d’une application ou d’un site internet. Cela peut être par exemple : 

  • Lors de l’utilisation d’un formulaire de contact, 
  • Lors de la création d’un compte, 
  • Lors de la connexion à un espace client,
  • Lors de l’inscription à une newsletter.

En quoi consiste l’obligation d’information du responsable du traitement ?

Le règlement UE 2016/679, plus communément appelé Règlement Général sur la Protection des Données ou « RGPD », est entré en application le 25 mai 2018. Il a harmonisé et renforcé au niveau européen les obligations qui s’imposent en cas de traitement de données à caractère personnel. Cela s'applique au sein des entreprises, mais il est obligatoire d'appliquer également le RGPD aux associations.

Le responsable d’un traitement de données à caractère personnel est soumis au respect de certaines obligations pour que son traitement soit licite. Notamment, il doit informer la personne dont les données sont traitées (ou « personne concernée ») des modalités du traitement mis en œuvre. 

Le RGPD précise que la personne concernée doit être informée lors de la collecte de ses données. Des mentions d’information doivent donc apparaître dès la phase de collecte des données (par exemple, lors du remplissage des formulaires). 

La politique de confidentialité permet de centraliser les informations relatives aux différents traitements opérés sur le site ou l’application. Rédigée en des termes clairs et simples, elle doit permettre à l’utilisateur de prendre connaissance sans difficulté de l’ensemble des informations listées à l’article 13 du RGPD. 

En outre, afin d’éviter que la personne concernée ne soit noyée sous une masse d’information importante, il est prévu la possibilité de procéder à une information dite à « deux niveaux ». Des informations essentielles sont ainsi communiquées au moment de la collecte, et un renvoi vers une autre page – typiquement, une politique de confidentialité – lui est proposé pour en savoir plus. La Commission nationale de l’Informatique et des Libertés (« CNIL ») précise sur son propre site les informations à faire figurer dans le premier niveau d’information, tout en rappelant qu’une appréciation au cas par cas est nécessaire. 

Que doit contenir la politique de confidentialité ?

Lorsque les données sont collectées directement auprès de la personne concernée, l’information qui lui est due doit comprendre (RGPD, article 13) : 

  • L’identité et les coordonnées du responsable du traitement ; 
  • Le cas échéant, les coordonnées de son délégué à la protection des données (DPO) ;
  • La ou les finalité(s) du traitement ainsi que la ou les base(s) légale(s) ;  
  • Lorsqu’il s’agit d’une base légale du traitement, l’intérêt légitime poursuivi ; 
  • Les destinataires des données ; 
  • Le cas échéant, des informations concernant les transferts de données vers des pays situés en dehors des pays soumis au RGPD ; 
  • La durée de conservation des données ; 
  • Les droits dont dispose la personne concernée (droit d’accès, de rectification, d’effacement, de limitation, d’opposition, droit à la portabilité, le cas échéant le droit de retrait du consentement) ; 
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle (en France, la CNIL) ; 
  • Des informations sur le fait de savoir si la fourniture des données est rendue obligatoire par un règlement ou un contrat, si elle conditionne la conclusion d’un contrat, ainsi que sur les conséquences éventuelles d’un refus de fourniture des données ; 
  • Le cas échéant, l’existence d’une prise de décision automatisée et des informations sur les modalités de celle-ci. 

L’ensemble de ces informations doit donc se retrouver dans la politique de confidentialité, de manière claire et transparente pour les utilisateurs.

Si l’application ou le site internet traite des données qui n’ont pas été collectées directement auprès de la personne concernée (par exemple, en cas d’achats de bases de données de prospection), il sera également nécessaire de préciser les points suivants dans la politique de confidentialité (RGPD, article 14) : 

  • Les catégories de données à caractère personnel traitées ; 
  • La source d’où proviennent les données traitées et, le cas échéant, la précision indiquant si elles sont ou non issues de sources accessibles au public.

Comment rédiger la politique de confidentialité ?

L’information doit être délivrée à la personne concernée « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (RGPD, article 12, 1.). 

Sont donc à proscrire les politiques de confidentialité rédigées en des termes juridiques trop complexes. Il faut au contraire aspirer à la plus grande clarté possible. Si cela facilite la compréhension, il est possible d’inclure dans la politique de confidentialité des pictogrammes, afin de la rendre plus visuelle.

Les politiques de confidentialité peuvent aussi être construites de manière à faciliter la navigation : utilisation d’onglets, de renvois facilités, etc.

En résumé, la politique de confidentialité doit permettre au responsable de traitement de démontrer qu’il traite les données en toute transparence, et à la personne concernée de savoir comment sont traitées les données le concernant

L’éditeur ou l’exploitant d’un service sur internet ou une application mobile se doit donc de rédiger une politique de confidentialité afin d’être en conformité avec le RGPD. Toutefois, disposer d’une politique de confidentialité ne suffit pas pour être conforme au RGPD, ce texte prescrivant de nombreuses autres obligations (mise en place d’un registre des traitements…).

Mise à jour : 16/11/2020

Rédaction : Maître Sophie Haddad, Maître Antoine Casanova et Maître Nina Dubois, Avocats au sein du cabinet Carler France.

Besoin d'en savoir plus ?

Recevez gratuitement les meilleurs articles de la catégorie Relations commerciales

Recevoir les articles