Vous êtes souvent amenés à donner vos informations personnelles lorsque vous vous connectez sur des sites internet. Ces derniers demandent toutes vos coordonnées telles que votre nom, votre adresse, votre adresse mail, votre contact, etc. Que font-ils de ces données ? Comment les traitent-ils ? Cela porte-t-il atteinte à la sécurité personnelle ? Nous vous expliquons tout dans cet article.
Menu
Définition de la charte de confidentialité
La charte ou politique de confidentialité est un contrat ou un document qui stipule le traitement de données personnelles des clients ou utilisateurs par une entreprise. Cette politique doit expliquer en détail la finalité de la collecte d’informations en partant du mode de collecte au traitement des données.
Cette charte doit permettre aux clients de savoir pourquoi ses données sont collectées, la façon dont ces dernières seront traitées, s’informer sur ses droits et s’assurer de la sécurité et protection de leurs informations.
Bref, les clients doivent tout savoir de ce que l’entreprise va faire de ses coordonnées personnelles. Toute entreprise, de telle manière qu’elle soit, lorsqu’elle recueille des données personnelles directement ou indirectement, est dans l’obligation de mettre en place une politique de confidentialité au préalable. La taille et le secteur n’ont aucun impact sur ce contrat et s’il y a modification sur le type d’informations à collecter ou n’importe quelle autre mention dans la charte, le client/utilisateur doit être informé.
VOIR AUSSI : Comment évaluer et améliorer la sécurité de l’intégrité des données dans votre entreprise ?
Le règlement RGPD
Adoptée au sein de l’Union européenne, le règlement RGPD (Règlement Général sur la Protection des Données) a pour but de protéger la vie privée et les libertés individuelles des personnes dont on collecte les données sur les sites internet. Il impose dans ses articles 12, 13 et 14 une obligation de transparence de la part des entreprises. Ces dernières doivent ainsi présenter une information claire, transparente, compréhensible et accessible des personnes concernées.
Les obligations conformes au RGPD
Dans le but de protéger la vie privée, il y a des obligations à suivre pour les entreprises souhaitant recueillir des informations personnelles.
Obligation générale de sécurité et de confidentialité
Une fois les données obtenues, le responsable de traitement doit tout mettre en œuvre pour les protéger afin de ne pas les endommager, les déformer ou risquer de les divulguer par une tierce personne. Avant même la mise en œuvre du recueil d’informations, cette personne désignée spécialement à cet effet doit limiter la quantité de données recueillies et fixer une durée raisonnable de conservation de ces dernières.
Par rapport aux informations, le responsable du traitement de données doit suivre certaines règles comme obtenir au préalable l’accord des clients, informer ces derniers de leurs droits, assurer la confidentialité des données, indiquer la durée de conservation des informations et veiller à la sécurité du système.
Obligation d’information
L’entreprise qui possède les informations personnelles doit mettre au courant la personne concernée de : l’identité du responsable du fichier, la finalité du traitement des données, caractères obligatoires ou facultatifs des réponses, le droit d’accès, de rectification, d’opposition et d’interrogation, la transmission des données et enfin de l’utilisation des données de navigation ou cookies.
Réalisation d’analyse d’impact
Dans le cas où les données obtenues présentent des risques pour les personnes concernées (données trop importantes comme les données bancaires par exemple), le responsable de traitement doit effectuer une analyse d’impact. Elle consiste à évaluer la gravité, l’origine, la nature et la particularité du risque sur les droits et les libertés de chacun. Si le risque est trop élevé malgré les mesures déjà mises en place, il faut informer la CNIL (Comission Nationale de l’Informatique et des Libertés).
Désignation d’un DPO
Une entreprise qui recueille des données personnelles à grande échelle doit désigner un DPO (Délégué à la Protection des Données). Cette personne a pour rôle d’accompagner le responsable de traitement des données et les sous-traitants, contrôler le respect du règlement selon la loi, enfin, vérifier et conseiller sur l’analyse d’impact.
Que faut-il mentionner dans une politique de confidentialité ?
Afin de mieux communiquer sa politique de confidentialité conforme au RGPD, il faut obligatoirement mentionner des éléments.
Pour les données recueillies directement, la charte doit comporter :
- les coordonnées et l’identité de l’entreprise et du responsable du traitement des données ;
- le but et la finalité de la collecte des données (à quoi vont-elles servir à l’entreprise) ;
- la base légale du traitement des informations collectées (le consentement des personnes concernées, l’obligation légale, l’obligation contractuelle, la mission d’intérêt public, la sauvegarde des intérêts vitaux et l’intérêt légitime) ;
- le caractère obligatoire ou facultatif du recueil de données et de la réponse en cas de refus de la part de la personne à fournir ses données personnelles ;
- les destinataires des données (responsables, association, sous-traitants, etc.) ;
- le délai de conservation des données et conditions de suppression ;
- les droits des clients ou utilisateurs (droit d’accès aux données, droit d’effacement, droit de limitation des données et droit de rectification) ;
- les coordonnées du DPO et toutes autres personnes ayant accès à la sécurité des données ;
- la mention du droit à faire une réclamation auprès de la CNIL.
Aux informations recueillies indirectement s’ajoutent la source et la catégorie des données. Il est important de noter que les mentions légales et les politiques de confidentialité sont à afficher obligatoirement sur un site professionnel, peu importe la forme choisie par l’entreprise.
La vidéo ci-dessous vous propose un modèle à recopier pour créer une politique de confidentialité (RGPD) pour son site web.
VOIR AUSSI : 5 documents juridiques importants pour les petites entreprises
Quelle est la différence entre mentions légales et politiques de confidentialité ?
Les politiques de confidentialité sont des règles conformes au RGPD pour protéger la sécurité des données personnelles tandis que les mentions légales ont pour objectif d’aider les utilisateurs à connaître les personnes physiques ou morales responsables du fonctionnement et de l’édition du site.
Que se passe-t-il lorsqu’il y a absence de charte de confidentialité ?
Il existe deux types de sanctions aux entreprises qui ne respectent pas les dispositions mises en place par le RGPD.
Les sanctions administratives
Selon une autorité de contrôle (comme la CNIL), il existe deux sanctions administratives dans cette catégorie, premièrement une amende de 2 % du chiffre d’affaires et deuxièmement, une amende de 4 % du chiffre d’affaires. Le cas échéant, le site web de l’entreprise peut être suspendu.
Les sanctions pénales
Selon la loi, en cas de violation du RGPD, les responsables risquent l’emprisonnement (jusqu’à cinq années, voire plus) et des amendes.
Comment bien rédiger charte de confidentialité?
Maintenant que vous en connaissez un peu plus sur la charte de confidentialité, lorsque vous allez rédiger le vôtre, veillez à ce que votre texte soit simple et compréhensible. Essayez de formuler vos phrases selon votre public cible afin de communiquer des informations claires et efficaces. Surtout, faites-en sorte que les utilisateurs n’aient pas à chercher loin pour trouver les informations concernant votre politique de confidentialité.
Rédiger une charte de confidentialité n’est pas une tâche facile, car il faut se baser sur toutes les dispositions du RGPD. Un seul élément manquant et vous risquez d’être pénalisés. Dans votre rédaction, restez simple, clair, précis et accessible pour vos clients afin de les rassurer sur la finalité de leurs données personnelles.
