Comment rédiger une politique de confidentialité en prenant en compte le RGPD ?
Voici donc un guide pratique pour rédiger votre politique de confidentialité en respectant le RGPD.
1. Intégrer la base juridique dans la politique de confidentialité
Vous pouvez commencer par indiquer la base juridique vous permettant de rédiger cette page.
Exemple : en France, il s’agira de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et du Règlement Général sur la Protection des Données.
Exemple : Si votre activité vous impose d’autres restrictions, comme un code de déontologie, vous pouvez le notifier.
2. Informer sur la mesure d’audience du site web
La grande majorité des sites internet dispose d’un système de mesure d’audience. Il est donc nécessaire d’informer l’internaute de la finalité de ce système et de ses modalités. Si cette prestation est assurée par un prestataire, assurez-vous auprès de celui-ci de sa conformité.
Exemple : les sites Jalis sont équipés d’un système de mesure d’audience Google Analytics afin d’analyser le trafic et ainsi d’optimiser les sites internet. Les données sont anonymisées avant transfert vers Google et y sont conservées pour une durée de 13 mois.
3. Cookies ou témoins de connexion
Si votre site utilise des cookies (ou témoins de connexion), il est obligatoire d’informer l’internaute sur ceux-ci. Nous vous conseillons de commencer par une information générale sur les cookies, puis indiquez l’utilisation qui en est faite sur votre site. Nous vous conseillons aussi d’ajouter une partie expliquant comment un internaute peut effacer ses cookies.
Si vous ne savez pas si votre site utilise des cookies et lesquels, vous pouvez contacter votre prestataire, en effet, il lui incombe de détailler les mesures techniques de part sa qualité de sous-traitant.
4. Traitements de données personnelles
Vous pouvez profiter de la politique de confidentialité pour détailler les traitements de données. Attention, l’information de l’internaute doit se faire au plus près de la collecte des données.
Exemple : Si vous avez un formulaire de contact collectant des informations à caractère personnel, les modalités du traitement doivent apparaître sur la page du formulaire.
Les informations obligatoires sont : le responsable du traitement, la finalité du traitement, la durée de conservation des données, le lieu de stockage (avec les éventuels transferts hors UE ou vers d’autres entreprises) et les moyens de protection des données. Indiquez aussi les moyens à disposition de l’internaute pour faire valoir ses droits sur les données collectées.
5. Droits des internautes
Dans cette rubrique, vous rappellerez quels sont les droits de l’internaute.
Exemple : “Tout Internaute du site web myjalis.fr dispose d’un droit d’accès, de rectification, de suppression, de limitation et de portabilité pour les données personnelles collectées par Jalis le concernant. Pour l’exercice de ces droits, l’Internaute est invité à contacter notre Délégué à la Protection des Données”.
Si votre société ne dispose pas d’un délégué à la protection des données ou d’un correspondant Informatiques et libertés, donnez aux internautes un moyen de contacter la personne en charge du traitement des demandes des internautes.
FAQ sur la Politique de Confidentialité
Je ne suis pas juriste, puis-je rédiger la politique de confidentialité ?
Oui, la politique de confidentialité décrit la façon dont vous utilisez et protégez les informations confiées par les internautes. Elle doit impérativement être comprise par les internautes, si vous ne comprenez pas ce qui y figure, il y a de fortes chances que les internautes ne comprennent pas non plus. Si votre entreprise dispose d’une assistance juridique, vous pouvez lui demander de l’aide dans la rédaction ou la validation de votre texte.
C’est un prestataire qui me fournit le site internet, n’est-ce pas à lui de rédiger la politique de confidentialité ?
Non, c’est le responsable du traitement qui a le devoir d’information sur la politique de confidentialité. Le traitement de l’information dépasse le cadre du site internet
Exemple : Vous pouvez exporter les données recueillies grâce à votre site et les utiliser sur un logiciel ou les transmettre à une autre société. C’est donc bien le directeur de publication qui est identifié comme responsable de traitement et qui définit la politique de confidentialité.
Néanmoins, le prestataire de site internet est identifié comme sous-traitant des données, cela implique des devoirs d’information et d’accompagnement. N’hésitez donc pas à le solliciter pour obtenir les informations techniques qu’il pourrait vous manquer, notamment l’utilisation des cookies, le lieu de stockage des données, etc.
Mon site dispose déjà de mentions légales, est-ce la même chose ?
Non, les mentions légales donnent des informations légales sur le responsable, le directeur de publication, l’hébergeur ainsi que d’autres mentions spécifiques à chaque site. La politique de confidentialité décrit la façon dont le responsable gère les données collectées par le site.
Vous souhaitez connaitre la différence entre politique de confidentialité et mentions légales, quels sont les éléments qui diffères ? Faut-t-il-rédiger les deux éléments sur son site internet ?
Article rédigé par Anthony Rodriguez