Qu’est-ce qu’une politique de confidentialité ?
Une politique de confidentialité est un document mis en place par un organisme traitant des données à caractère personnel et qui présente les modalités de traitement des données des utilisateurs. Plus précisément, cette politique expose comment les données sont collectées, utilisées ou encore stockées et les droits des personnes sur leurs données. Elle présente également comment l’entreprise s’acquittera de ses obligations légales et comment les personnes partageant leurs données pourront exercer un recours si l’entreprise ne respecte pas ses responsabilités.
Cet outil permet ainsi de renforcer la confiance entre l’utilisateur et l’organisme qui collecte et utilise ses données personnelles. Il permet également de détecter les entreprises qui accordent une grande importance à la protection des données de leurs utilisateurs de celles qui ne le font pas. Ainsi, un site web qui ne communique pas à ses utilisateurs qu’il collecte des données ou qui dissimule sa politique risque de passer pour un site peu crédible.
Est-il obligatoire d’avoir une politique de confidentialité ?
Bien que la plupart des sites internet recourent à une politique de confidentialité, ni le RGPD, ni la loi Informatique et Libertés, n’imposent au responsable de traitement de transmettre les informations légales sous forme de charte. La politique de confidentialité est en effet née de la pratique. Le législateur impose à tout organisme qui traite des données personnelles une obligation de transmettre un certain nombre d’informations, sans qu’une modalité spécifique de présentation de ces informations ne soit exigée.
Le responsable de traitement est en effet soumis à une obligation d’information introduite par la règlementation européenne dans ses articles 13 et 14. Cette obligation s’applique quel que soit la taille de l’entreprise ou encore son secteur d’activité. Une liste des informations à transmettre est présentée de manière exhaustive et l’objet de cette obligation varie selon qu’il s’agit d’une collecte directe ou indirecte. En d’autres termes, le contenu de l’information n’est pas identique dans le cas où les données ont été collectées directement auprès de la personne ou via une source tierce.
A quoi sert-elle ?
Le RGPD a introduit un certain nombre de principes que tout organisme traitant des données personnelles doit respecter. De ces principes découlent des obligations dont le respect nécessite le plus souvent de définir un plan d’action et un ensemble de process. Parmi ces principes, l’obligation de garantir la transparence du traitement. Pour assurer cette transparence de manière effective, des informations doivent être communiquées de manière accessible et facile à comprendre.
Ce document permet ainsi aux personnes concernées de décider en connaissance de cause quant au renseignement ou pas de leurs données. Ainsi, en se basant sur les informations affichées, les titulaires des données sont en mesure de connaître les actions prises pour assurer la protection des données et dans une certaine mesure le niveau de conformité de l’entreprise.
Ce principe de transparence permet également à la personne concernée de décider si elle souhaite exercer l’un des droits qui lui sont conférés par la règlementation. Ainsi, par exemple, elle pourra décider de s’opposer au traitement en se basant sur les informations transmises.
Quelles sont les mentions à faire apparaître ?
Les informations à afficher sont presque identiques dans le cas où il s’agit d’une collecte directe ou d’une collecte indirecte.
Dans le cas où les données ont été collectées auprès de la personne concernée, les informations devant être transmises portent sur :
- l’identité et les coordonnées du responsable de traitement, voire de son représentant
- les coordonnées du délégué à la protection des données le cas échéant
- les finalités du traitement
- la base juridique du traitement
- les destinataires ou les catégories de destinataires des données personnelles
- le fait que le responsable du traitement a l’intention de transférer les données vers un pays situé hors UE et les garanties permettant de légitimer ce transfert ainsi que les moyens d’en obtenir une copie
- les intérêts légitimes poursuivis par le responsable du traitement ou par le tiers dans le cas où la base légale du traitement est l’intérêt légitime
- la durée de conservation des données ou les critères permettant de la fixer
- les droits dont bénéficient les personnes
- le caractère obligatoire ou facultatif de la collecte et les conséquences éventuelles de la non-fourniture des données
- l’existence le cas échéant d’une prise de décision automatisée, y compris un profilage et la logique sous-jacente
Dans le cas où les données n’ont pas été collectées auprès de la personne concernée, des informations supplémentaires doivent être fournies portant sur :
- les catégories de données à caractère personnel concernées
- la source d’où proviennent les données
Sous quel format la politique de confidentialité doit être présentée ?
En matière d’obligation d’information, le moyen de communication des mentions n’est pas prévu par la règlementation. Il est toutefois obligatoire de respecter un certain nombre d’exigences liées à la modalité d’affichage de l’information. Ainsi, au titre de l’article 12 du RGPD, les informations doivent être transmises « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Ces obligations impliquent d’adapter la forme de présentation au support sur lequel est communiquée l’information et en tenant compte du destinataire de l’information, « en particulier pour toute information destinée spécifiquement à un enfant ».
Il convient à titre d’exemple de prendre en compte les difficultés que peut rencontrer la personne lors de l’intégration de l’information affichée sur un support électronique. L’utilisateur ne doit en effet pas devoir faire des efforts pour pouvoir bien assimiler la totalité des informations et le responsable de traitement doit veiller à assurer une prise de connaissance effective du contenu.
Quels sont les risques associés à l’absence de politique de confidentialité ?
Tout organisme traitant et collectant des données personnelles est en principe dans l’obligation de mettre à disposition de l’utilisateur un document explicitant les modalités de traitement de ses données.
Dans certain cas très limités, le responsable de traitement n’est pas tenu d’afficher ces informations. Ainsi, lorsque les données ont été récupérées auprès d’un tiers et que la personne concernée dispose déjà de ces informations ou lorsque la fourniture des informations se révèle impossible ou exigerait des efforts disproportionnés, l’organisme n’est pas tenu de délivrer les informations à la personne concernée. Dans ce cas, des mesures appropriées pour protéger les droits et libertés des personnes doivent être mises en place. D’autres exceptions portent sur les cas où l’obtention ou la communication des informations sont prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ou lorsque les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel.
Le montant des sanctions pécuniaires en cas de non-respect de cette obligation peut s’élever jusqu’à 20 millions d’euros ou encore jusqu’à 4% du chiffres d’affaires annuel mondial dans le cas d’une entreprise[1]. Le manquement aux exigences sur les données personnelles sont également punissables pénalement. Les articles 226-16 et s. du Code Pénal prévoient des sanctions pouvant aller jusqu’à 5 ans de prison et 300 000 euros d’amende.
Ces sanctions peuvent s’appliquer du moment où il y a un simple manquement aux exigences portant sur la forme. Ainsi, la CNIL a prononcé à l’encontre de la société Carrefour France une sanction à hauteur de 2 250 000 euros d’amendes pour ne pas avoir entre autres respecté l’obligation d’information[2]. Elle lui reproche notamment de ne pas transmettre les informations de manière accessible et rappelle que l’information doit être communiquée de manière efficace et succincte pour éviter de noyer l’information parmi d’autres contenus informatifs.
Pour se conformer à cette obligation d’information, Data Legal Drive vous propose un modèle de politique de confidentialité que vous pouvez télécharger et adapter selon votre situation et les traitements que vous effectuez : Télécharger le modèle
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, article 83.
[2] Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société Carrefour France.
