RGPD : l'indispensable politique de confidentialité

Données personnelles 8223 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.
RGPD : l'indispensable politique de confidentialité

Avant l'entrée en vigueur du RGPD, lorsqu'un site internet collectait des données il devait faire une déclaration préalable auprès de la CNIL. Désormais, les déclarations auprès de la CNIL n'existent plus. En contrepartie, la responsabilité pesant sur le responsable de traitement est plus grande et il conviendra de se montrer vigilant.

Dès lors, tout site web collectant des données doit se munir d'une politique de confidentialité et la mettre à disposition des internautes.

Le droit antérieur : les déclarations auprès de la CNIL

Les sites web dispensés de formalité déclarative

Certaines catégories de sites internet ont purement et simplement été dispensées de toute déclaration auprès de la CNIL :

  • Les sites personnels ou blogs : une dĂ©libĂ©ration de la CNIL n°2005-284 du 22 novembre 2005 a dĂ©cidĂ© de la « dispense de dĂ©claration des sites web diffusant ou collectant des donnĂ©es Ă  caractère personnel mis en Ĺ“uvre par des particuliers dans le cadre d'une activitĂ© exclusivement personnelle ». Par une interprĂ©tation a contrario de cette dĂ©libĂ©ration, il est possible de dĂ©duire que la diffusion et la collecte de donnĂ©es Ă  caractère personnel opĂ©rĂ©e Ă  partir d'un site web dans le cadre d'activitĂ©s professionnelles, politiques, ou associatives demeurent soumises Ă  l'accomplissement des formalitĂ©s prĂ©alables prĂ©vues par la loi.
  • Les sites vitrines : Par une dĂ©libĂ©ration n°2006-138 du 9 mai 2006, la CNIL a dĂ©cidĂ© que seraient dispensĂ©s de dĂ©claration les traitements constituĂ©s Ă  des fins d'information ou de communication externe. Ainsi, bĂ©nĂ©ficient de cette dispense les sites des organismes publics ou privĂ©s collectant ou diffusant des donnĂ©es personnelles dans un but de communication ou d'information, dits les sites vitrines. Cette dispense est toutefois subordonnĂ©e Ă  l'accomplissement d'un certain nombre de conditions.
  • Les sites des associations : en vertu de la dĂ©libĂ©ration n°2006-130 du 9 mai 2006, sont dispensĂ©s de dĂ©claration les traitements relatifs Ă  la gestion des membres et donateurs des associations Ă  but non lucratif rĂ©gies par la loi du 1er juillet 1901. Ainsi, les fichiers de membres et donateurs d'associations sont dispensĂ©s de dĂ©claration. Cette dispense est subordonnĂ©e au respect de plusieurs conditions. Toutefois, elle ne s'applique pas aux traitements mis en Ĺ“uvre par une association ou tout autre organisme Ă  but non lucratif, Ă  caractère religieux, philosophique, politique ou syndical

Les sites soumis à une déclaration simplifiée

Les sites commerciaux de vente de biens ou de services : La norme simplifiée n°48, résultant de la délibération n°2005-112 du 7 juin 2005 simplifiant la déclaration des fichiers de clients et de prospects, a été étendue à internet. Ainsi, les sites web collectant des données auprès de clients et prospects peuvent faire l'objet d'une déclaration simplifiée.

Explications de la norme simplifiée NS-48

La norme simplifiée 48 (qui remplaçait les normes 11, 17 et 25) concernait les traitements qui avaient pour objet la gestion, au sein d'un organisme public ou privé, des fichiers de clients et/ou de prospects. Cette norme ne pouvait pas être utilisée par les professionnels des secteurs d’activité suivants : santé, éducation, banque, et assurance.

Elle s’appliquait aux traitements permettant les opérations relatives à la gestion des clients (contrats, commandes, livraisons, factures, comptes clients et comptes fidélité), à la prospection (constitution et gestion d’un fichier de prospects), à la cession, la location ou l’échange du fichier clients et de prospects, à l’élaboration de statistiques commerciales et à l’envoi de sollicitations. Les données enregistrées étaient relatives à l’identité du client, aux moyens de paiement utilisés, à sa situation familiale, économique et financière, à la relation commerciale et aux règlements des factures. La collecte du numéro de sécurité sociale (ou NIR) était en revanche exclue.

Les données pouvaient être transférées hors de l’union européenne sous certaines conditions. Les données clients ne pouvaient être conservées au-delà de la relation commerciale (sauf en cas de nécessité d’établir la preuve d’un droit ou d’un contrat qui peuvent être archivées conformément aux dispositions du Code de commerce, en l’occurrence 10 ans).

Les données prospects n'étaient conservées que pour la durée nécessaire à la réalisation des opérations de prospection (durée préconisée : 1 an maximum après le dernier contact ou sans réponse après deux sollicitations successives). Les personnes concernées étaient informées, lors de la collecte des informations, des droits d’accès, de rectification ou d’opposition qui leur sont reconnus par la loi du 6 janvier 1978 dite Informatique et Libertés.

Le droit actuel : la politique de confidentialité

Les déclarations auprès de la CNIL n'existent plus depuis l'entrée en vigueur du RGPD. En contrepartie, la responsabilité pesant sur le responsable de traitement s'en trouve accrue.

Dès lors, tout site web collectant des données doit se munir d'une politique de confidentialité et la mettre à disposition des internautes, le plus souvent par le biais d'un lien situé dans le footer de la page (le bas de page). Avant d'opérer à la collecte des données, les utilisateurs devront accepter cette politique de confidentialité. Dans la pratique, cela se matérialise par une case à cocher.

Bon Ă  savoir :

Une politique de confidentialité est requise en cas de collecte de données, qu'il s'agisse d'un site internet ou d'un commerce physique. Néanmoins, nous nous concentrerons ici sur les sites internet.

La collecte des données

La politique de confidentialité vise à informer les internautes concernant les données que vous collectez. Dès lors, devront être énumérées les données collectées. Il s'agit le plus fréquemment de données telles que : nom et prénom, numéro de téléphone, adresse e-mail, adresse postale, etc.

Vous devrez également informer les internautes de la finalité de cette collecte, le but poursuivi. Il peut s'agir par exemple de l'envoi d'une newsletter, ou encore de la mise à disposition d'un espace personnel pour l'internaute.

Il est indispensable d'indiquer la durée de cette conservation, à savoir qu'elle ne doit pas être excessive au regard des données collectées et que certaines informations doivent être conservées parfois jusqu'à 10 ans. Une étude des données collectées est donc nécessaire pour fixer une durée de stockage raisonnable.

Enfin, il conviendra d'informer l'internaute sur les conditions de stockage de ses données. L'idée étant qu'il faut stocker les données à caractère personnel dans un environnement sécurisé. Certaines données à caractère personnel, dites sensibles, n'ont pas le droit d'être collectées sauf exception. Et lorsque tel est le cas, elles devront être stockées dans des conditions particulières avec des exigences de sécurité renforcées.

Les données à caractères personnel sensibles sont définies ainsi par la CNIL :

Les données sensibles forment une catégorie particulière des données personnelles.

Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants :

  • si la personne concernĂ©e a donnĂ© son consentement exprès (dĂ©marche active, explicite et de prĂ©fĂ©rence Ă©crite, qui doit ĂŞtre libre, spĂ©cifique, et informĂ©e) ;
  • si les informations sont manifestement rendues publiques par la personne concernĂ©e ;
  • si elles sont nĂ©cessaires Ă  la sauvegarde de la vie humaine ;
  • si leur utilisation est justifiĂ©e par l'intĂ©rĂŞt public et autorisĂ© par la CNIL ;
  • si elles concernent les membres ou adhĂ©rents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale. 

Les droits des internautes

La politique de confidentialité devra également avertir les internautes des droits qui sont les leurs. Le Règlement Général sur la Protection des Données (RGPD) en dresse une liste :

  • Droit d'information : l'internaute doit ĂŞtre informĂ© des donnĂ©es collectĂ©es et sur ses droits. C'est lĂ  tout l'intĂ©rĂŞt de la politique de confidentialitĂ©.
  • Droit d'opposition : l'internaute doit pouvoir s'opposer Ă  l'utilisation de tout ou partie de ses donnĂ©es. Cependant, si l'internaute s'oppose au traitement de donnĂ©es indispensables au bon fonctionnement du service proposĂ©, il est logique qu'il ne pourra pas bĂ©nĂ©ficier de ce service.
  • Droit d'accès : l'internaute a un droit d'accès sur ses donnĂ©es, cela signifie qu'il peut demander l'obtention des donnĂ©es qu'un organisme dĂ©tient sur lui et les vĂ©rifier.
  • Droit de rectification : Ă  tout moment, l'internaute peut adresser Ă  l'organisme une demande de rectification afin de corriger les informations inexactes le concernant.
  • Droit au dĂ©rĂ©fĂ©rencement : l'internaute peut demander Ă  l'Ă©diteur d'un site internet de dĂ©rĂ©fĂ©rencer le contenu relatif Ă  sa personne afin de ne plus ĂŞtre visible sur les moteurs de recherches.
  • Droit d'effacement : l'internaute peut Ă  n'importe quel moment demander la suppression dĂ©finitive des donnĂ©es le concernant.
  • Droit Ă  la portabilitĂ© : longtemps contestĂ©, ce droit Ă  la portabilitĂ© permet Ă  l'internaute de demander un export de l'intĂ©gralitĂ© des donnĂ©es le concernant dans un format lisible. Ce droit a Ă©tĂ© longtemps contestĂ© en raison de la difficultĂ© pour les Ă©diteurs de site web pour le mettre en Ĺ“uvre. Des sites internet comme Facebook ou Instagram se sont mis en règle, mais il s'agit pour les petits Ă©diteurs d'une disposition particulièrement difficile Ă  mettre en place, et qui suppose parfois des dĂ©veloppements qui peuvent s'avĂ©rer coĂ»teux.
  • Droit Ă  la limitation des donnĂ©es : il s'agit lĂ  du droit pour l'internaute de demander Ă  un organisme de "geler" temporairement les donnĂ©es que l'organisme a collectĂ© sur lui.

Bien que cette liste ne soit pas exhaustive, elle dresse les principaux droits consacrés aux internautes.

Le transfert des données

Si les données collectées font l'objet d'un transfert à un partenaire ou à un prestataire vous devez en informer l'internaute par l'intermédiaire de la politique de confidentialité. Il est possible de transférer les données collectées hors Union Européenne ou Espace Économique Européen à condition d'assurer un niveau de protection similaire à celui imposé dans l'Union Européenne.

Identités du responsable de traitement et du délégué à la protection des données

La politique de confidentialité devra impérativement mentionner l'identité du responsable de traitement et du délégué à la protection des données (DPO) si l'organisme en possède un. L'internaute pourra ainsi contacter l'un ou l'autre en cas de réclamation concernant les données collectées.

La rédaction d'une politique de confidentialité peut vite devenir compliquée c'est pourquoi nous vous recommandons de faire appel aux services d'un avocat spécialisé en propriété intellectuelle pour la rédiger.

Suivez-nous sur Linkedin
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Modalités et conditions de revente d'un fichier de clients via internet
Donnees personnelles 14947 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Le RGPD, un outil de protection des données personnelles
Donnees personnelles 4530 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Google Ads (AdWords) et protection des données personnelles
Donnees personnelles 4569 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Hébergement et stockage de données médicales sensibles
Donnees personnelles 7759 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Statut d'hébergeur/éditeur : conservation des données personnelles
Donnees personnelles 4619 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
RGPD : le registre des activités de traitement de données personnelles
Donnees personnelles 7250 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Désignation d'un délégué à la protection des données (DPO)
Donnees personnelles 5785 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
L'identification d'une personne à partir d’une adresse IP
Donnees personnelles 35796 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Comment réussir sa mise en conformité au RGPD ?
Donnees personnelles 5391 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

photo en noir et blanc de quelqu'un tapant au clavier de son MacBook
Données à caractère personnel : conservation et suppression
Donnees personnelles 10588 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?

une personne utilisant Google Analytics sur son ordinateur portable
RGPD : comment réaliser une cartographie des données à caractère personnel ?
Donnees personnelles 5348 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.

une caméra sur un mur
Le RGPD et son applicabilité dans les États membres de l’Union Européenne
Donnees personnelles 4367 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.

des personnes vues d'en haut en train de marcher sur un passage piéton
RGPD : L'anonymisation des données personnelles
Donnees personnelles 11275 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Audit de conformité au RGPD : gage de respect du règlement
Donnees personnelles 4343 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?

une personne utilisant un ordinateur portable
Étapes d'une mise en conformité au RGPD
Donnees personnelles 3365 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.