Qu’est-ce qu’une charte/politique de confidentialité ?

par
5
Obtenir un devis de Me Smadja

Sommaire

En raison du fort développement des services en ligne, les données personnelles des utilisateurs sont de plus en plus exposées à des risques d’exploitation frauduleuse. Face à ce constat, il est devenu nécessaire de protéger et de sécuriser ces données. C’est la raison pour laquelle le Règlement général sur la protection des données (RGPD) a été mis en vigueur le 25 mai 2018. Ce règlement vise à renforcer les droits des citoyens européens, ainsi que le contrôle de leurs données personnelles. 

En conséquence, les entreprises ont désormais l’obligation de prendre des mesures pour garantir à leurs clients la sécurité de leurs données. Des mesures qui doivent être détaillées dans une politique de confidentialité, aussi appelée charte de confidentialité ou encore charte de protection des données personnelles. 

Mais que dit exactement le RGPD à ce sujet ? Que doit contenir une politique de confidentialité ? Enfin, quels sont les risques de sanctions en cas de non-conformité aux dispositions du RGPD ? 

Me Julien Smadja, avocat spécialisé dans le droit des nouvelles technologies et du RGPD, vous livre ses conseils. 

 

1/ Qu’est-ce qu’une charte/politique de confidentialité ?

 

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs (d’un service, d’un site Web…). Cette politique doit expliquer en détail le mode de collecte, le traitement, le procédé de publication et de suppression des données personnelles, ainsi que la finalité de ces procédés. L’information qui figure dans la politique de confidentialité doit être claire, concise et transparente. 

Ce document doit permettre aux clients et/ou aux utilisateurs de :

  • savoir pourquoi leurs informations personnelles sont collectées (l’usage qu’il en est fait) ;
  • connaître les modalités de traitement de leurs données personnelles ;
  • s’assurer de la protection de leurs données ; 
  • s’informer sur l’exercice de leurs droits. 

La politique de confidentialité permet donc de renforcer la confiance entre l’utilisateur et l’entreprise qui collecte et traite ses données personnelles. En faisant preuve de transparence et de clarté, l’entreprise garantit à ses utilisateurs qu’elle veille à la protection de leurs données. 

 

2/ Qui est concerné par la rédaction d’une politique de confidentialité ? 

 

Toute entreprise et toute organisation qui recueille, de manière directe ou indirecte, les données à caractère personnel de ses clients ou utilisateurs, a pour obligation d’établir une politique de confidentialité. De manière concrète, si votre entreprise possède un site Internet par lequel elle est susceptible de recueillir des données personnelles, vous devez mettre en place une politique de confidentialité. 

Une donnée à caractère personnel vise toute information pouvant identifier ou rendre identifiable une personne physique. Il peut s’agir d’un nom, prénom, numéro de téléphone, numéro de sécurité sociale, adresse, etc. 

La taille de l’entreprise n’a aucune incidence sur l’obligation de mise en place d’une telle politique, pas plus que le secteur d’activité. 

Tout recueil de données personnelles sans la mise en place d’une information relative au traitement de ces données est sanctionnable par la loi. A chaque modification des procédés utilisés pour collecter et traiter les données personnelles des utilisateurs, les informations mises à disposition de ces derniers doivent être mises à jour. L’entreprise doit par ailleurs informer les personnes concernées de toute modification de leurs données, à l’occasion par exemple d’un événement particulier. 

Le règlement RGPD impose dans ses articles 12, 13 et 14 une obligation de transparence à l’égard des entreprises. Ces dernières doivent ainsi présenter une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Ce dernier critère d’accessibilité n’est pas défini par le RGPD : il revient donc aux entreprises de juger ce qui relève d’un endroit “accessible”. 

 

3/ Quelles informations faut-il communiquer dans une politique de confidentialité, et par quels moyens ? 

 

Pour être conforme au RGPD, une politique de confidentialité doit comporter : 

  • l’identité et les coordonnées de l’entreprise ;
  • la finalité de la collecte des données (à quoi celles-ci vont servir, étant entendu que les données collectées doivent être justifiées par le service rendu au client) ;
  • la base légale du traitement des données (le RGPD en prévoit 6 : le consentement des personnes concernées, l’obligation légale, l’obligation contractuelle, la mission d’intérêt public, la sauvegarde des intérêts vitaux et l’intérêt légitime) ;
  • le caractère obligatoire ou facultatif du recueil de données, et les conséquences en cas de non-consentement de la personne concernée à fournir ses données personnelles ;
  • les destinataires des données recueillies ; 
  • la durée de conservation des données ;
  • les droits des utilisateurs (droit d’accès à leurs données, droit de rectification, droit d’effacement et droit à la limitation des données) ;
  • les coordonnées du délégué à la protection des données de l’entreprise, le cas échéant, ou le contact pour toutes les questions relatives à ce sujet ;
  • la mention du droit à introduire une réclamation auprès de la CNIL. 

Dans le cas d’une collecte indirecte de données, des informations supplémentaires devront figurer dans la politique de confidentialité, à savoir : 

  • la catégorie des données recueillies ;
  • la source des données recueillies. 

Pour informer ses clients de l’utilisation qui est faite de leurs données, l’entreprise peut rédiger une politique de confidentialité spécifique, qui peut figurer sur une page seule ou être incluse dans les Conditions générales de vente, ou insérer une page “Confidentialité des données” sur son site Internet. L’essentiel n’est pas tant le moyen de communication utilisé (le RGPD n’en fait pas mention) que la nature de l’information, qui doit obligatoirement être accessible, transparente et compréhensible par tous. 

 

4/ Quels sont les risques de sanctions en l’absence de politique de confidentialité ? 

 

Les entreprises qui ne se mettent pas en conformité avec les dispositions du RGPD encourent deux types de sanctions. Attention : les contrôles de la CNIL se sont durcis ces dernières années, et toute société est susceptible de faire l’objet de sanctions. 

Tout d’abord, les sanctions administratives (amendes). L’article 83 du RGPD fait ainsi une liste des conditions permettant à une autorité de contrôle (en France, il s’agit de la CNIL) d’imposer une sanction administrative à une entreprise ou un organisme qui ne respecte pas les dispositions du RGPD. Deux niveaux de sanctions sont prévus : le premier consiste en une amende représentant 2% du chiffre d’affaires, et le second en une amende représentant 4% du chiffre d’affaires. Le site Internet de l’entreprise peut également être suspendu. 

Ensuite, les sanctions pénales. L’article 84 du RGPD prévoit que les Etat Membres peuvent mettre en place des sanctions supplémentaires en cas de violation du RGPD. On retrouve ces dispositions dans le Code pénal français. A titre d’exemple, l’article 226-16 du Code pénal prévoit que “le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende”. L’article 226-21 du Code pénal prévoit quant à lui une infraction de détournement de la finalité des données personnelles lors d’un traitement de données, également passible de 5 ans d’emprisonnement et 300 000 d’amende. 

Se mettre en conformité avec le RGPD n’est pas toujours chose aisée. Il est malheureusement facile de passer à côté de certains impératifs ! Or, en cas de violation (même involontaire) des dispositions RGPD, les sanctions peuvent être très lourdes. C’est la raison pour laquelle il est judicieux de se faire accompagner par un avocat dans la mise en conformité RGPD de son entreprise. Grâce à l’assistance et à l’expertise de votre avocat, vous pourrez mettre en place dans votre entreprise un processus de mise en conformité adapté, tout en étant accompagné dans vos démarches auprès de la CNIL le cas échéant. 

Me Julien Smadja

Écrit par

Me Julien Smadja

Diplômé en droit des affaires et fiscalité au sein de l’Université Paris I Panthéon-Sorbonne, Julien Smadja a exercé au sein de grandes entreprises françaises et internationales spécialisées en droit des affaires, avant de rejoindre DJS Avocats en qualité de collaborateur. Il intervient, tant en conseil qu’en contentieux, sur toutes les problématiques liées au droit des affaires, des nouvelles technologies et du RGPD

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Modèle de contrat SaaS : un pari risqué avec le RGPD ?

Vous êtes en train de développer un tout nouveau logiciel, celui-ci sera exploité en mode Saas. ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier