Politique de confidentialité

La page de politique de confidentialité doit être facilement accessible sur votre site web et contenir plusieurs éléments clés pour être conforme au RGPD. Voici les informations qui doivent a minima être indiquées au sein de votre politique de confidentialité (article 13 du RGPD) :

  • Identité et coordonnées des personnes responsables des données : cette obligation inclut à la fois les coordonnées du responsable de traitement, c’est-à-dire votre entreprise en tant que personne morale ainsi que votre délégué à la protection des données (DPO), si vous en avez un.

  • Types de données collectées : Vous devez spécifier les types de données personnelles que vous collectez. Cela peut inclure, par exemple, des noms, des adresses email, des adresses IP, des données d'usage, etc.

  • But de la collecte de données : Vous devez expliquer clairement pourquoi vous collectez ces données, pour quelles finalités. Cela peut inclure, par exemple, la fourniture de services, la vente d’un produit, la communication avec les utilisateurs, l’envoi d’une newsletter, la connexion à son espace personnel, l'amélioration de vos services, etc.

  • La base légale de traitement des données : vous devez également informer les utilisateurs et clients de la base juridique sur laquelle vous vous appuyez pour chaque traitement de données : le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

  • Partage des données : Vous devez indiquer avec qui vous partagez ces données. Cela peut inclure, par exemple, des prestataires externes, des partenaires commerciaux, des sous-traitants, etc. Si vous transférez vos données aux Etats-Unis (par exemple, dans le cadre du stockage des données sur un Cloud), vous devez également respecter certaines obligations particulières et l’indiquer dans votre politique de confidentialité.

  • Durée de conservation des données : Vous devez préciser combien de temps vous conservez les données. L’un des principes phares du RGPD est qu’une entreprise doit conserver les données personnelles uniquement le temps nécessaire à la réalisation de l'objectif pour lequel elles ont été collectées.

  • Droits des utilisateurs : Il est crucial d'informer les utilisateurs de leurs droits en vertu du RGPD, notamment leurs droits d'accéder à leurs données (article 15 RGPD), de les corriger (article 16 RGPD), de demander leur suppression (article 17 du RGPD), de s'opposer à leur traitement pour une finalité précise (article 21 du RGPD) et de demander leur portabilité (article 20 du RGPD).

  • Sécurité des données : Vous devez expliquer comment vous protégez les données collectées. Cela peut inclure des mesures techniques (comme l’anonymisation, la pseudonymisation) et des mesures organisationnelles (comme la sensibilisation du personnel).

  • Les droits de réclamation : vous devez informer les internautes de leur possibilité d’introduire une réclamation auprès de la CNIL.

Cette liste des informations à indiquer n’est pas exhaustive. Elle doit être ajustée en fonction du type de site web, que ce soit un blog, une plateforme de e-commerce, un site vitrine ou encore de fourniture de services. Plus vous traitez un grand volume de données personnelles, plus vous devrez détailler votre politique de confidentialité. Vous devez aussi y accorder une importance particulière si vous traitez des données sensibles (par exemple, des données de santé).