En mai 2018, entrait en vigueur le Règlement général sur la protection des données (RGPD). Toutes les entreprises concernées, dont vous faites probablement partie, doivent se conformer à ce règlement sous peine de sanctions.
Parmi les nombreuses obligations du RGPD, on y trouve l’obligation de transparence - et d'information - qui se matérialise via une politique de confidentialité.
Cette dernière permet de communiquer à vos utilisateurs, prospects et clients (et toute personne concernée), tout ce que vous avez mis en œuvre concernant leurs données personnelles.
La politique de confidentialité RGPD est-elle obligatoire ? Que doit-elle contenir ? Où doit-elle apparaître ? Que risquez-vous si vous ne l’avez pas mise en place ?
Mini-sommaire :
Pour bien comprendre l'importance de la politique de confidentialité, il faut revenir à l’article 12-1 du RGPD qui impose au responsable de traitement de prendre les mesures appropriées pour informer les personnes dont les données sont collectées.
Dans les faits, la transparence signifie que vous devez fournir des informations exhaustives et précises aux individus concernés afin de les renseigner sur :
C’est là que tout l’intérêt de la politique de confidentialité prend sens. Il s’agit d’un document qui détaille le devenir des données personnelles et les mesures que vous avez mises en place au sein de votre organisme pour respecter le RGPD.
Avant d’aller plus loin, il convient de préciser que la politique de confidentialité s’adresse à des personnes peu familières avec le jargon technique. Pour qu’il y ait une vraie transparence, veillez à être pédagogue et accessible.
Par ailleurs, on associe souvent la politique de confidentialité aux outils digitaux (site internet dans le footer, seul ou avec vos CGV si vous évoluez en BtoC ou vos CGU), mais en réalité, elle doit aussi exister si vous collectez des données en physique ou en format papier. L’enjeu pour vous sera de trouver le bon support pour informer votre public.
1er cas de figure : des renseignements additionnels peuvent être requis lors de transferts de données en dehors de l'Union Européenne, lorsqu'il y a mise en œuvre de décisions totalement automatisées ou de profilage, ou encore lorsque le traitement des données se base sur l'intérêt légitime de l'entité qui effectue la collecte.
2ème cas de figure : lorsque les données sont collectées de manière indirecte, il est nécessaire d'inclure les types de données recueillies et l'origine de ces données, en précisant notamment si elles proviennent de sources publiques.
En réalité, rédiger une politique de confidentialité n’est que le sommet de l’iceberg de votre conformité. Si vous n’avez pas fait un vrai travail méthodique en amont, la politique de confidentialité sera imprécise, voire mensongère.
Donc, nous préférons vous rappeler les étapes par lesquelles vous devez passer afin d’avoir une information a minima plausible pour les personnes concernées :
Si vous nous avez lu jusqu’ici, la politique de confidentialité devrait donc vous faire prendre conscience que le RGPD est une démarche globale nécessitant de se mettre vraiment à la place des personnes dont vous récoltez et traitez les données à caractère personnel.
Néanmoins, un exemple valant 1000 mots, nos avocats chez Bold vous ont préparé deux modèles téléchargeables gratuitement :
La politique de confidentialité est une obligation du RGPD dès lors que vous collectez des données personnelles. Sa rédaction est complexe et doit répondre aux spécificités de votre entreprise en interne, de vos clients, et de la nature de vos utilisateurs.
Pour faire le point sur tous les sujets RGPD, nous vous invitons à vous faire accompagner par un avocat RGPD Bold.
Une question ? Un besoin ponctuel ou récurrent ?
Nous contacter pour un accompagnementTéléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.