Politique de confidentialité RGPD : être en conformité en 2024 

Politique de confidentialité RGPD : être en conformité en 2024 

En mai 2018, entrait en vigueur le Règlement général sur la  protection des données (RGPD). Toutes les entreprises concernées, dont vous faites probablement partie, doivent se conformer à ce règlement sous peine de sanctions. 

Parmi les nombreuses obligations du RGPD, on y trouve l’obligation de transparence - et d'information - qui se matérialise via une politique de confidentialité.

Cette dernière permet de communiquer à vos utilisateurs, prospects et clients (et toute personne concernée), tout ce que vous avez mis en œuvre concernant leurs données personnelles. 


La politique de confidentialité RGPD est-elle obligatoire ? Que doit-elle contenir ? Où doit-elle apparaître ? Que risquez-vous si vous ne l’avez pas mise en place ? 

Mini-sommaire : 

  1. Transparence et information
  2. Que doit contenir la politique de confidentialité RGPD ?
  3. Comment rédiger une politique de confidentialité RGPD ? 
  4. Politique de confidentialité : exemple 
  5. Conclusion 

Transparence et information 

Pour bien comprendre l'importance de la politique de confidentialité, il faut revenir à l’article 12-1 du RGPD qui impose au responsable de traitement de prendre les mesures appropriées pour informer les personnes dont les données sont collectées.

Dans les faits, la transparence signifie que vous devez fournir des informations exhaustives et précises aux individus concernés afin de les renseigner sur :

  • les raisons pour lesquelles leurs données sont collectées ;
  • la façon dont leurs données seront traitées ;
  • la manière dont ils peuvent maîtriser leurs données (exercice des droits).

C’est là que tout l’intérêt de la politique de confidentialité prend sens. Il s’agit d’un document qui détaille le devenir des données personnelles et  les mesures que vous avez mises en place au sein de votre organisme pour respecter le RGPD

Que doit contenir la politique de confidentialité RGPD ?

Avant d’aller plus loin, il convient de préciser que la politique de confidentialité s’adresse à des personnes peu familières avec le jargon technique. Pour qu’il y ait une vraie transparence, veillez à être pédagogue et accessible.

Par ailleurs, on associe souvent la politique de confidentialité aux outils digitaux (site internet dans le footer, seul ou avec vos CGV si vous évoluez en BtoC ou vos CGU), mais en réalité, elle doit aussi exister si vous collectez des données en physique ou en format papier. L’enjeu pour vous sera de trouver le bon support pour informer votre public.

Les informations RGPD incontournables 

  • L'identité et les coordonnées de votre entreprise ;
  • Les finalités : à quoi vous servent les données ? Gestion du personnel ? Prospection Suivi client ? 
  • La base légale : consentement, contrat, obligation légale, sauvegarde des intérêts vitaux, intérêt public, intérêts légitimes.
  • Le caractère obligatoire ou facultatif du recueil des données ;
  • Les destinataires (équipes internes, mais aussi les sous-traitants) ;
  • La durée de conservation des données ;
  • Les droits des personnes concernées ainsi que les moyens de les exercer (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) ;
  • Le contact du délégué à la protection des données de l’organisme ou d’un personne référente ;
  • Le droit d’introduire une réclamation auprès de la CNIL.

Les cas particuliers

1er cas de figure : des renseignements additionnels peuvent être requis lors de transferts de données en dehors de l'Union Européenne, lorsqu'il y a mise en œuvre de décisions totalement automatisées ou de profilage, ou encore lorsque le traitement des données se base sur l'intérêt légitime de l'entité qui effectue la collecte.

2ème cas de figure : lorsque les données sont collectées de manière indirecte, il est nécessaire d'inclure les types de données recueillies et l'origine de ces données, en précisant notamment si elles proviennent de sources publiques.

Rédiger une politique de confidentialité RGPD : les préalables

En réalité, rédiger une politique de confidentialité n’est que le sommet de l’iceberg de votre conformité. Si vous n’avez pas fait un vrai travail méthodique en amont, la politique de confidentialité sera imprécise, voire mensongère.

Donc, nous préférons vous rappeler les étapes par lesquelles vous devez passer afin d’avoir une information a minima plausible pour les personnes concernées : 

  • Cartographie des données : effectuez un inventaire le plus exhaustif possible des types de données personnelles que votre organisation collecte (noms, adresses email, données de localisation, etc.) ;
  • Finalité : identifiez le but précis pour lequel chaque donnée est récoltée et traitée : marketing, respect des obligations légales, prospections ;
  • Base légale de traitement : si la finalité est réelle, repérez la base légale adéquate pour chaque catégorie de traitement et prenez les bonnes dispositions opérationnelles. Ainsi, si la base légale est le consentement, alors prévoyez des formulaires pour récolter l’accord en bon et dû forme du prospect, client, salarié, utilisateur, etc. Et si aucune ne correspond, il convient de supprimer la donnée.
  • Gestion des droits des personnes : l'exercice des droits peut vite tomber dans le néant si vous ne prévoyez pas un processus interne pour faire droit aux demandes.  
  • Durée de conservation des données : établissez la période pendant laquelle les différentes catégories de données personnelles seront conservées, en accord avec les obligations légales et les nécessités opérationnelles.
  • Processus de partage avec des tiers : identifiez si les données sont partagées avec des tiers (logiciel, prestataires). Si tel est le cas, indiquez et décrivez les mesures prises pour assurer leur sécurité et leur confidentialité.

Politique de confidentialité : exemples 

Si vous nous avez lu jusqu’ici, la politique de confidentialité devrait donc vous faire prendre conscience que le RGPD est une démarche globale nécessitant de se mettre vraiment à la place des personnes dont vous récoltez et traitez les données à caractère personnel.

Néanmoins, un exemple valant 1000 mots, nos avocats chez Bold vous ont préparé deux modèles téléchargeables gratuitement : 

Conclusion 

La politique de confidentialité est une obligation du RGPD dès lors que vous collectez des données personnelles. Sa rédaction est complexe et doit répondre aux spécificités de votre entreprise en interne, de vos clients, et de la nature de vos utilisateurs. 

Pour faire le point sur tous les sujets RGPD, nous vous invitons à vous faire accompagner par un avocat RGPD Bold.

Une question ? Un besoin ponctuel ou récurrent ?

Nous contacter pour un accompagnement

Téléchargez nos templates

Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.

Templates gratuits

À lire également

Contentieux

Je me suis fait copier mon site : que faire?

Si votre site a été copié, cet article vous offre des conseils juridiques concrets pour protéger vos droits et prendre des mesures correctives efficaces contre l'infraction.
Virginie Fourgoux
January 3, 2024
5 min read
Corporate

Levées de fonds #5 : La GAP (garantie d’actif et de passif)

La GAP ou « garantie d’actif et de passif » est un mécanisme que l’on retrouve dans les M&A et dans les levées de fonds – on parle alors plutôt de « Déclarations et garanties », mais par simplicité, nous utiliserons ici surtout le terme de « GAP ».
Alexandre Zitoune
February 6, 2024
5 min read
Business

Plateformes #4 : Gestion financière et fiscale

En fonction du modèle choisi, il va y avoir des impacts sur la gestion opérationnelle et financière de la société. Il y en a beaucoup, nous avons donc décidé d'en faire un article à part entière. Le but, quand on modélise une startup, est que ce soit le plus simple possible: que ce ne soit pas une usine à gaz au quotidien.
Team BOLD
January 16, 2024
5 min read