Retour

Modèle de charte de confidentialité

Dès lors qu’un site internet collecte des données personnelles, il est indispensable que les utilisateurs puissent prendre connaissance de la charte de confidentialité, aussi appelée politique de confidentialité. Ce document leur permet de connaître les modalités de traitement de leurs données, conformément au Règlement général de protection des données (RGPD). Découvrez ici un modèle.

Politique de confidentialité : quel cadre juridique ?

La charte de confidentialité, qui est aussi appelée politique de confidentialité, ou politique de protection des données personnelles, est une obligation légale pour toute entreprise qui collecte des données à caractère personnel, de manière directe ou indirecte.

Par conséquent, un site internet collectant certaines données personnelles doit obligatoirement établir une charte de confidentialité et la communiquer aux utilisateurs / internautes qui visitent le site.

La collecte et le traitement de données personnelles sont encadrés par la loi Informatique et Libertés en vigueur depuis 1978, qui a fait l’objet d’une nouvelle rédaction s’appliquant depuis le 1er juin 2019, et par le règlement général sur la protection des données, connu sous le nom de RGPD.

La loi Informatique et Libertés oblige notamment les entreprises à déclarer à la Commission nationale de l’informatique et des libertés (CNIL) les fichiers contenant des données personnelles, à assurer la sécurité de ces données et à informer les internautes, lorsqu’il s’agit d’un site, de la collecte des données, mais aussi de leur droit à y accéder, à les modifier ou à les supprimer.

Le RGPD, quant à lui, établit un cadre juridique concernant la collecte et le traitement des données à l’échelle européenne. Il est, en quelque sorte, une prolongation de la loi Informatique et Libertés, et offre une protection des données renforcée aux citoyens.

Données personnelles : de quoi s’agit-il ?

Une donnée à caractère personnel est, selon la définition qu’en donne la loi Informatique et Libertés, une information relative à une personne physique, permettant son identification de manière directe ou indirecte.

Cette définition très large englobe donc des éléments divers : nom, adresse postale, adresse mail, adresse IP, identifiants de connexion, numéro de téléphone, numéro client, donnée biométrique, photo, enregistrement vocal sont autant de données personnelles soumises au RGPD.

Dès lors que plusieurs données permettent, par recoupement, d’identifier une personne, elles sont toutes considérées comme ayant un caractère personnel. Ainsi, une base contenant des informations sur les goûts, les habitudes, la géolocalisation, le sexe ou l’âge des consommateurs, est considérée comme traitant des données personnelles même si le nom des personnes n’y est pas mentionné.

Le traitement de données personnelles est également défini de façon très large par la loi. Peu importe le procédé, qu’il s’agisse par exemple de l’organisation, de l’enregistrement ou de la modification des données : dès lors qu’une action est effectuée, la loi considère qu’on peut parler de traitement des données.

Pour être légal, ce traitement doit avoir un but cohérent avec la nature de l’activité de l’entreprise. Il peut par exemple s’agir, tout simplement, de la gestion de la clientèle via l’édition de factures ou la livraison de commandes, qui nécessitent de collecter et de traiter des données à caractère personnel.

Enfin, si les sites internet sont concernés, ils ne sont pas les seuls, puisque les règles encadrant le traitement des données s’appliquent aussi bien aux supports papier qu’aux supports numériques.

Traitement des données confidentielles : quelles règles suivre ?

Pour être en conformité avec les règles de traitement des données, une entreprise ou un site internet doit appliquer plusieurs principes.

Tout d’abord, toutes les données traitées doivent l’être dans un but précis, et seules les données indispensables à la réalisation de cet objectif doivent être collectées.

Les personnes dont les données sont collectées doivent impérativement en être informées. Elles doivent également savoir quelle utilisation en sera faite, et connaître leurs droits. Ainsi, il est indispensable de leur indiquer la marche à suivre pour accéder à leurs données, demander leur modification ou leur suppression.

Les données personnelles doivent par ailleurs être sécurisées. Par exemple, dans le cas d’un site internet, les utilisateurs doivent être invités à utiliser un mot de passe complexe et à en changer régulièrement. La connexion doit être sécurisée, et les données chiffrées lors des opérations sensibles.

Comment rédiger une charte de confidentialité ?

La charte de confidentialité d’un site internet doit comporter un certain nombre d’éléments :

  • L’identité et les coordonnées de l’entreprise ;
  • L’objectif de la collecte ;
  • La ou les bases légales du traitement des données prévues par le RGPD ;
  • La durée de conservation des données ;
  • Les destinataires de ces données ;
  • Les droits dont disposent les utilisateurs (notamment les droits d’accès, de rectification et de suppression) ;
  • Les droits de réclamation auprès de la CNIL ;
  • Les coordonnées de la personne responsable de la protection des données au sein de l’entreprise ;
  • Les conséquences d’un éventuel refus de collecte de données, et le caractère obligatoire ou facultatif de cette collecte.

La charte de confidentialité peut faire l’objet d’une page dédiée, ou être intégrée aux conditions générales d’utilisation.

Des éléments d’information concernant les cookies doivent également être communiqués aux utilisateurs. Si les cookies indispensables à la fourniture du service en ligne ne nécessitent pas le consentement de l’internaute, tous les autres sont en revanche soumis à cette obligation, qui se présente sous forme d’une fenêtre avec une case sur laquelle cliquer pour approuver.

En ce qui concerne les cookies, la politique de confidentialité du site ne vise donc pas à recueillir le consentement, qui doit avoir été obtenu dès l’arrivée de l’internaute sur le site, mais à apporter un complément d’information. Ainsi, la charte de confidentialité peut donner la définition d’un cookie et mentionner les différents types de cookies utilisés, leur finalité et leur durée de conservation.

Modèle de charte de confidentialité

Nous mettons à disposition un modèle de charte de confidentialité. Vous pouvez librement le télécharger, le modifier et l’utiliser sur votre site en l'ajustant à ses spécificités et en modifiant les parties qui sont entre accolades { … }. Ce modèle sert uniquement de base et ne constitue pas un avis juridique.

Télécharger un modèle de charte de confidentialité

Quelles sanctions en cas d’absence de charte de confidentialité ?

Une entreprise ne se soumettant pas à ses obligations en matière de politique de confidentialité et de protection des données personnelles s’expose à deux types de sanctions : des sanctions administratives et des sanctions pénales.

Les sanctions administratives sont des amendes pouvant s’élever à 4 % du chiffre d’affaires de l’entreprise. Une suspension du site internet est également possible.

Les sanctions pénales sont celles prévues dans le Code pénal français. Elles peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.