L’objectif de la politique de confidentialité est d’informer les personnes sur les traitements réalisés sur leurs données personnelles. En résumé, la personne dont les données à caractère personnel sont traitées doit savoir quelles sont ces données, dans quel but elles sont traitées, combien de temps elles sont conservées, quels sont ses droits sur les données…
C’est un document qui doit être mis à disposition des personnes dont les données personnelles sont traitées. Il peut s’agir d’utilisateurs, d’employés, de clients, de prospects ou de candidats. Et porter sur tout type de cas où des données personnelles sont traitées : site web, Plateforme digitale, Bot, gestion du personnel.
Ce document juridique doit être compréhensible par les lecteurs non-juristes. Il est fondamental d’utiliser un langage accessible à tous. La CNIL (Commission Nationale de l’informatique et des libertés), qui est l’autorité de contrôle en matière de données à caractère personnel, pourrait vous reprocher qu’elle ne soit pas assez claire.
la politique fait partie du volet le plus important du RGPD : l’information des personnes.
Attention, pour la conformité d’un site web, il ne s’agit pas de la seule obligation en termes d’information des personnes. Il fait également mettre en place une politique cookies, des mentions obligatoires comme l’hébergeur et l’éditeur du site (responsable de l’éditeur du site).
En 2023, la politique de confidentialité est obligatoire. C’est, avant tout, un des piliers de la conformité du Règlement général sur la protection des données (RGPD) du site internet.
Le RGPD c’est :
L’objectif du RGPD est de faire comprendre aux entreprises l’importance du traitement des données personnelles. Tous les transferts de données au sein de l’UE ou dans des pays hors de l’UE doivent être bien encadrés, y compris les données personnelles qu’une structure envoi à son comptable, ses avocats, à l’URSSAF, etc. il permet aux entreprises de se sécuriser si jamais il y a fuite de données.
Pour établir une politique de confidentialité conforme au RGPD, il faut regarder tous les traitements de données. Les entrées de données et les sorties de données (avocat, comptable, URSSAF, informatique). Ces transferts de données doivent être encadrés.
Un employé de la société “A” doit pouvoir consulter facilement la politique des données personnelles employée. Elle se trouve sur l’outil de travail central de l’utilisateur et peut être transmise à l’arrivée du collaborateur.
Les utilisateurs du site “B” doivent trouver facilement, souvent dans le footer (bas de page), un lien vers la politique de confidentialité. Celle-ci va donc porter sur les données personnelles traitées dans le cadre de la visite du site B.
Les employés de l’entreprise “C” utilisent une app mobile pour prendre des rendez-vous avec les médecins ou psychologues du travail. Une politique doit être disponible sur l’application mobile pour les informer des traitements sur leurs données personnelles.
La politique de données personnelles doit contenir les informations suivantes :
Ce document est composé de plusieurs sections. Nous vous expliquons ce qui doit se trouver dans chacune de ces sections.
Cette section doit informer l’utilisateur de la raison pour laquelle ce document a été réalisé et est disponible.
Politique de confidentialité site internet : Cette politique vise à informer les personnes sur la manière et les raisons pour lesquelles les entreprises collectent et traitent des données personnelles de ses clients et de ses utilisateurs dans le cadre de leurs activités.
Sur un site internet, ce document est obligatoire. Elle représente un gage de sérieux et de confiance envers les utilisateurs, car c’est le meilleur moyen de les informer. Il est important de respecter les règles sur les données à caractère personnel des utilisateurs et de les protéger.
C’est également une preuve pour toutes les personnes qui la consultent que les règles applicables en matière de protection des données et le règlement général sur la protection des données (RGPD) sont bien respectées.
La privacy policy peut s’appliquer à un client, un potentiel client, un visiteur, un salarié ou encore un candidat, peu importe son lieu de domiciliation. Concrètement, elle s’adresse à toutes les personnes dont les données sont traitées mais aussi à toutes les personnes qui utilisent et traitent des informations personnelles. Cela dépend beaucoup du contexte dans lequel la politique de confidentialité est réalisée.
Il est nécessaire d’expliquer pourquoi et sur quels principes les données à caractère personnel des utilisateurs sont traitées. Sur un site web par exemple, cela permet de bénéficier d’un service comme la création d’un compte client ou une organisation de rendez-vous, ou encore afin de répondre à une demande d’un utilisateur.
Cette partie de la politique permet aussi d’informer les utilisateurs que leurs données seront traitées pour leur envoyer des offres promotionnelles par email, SMS, et via un numéro de téléphone. C’est uniquement valable si les utilisateurs ont donné leur consentement dans un contexte B2C. En B2B, c’est plus flexible.
Pour se mettre en conformité avec le RGPD, vous devez faire la rédaction d’un traitement de données, ou encore du registre de traitement. Pour cela, il est nécessaire de passer par un délégué à la protection des données. Le traitement des données personnelles des utilisateurs permet de garantir et de renforcer la sécurité et la qualité des services (sécurité des données, statistiques, …) que propose une structure.
Il est également important de mentionner s’il y a des installations de Cookies sur le terminal.
C’est une partie importante car il faut définir toutes les catégories de données personnelles collectées via tous les canaux utilisés. Cela peut s’agir d’une collecte directe auprès des utilisateurs, via une base de données de potentiels clients, etc. Il faut respecter les durées de conservation des données mise en place par le règlement général sur la protection des données (RGPD).
Voici quelques exemples de données traitées chez Dipeeo :
Type de données
Exemple
Durée de conservation
Données d’identifications professionnelles et coordonnées
Nom, prénom, adresse mail professionnelle, numéro de téléphone, adresse professionnelle, etc.
5 ans
Données d’ordre économique et financier
numéro de carte bancaire, code de vérification, etc.
Entre 5 ans et 10 ans
Données à des fins de prospection commerciale
adresse mail, etc.
3 ans
Cookies
–
13 mois
Les données doivent être supprimées à l’expiration des durées de conservation. Cela peut être réalisé par un processus manuel ou une automatisation dans les outils.
Avant de rédiger une politique de confidentialité conforme au RGPD, assurez-vous d’avoir les connaissances techniques et juridiques nécessaires.
Tous les utilisateurs ont des droits spécifiques qu’ils peuvent utiliser à tout moment et gratuitement afin de contrôler l’usage de leurs données personnelles. Ces droits sont octroyés par la réglementation applicable en matière de protection des données.
Voici les droits dont dispose une personne :
1 – Droit d’accès et de copie des données personnelles : Chaque utilisateur a le droit de demander l’information de tous les traitements de ses données personnelles dès lors que cette demande n’est pas en contradiction avec le secret des affaires, la confidentialité, ou encore le secret des correspondances.
Selon la CNIL, Voici tous les éléments qui doivent être fournis à un utilisateur lorsqu’il fait une demande de droit d’accès :
Chaque utilisateur peut rectifier, compléter, actualiser, verrouiller ou effacer ses données personnelles qui seraient erronées, obsolètes ou incomplètes.
des données personnelles mis en œuvre à des fins de prospection commerciale : Chaque utilisateur a le droit de se désabonner d’une campagne de prospection commerciale (Opt-out).
(“droit à l’oubli”) des données personnelles qui ne seraient pas essentielles au bon fonctionnement des services d’une structure.
qui permet de photographier l’utilisation des données en cas de contestation sur la légitimité d’un traitement.
qui permet de récupérer une partie des données personnelles afin de les stocker ou les transmettre facilement d’un système d’information à un autre.
en cas de décès, soit par un intermédiaire, soit l’intermédiaire d’un tiers de confiance ou d’un ayant-droit.
Pour que les utilisateurs puissent faire valoir leurs droits, il faut mettre en place par exemple une adresse mail sur laquelle ils peuvent envoyer leurs demandes.
Comme les entreprises collectent et traitent des données de « personnes », il est primordial de les informer qu’ils peuvent avoir accès à leurs données personnelles. En général, les données personnelles sont communiquées aux personnes autorisées à les utiliser afin de mettre en œuvre les services d’une structure. Notamment le personnel chargé de la mise en œuvre du service, de la comptabilité, du marketing, et le cas échéant de la sécurité des locaux.
Les données peuvent être communiquées aux autorités publiques, à des conseils et praticiens externes, ainsi qu’à des prestataires ou encore, éventuellement, à des partenaires commerciaux.
Pour chaque structure, cette partie peut varier en fonction de l’activité, et ce n’est pas la seule partie qui peut avoir des informations différentes. Recopier une politique de confidentialité d’une structure n’est donc pas recommandé. Nous vous conseillons de consulter des professionnels. Cliquez ici pour obtenir votre audit gratuit.
L’objectif de cette section est d’informer sur les mesures de sécurité mises en place pour protéger les données à caractère personnel.
Les données personnelles des utilisateurs doivent être absolument protégées. Tous les moyens techniques et organisationnels requis doivent être mis en place pour garantir cette sécurité au quotidien et lutter contre tout risque de destruction, perte, altération, ou divulgation des données qui ne serait pas autorisée.
Il est important de sensibiliser toutes les personnes qui collectent et traitent des données personnelles dans la structure afin de limiter les risques de fuite de données.
Par exemple, les mots de passes doivent être fréquemment modifiées et ils doivent être à un haut niveau (lettres minuscules, lettres majuscules, caractères spéciaux, numéro, etc). Cette sensibilisation doit être mise en place par le délégué à la protection des données (DPO).
Une donnée personnelle peut être transférée dans un pays hors de l’UE mais pour cela, il faut mettre en œuvre les garanties appropriées afin d’assurer la confidentialité et la protection des informations personnelles.
Pour être en conformité, les structures qui transfèrent des données personnelles en dehors de l’Union Européenne directement ou par l’intermédiaire de prestataires en dehors de l’Union Européenne doivent signer un contrat spécifique qui permet ces transferts de données. Par conséquent, les prestataires doivent être conformes au RGPD si elles traitent les informations personnelles de personnes au sein de l’UE.
Pour les grands acteurs, notamment aux US, les clauses sont déjà mises à disposition et ne nécessitent pas de rédaction complémentaire. Une vérification est toutefois nécessaire.
Cette partie permet de mettre en avant le délégué à la Protection des données (DPO) de la structure qui est le chef d’orchestre du traitement des données à caractère personnel. Il est conseillé d’y mettre un moyen de contacter le DPO via une adresse email “RGPD” dédiée
Cette section informe sur l’autorité de contrôle régulant les règles sur le traitement des données personnelles, que cela soit la CNIL ou un autre organisme dans un pays hors de l’UE. Chaque personne peut faire une réclamation auprès de la CNIL de manière anonyme.
Par exemple :
Il est possible de contacter l’autorité de contrôle française en matière de protection des données (la “Commission nationale de l’informatique et des libertés” ou “CNIL”) aux coordonnées suivantes :
Service des plaintes de la CNIL, 3 place de Fontenoy – TSA 80751, 75334 Paris Cedex 07 ou par téléphone au 01.53.73.22.22.
Avant de rédiger une politique de confidentialité conforme au RGPD, il est important que savoir qu’une structure est susceptible d’évoluer. Il en va de même pour sa politique qui doit être adaptée aux nouvelles exigences légales ainsi qu’aux nouveaux traitements qui peuvent être mis en œuvre dans le futur.
C’est pour cela qu’il est préférable de se faire accompagner par un délégué à la protection des données. Il va s’assurer de mettre à jour les documents légaux.
Il est important d’informer les personnes concernées lors du changement, ou de l’adaptation de la politique de confidentialité.
Il y a plusieurs cas pour ces plateformes. Soit la privacy policy est déjà réalisée et disponible car la plateforme a connaissance de tous les traitements.
Soit elle met à disposition une politique en marque blanche qu’il est possible de compléter et implémenter sur la plateforme.
Il existe beaucoup d’outils qui permettent de générer une politique de confidentialité. Cependant, ces outils proposent “des modèles de politique de confidentialité” qui ne sont pas toujours compatibles avec l’activité d’une structure. En effet, ces outils ne sont pas responsables des informations que vous mettez pour générer votre document et ne garantit pas sa conformité. Ce qui signifie qu’il est fort probable que la politique ne soit pas conforme RGPD.
Dipeeo vous permet de générer votre politique dans son offre unique de dpo externe tout inclus. Suite au remplissage d’un questionnaire, votre DPO vous livrera votre politique de ainsi qu’un mode d’emploi pour l’intégrer sur votre site web, plateforme, intranet…
Vous pouvez télécharger la politique de confidentialité de Dipeeo en tant qu’exemple. Attention toutefois. Il faut mettre à jour sur la base de vos traitements des informations personnelles et ceci est très dépendant de votre activité. Nous ne recommandons donc pas cela.
Dipeeo peut vous accompagner pour réaliser cette politique très simplement. Contactez nous via la page “contact”.
💥 L’erreur la plus commune porte sur la clarté de l’information pour l’utilisateur. C’est-à-dire que chaque mot est important, et que chaque phrase va apporter une information aux personnes :
« Je conserve les données pour une durée nécessaire au traitement. » 🚫
Cette affirmation n’apporte aucune information à l’utilisateur.
« Je collecte les données à des fins de prospection commerciales pour une durée de 3 ans à compter du dernier contact. »
Vous souhaitez consulter une politique de confidentialité conformer ? Consulter celle de notre site !
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.