Quelles sont les bonnes pratiques en matière de Politique vie privée ?
Vous demandez-vous quel genre d’information devrait figurer sur votre page Politique vie privée ?
Les bonnes pratiques en matière de rédaction de ce document d’information sont nombreuses dès lors qu’elles dépendent de facteurs différents, dont notamment le public visé, le type de données collectées et le secteur dans lequel votre entreprise évolue. Par exemple, vous ne fournirez pas les mêmes informations si vous collectez et traitez des données médicales ou si vous vendez des vêtements.
Continuez votre lecture pour obtenir nos conseils sur la façon de rédiger une page de Politique de confidentialité.
À quoi sert une Politique vie privée ?
L’objectif d’une Politique vie privée est d’informer les personnes concernées par rapport aux traitements qui sont effectués concernant leurs données à caractère personnel.
Dans le cadre de cette information, au-delà des questions relatives au contenu et à la forme, il faut garder en tête l’un des principes phares du Règlement européen sur la Protection des Données (ci-après « RGPD ») qui gouvernera l’écriture de votre Politique : le principe de transparence. Ce principe impose à une entreprise de fournir une information complète à propos des traitements qui seront effectués. Les personnes doivent savoir pourquoi et comment leurs données à caractère personnel seront utilisées.
Méthodologie pour une information claire et transparente
Afin de ne rien oublier, l’idéal est de travailler par étape en établissant une check-list des points, concernant à la fois le fond et la forme, qu’une Politique vie privée doit respecter.
Autre astuce, vous pouvez également regrouper les informations par thème.
1. Le responsable de traitement
Le premier groupe concerne les informations relatives au responsable de traitement, c’est-à-dire l’identité ainsi que les coordonnées complètes de la personne (physique ou morale) qui traite les données, ainsi que, le cas échéant, l’identité de son Délégué à la protection des données s’il en a nommé un.
2. Type de traitement, bases légales et finalités des traitements
Le deuxième groupe d’informations porte sur les types de traitement, les bases légales permettant de justifier ceux-ci ainsi que les finalités, à savoir la raison d’être, de ces traitements.
Il convient également d’ajouter les précisions propres à chaque base légale de traitement.
- En pratique, si votre entreprise justifie des traitements de données personnelles sur la base légale du consentement, il convient de préciser que celui-ci peut être retiré à tout moment.
- De même si votre entreprise justifie des traitements sur la base légale de ses intérêts légitimes, il convient d’indiquer dans la Politique vie privée, les différents intérêts légitimes poursuivis par l’entreprise.
3. Les droits des personnes concernées
Le troisième groupe concerne les droits des personnes concernées par le traitement. La Politique vie privée doit contenir une explication de l’existence des différents droits reconnus par le RGPD.
Dans ce groupe d’information, il ne faut pas oublier d’expliquer si des décisions automatisées, c’est-à-dire des décisions prises sans aucune intervention humaine (par exemple, uniquement par le biais d’un algorithme), sont prises au sein de votre entreprise. Si votre entreprise prend ce type de décision, il faudra fournir des informations quant à la logique sous-jacente, l’importance et les conséquences envisagées de ce traitement pour les personnes concernées.
On ajoute également une mention relative à la possibilité d’introduire une plainte par rapport aux traitements effectués auprès de l’Autorité de contrôle compétente.
4. Les transferts de données
Le quatrième groupe porte sur les transferts de données effectués par votre organisation tant au sein de l’Union européenne que vers des pays tiers à l’Union européenne.
Concernant les transferts au sein de l’Union européenne, il faut préciser qui sont les destinataires des données, c’est-à-dire « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel » (Article 4, point 9 RGPD).
À propos des transferts de données vers un pays tiers ou une organisation internationale, il convient d’informer les personnes physiques de l’existence d’une décision d’adéquation ou de l’utilisation de garanties appropriées ou, le cas échéant, de dérogations.
5. Les catégories de données collectées
Le cinquième groupe d’information concerne les données, à savoir :
- Quelle catégorie de données sont collectées, par exemple les données d’identification (nom, prénom, adresse) ou des données financières (numéro de compte bancaire).
- La durée de conservation de ces données personnelles.
- Votre entreprise doit informer les personnes concernées quant aux obligations de fournir des données personnelles dans le cadre d’un contrat. Dans ce cas, il convient d’expliquer si la fourniture de données personnelles est conditionnelle à un service ou non et quelles sont les conséquences en cas d’absence de fourniture de ces données.
- Votre entreprise doit préciser les obligations légales ou réglementaires liées à la fourniture de données personnelles.
Comment communiquer ces informations ?
L’information devrait être fournie, en principe, par écrit ou par voie électronique lorsque c’est approprié.
- L’information devra être transmise de manière concise, transparente, compréhensible, facilement accessibles et en des termes clairs et simples. De plus elle doit aussi être adaptée en fonction du public visé et de l’activité de l’entreprise. Par ailleurs, sur un site internet, la Politique vie privée doit être aisément accessible depuis chaque page du site et à tout moment.
- La meilleure manière de procéder est de se mettre à la place des personnes concernées par cette Politique, c’est-à-dire les personnes dont votre organisation collecte et traite les données personnelles.
- Une bonne façon de travailler consiste à combiner différents niveaux d’information en laissant la possibilité aux personnes concernées de cliquer sur une thématique précise afin de s’informer. Il est également possible de faire passer des messages via l’utilisation d’icônes ou de pictogrammes.
- Vous pouvez également faire tester la Politique vie privée par des personnes pour évaluer si celle-ci est claire et facilement compréhensible.
Une fois que c’est fait, c’est bon non ?
Pas tout à fait. L’idéal serait de revoir de manière régulière la Politique vie privée pour être certain de sa complétude ainsi que de son caractère aisément compréhensible et transparent.
Lors de cette révision votre entreprise pourra prendre en compte les différentes demandes ou remarques qui ont été effectuées sur la clarté de la Politique et, éventuellement, intégrer les évolutions en terme de collecte et traitement des données.
Ainsi, si votre entreprise entend effectuer un traitement pour une autre finalité que celle pour laquelle les données personnelles ont été initialement collectées, il convient d’en informer la personne concernée au préalable.
Par exemple, si vous avez, dans un premier temps, collecté des adresses e-mails pour les besoins de la création d’un compte personnel sur votre site internet (1ère finalité) mais qu’ensuite vous désirez utiliser cette même adresse e-mail pour envoyer des newsletters (2ème finalité), il convient de prévenir les personnes concernées au moyen d’une information claire.
Quand dois-je fournir les informations lorsque je collecte directement auprès des personnes physiques leurs données personnelles ? Cette information doit prendre place au moment de la collecte de ces données par le responsable de traitement.
Dois-je toujours informer les personnes concernées ? Non, vous ne devez pas fournir les informations aux personnes concernées si cette personne dispose déjà des informations adéquates.
*
Avec une bonne check-list et une méthodologie adaptée, vous avez tout pour créer une super Politique vie privée !
Vous voulez en savoir plus sur le RGPD ?
Découvrez les 15 questions les plus posées par les marketers.