La politique de con­fi­den­tia­lité sur Internet

Une politique de con­fi­den­tia­lité (Privacy Policy en anglais) est un exposé écrit de toutes les mesures que doit prendre une en­tre­prise ou une or­ga­ni­sa­tion, afin de garantir à ses clients ou uti­li­sa­teurs sécurité et uti­li­sa­tion ap­pro­priée des données qui ont été re­cueil­lies dans le cadre de la relation com­mer­ciale. De plus, la dé­cla­ra­tion de pro­tec­tion des données fournit des in­for­ma­tions sur la manière dont ces dernières sont col­lec­tées, stockées et utilisées et si, ou comment, elles sont trans­mises à des tiers.

La loi française est conçue pour protéger les données sensibles des uti­li­sa­teurs mais aussi les ad­mi­nis­tra­teurs de sites Internet contre toute violation. Ainsi, la loi dite « in­for­ma­tique et libertés » traite des données per­son­nelles en par­ti­cu­lier dans l’article 34, où il est stipulé que « le res­pon­sable du trai­te­ment est tenu de prendre toutes pré­cau­tions utiles, au regard de la nature des données et des risques présentés par le trai­te­ment, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, en­dom­ma­gées, ou que des tiers non autorisés y aient accès ».

Notez l’aspect non-obli­ga­toire de la loi (« est tenu »), qui incite tout de même les acteurs à en prendre con­nais­sance. Ces con­di­tions ont avant tout pour but de sécuriser les sites et éviter des ennuis éventuels causés par des in­ter­nautes peu scru­pu­leux. En revanche, le non-respect de cette obli­ga­tion de sé­cu­ri­sa­tion est puni par la loi. Pour cette raison, il est re­com­mandé à tous les ad­mi­nis­tra­teurs de sites de rédiger les con­di­tions générales de son site.

Étant donné qu’il est pra­ti­que­ment im­pos­sible de nos jours de gérer un site Web sans collecte de données, il est important de mettre à jour votre politique de con­fi­den­tia­lité. Cela vous permettra d’éviter les amendes et de rassurer vos visiteurs.

Alors que le rôle de la collecte des données sur les boutiques en ligne est fa­ci­le­ment com­pré­hen­sible et la nécessité de la dé­cla­ra­tion de pro­tec­tion des données évidente, la situation est com­plè­te­ment dif­fé­rente pour beaucoup d’autres sites Web. De nom­breuses données sont col­lec­tées et en­re­gis­trées au­to­ma­ti­que­ment et bien souvent, sans que l’uti­li­sa­teur en soit conscient : les serveurs Web con­sig­nent les adresses IP dans des fichiers log, les boutons intégrés des médias sociaux trans­met­tent les données per­son­nelles aux réseaux sociaux et les cookies sau­ve­gar­dent aussi des in­for­ma­tions sur les uti­li­sa­teurs et leur com­por­te­ment de na­vi­ga­tion. Un autre sujet encore plus brûlant concerne les outils d’analyse de site Web comme Google Analytics, qui en­re­gistre le trafic de données. L’outil Google pose par­ti­cu­liè­re­ment problème du point de vue de la loi sur la pro­tec­tion des données, car l’adresse IP des uti­li­sa­teurs est sau­ve­gar­dée sur un serveur aux États-Unis.

Afin d’atténuer du moins par­tiel­le­ment ce problème, les uti­li­sa­teurs de sites Web peuvent rac­cour­cir l’adresse IP de la dernière série de numéros, ce qui entraîne alors la perte de la donnée per­son­nelle.

Quiconque manipule les données per­son­nelles des Européens doit se plier au RGPD. Qu’il s’agisse d’une en­tre­prise, d’une as­so­cia­tion ou d’un sous-traitant établis sur le ter­ri­toire européen ou aux États-Unis, au Japon ou en Chine, tous doivent se conformer au règlement européen s’ils col­lec­tent et traitent des données per­son­nelles eu­ro­péennes.

Les géants du marché que re­pré­sen­tent Google, Facebook, ou encore Amazon doivent se conformer au règlement général sur la pro­tec­tion des données s’ils veulent continuer à fournir biens et services à leurs uti­li­sa­teurs européens.

Les CGU doivent être claires et soignées. Bien qu’elles soient propres à chacun, certains sujets doivent être traités, tels que :

• L’objet des CGU : quels sont leurs objectifs ?
• Les mentions légales : celles-ci sont obli­ga­toires et ont été abordées dans l’article du même nom
• L’accès au site : les modalités d’uti­li­sa­tion 
• Les règles relatives à la propriété in­tel­lec­tuelle : in­ter­dic­tion de copier le contenu du site sans citer la source 
• Les règles relatives aux données per­son­nelles : il s’agit ici de votre dé­cla­ra­tion à la CNIL qui a pour charge de protéger vos données 
• Res­pon­sa­bi­lité : cette partie détermine et délimite les res­pon­sa­bi­li­tés de chacune des parties

Pour vous donner une idée de con­di­tions générales, le site du créa­teurde la maison de mode Hermès fournit un texte complet dont une partie entière traitant de sa politique de con­fi­den­tia­lité et de sa pro­tec­tion des données per­son­nelles.

Comme nous l’avons dit pré­cé­dem­ment, les boutiques en ligne sont par­ti­cu­liè­re­ment visées par cette rè­gle­men­ta­tion. Elles sont incitées à rédiger des con­di­tions générales de vente afin de préciser la res­pon­sa­bi­lité de chacune des parties dans les tran­sac­tions. Par ailleurs, la loi Hamon du 14 mars 2014 relative à la con­som­ma­tion renforce les droits des con­som­ma­teurs, rendant les CGV encore plus in­dis­pen­sables.

Beaucoup de sites Internet proposent des modèles de CGV mais aussi des gé­né­ra­teurs. Ces sites vous per­met­tront de ne pas commettre d’impasse.

Voici une sélection de modèles gratuits :

• Le site de l’Express
• La CCI de Paris Ile-de France

Voici un gé­né­ra­teur de con­di­tions générales (payant) qui pourra vous aider : Creanico. L’offre inclut les CGU ainsi qu’un for­mu­laire de ré­trac­ta­tion, obli­ga­toire depuis la loi Hamon.

Les gé­né­ra­teurs et les modèles cons­ti­tuent un bon moyen de rédiger une dé­cla­ra­tion de pro­tec­tion des données pour son propre site Web. Cependant, vous ne devez pas non plus faire aveu­glé­ment confiance au résultat. Les modèles re­pré­sen­tent une base qui doit souvent être modifiée in­di­vi­duel­le­ment. Si cela vous paraît trop compliqué ou si vous n’êtes pas sûr que votre dé­cla­ra­tion de pro­tec­tion des données soit correcte et com­pré­hen­sible, nous vous re­com­man­dons de bé­né­fi­cier du conseil d’un expert.

Si ces obli­ga­tions de pro­tec­tion des données ne sont pas res­pec­tées, les peines sont variables, allant du simple aver­tis­se­ment à une con­dam­na­tion de cinq ans d’em­pri­son­ne­ment et de 300 000 euros d’amende en vertu de l’article 226-17 du Code pénal.

Pour illustrer ce propos, nous pourrions citer l’affaire du site en­tre­par­ti­cu­liers.com. Le site avait fait l’objet d’une plainte par un client dont les données avaient été di­vul­guées sans son accord. La CNIL a alors été saisie et a constaté que la page Web n’avait défini aucune politique de con­ser­va­tion de l’ensemble des données, laissant place à des dys­fonc­tion­ne­ments en ce qui concerne les in­for­ma­tions bancaires. Suite à cette plainte, la CNIL a prononcé un aver­tis­se­ment public et a exigé de l’en­tre­prise le respect de la loi in­for­ma­tique et libertés.

Le règlement général sur la pro­tec­tion des données (RGPD) est considéré depuis comme facteur de base dans les décisions ju­ri­diques futures. Le règlement restreint non seulement le champ d’ap­pli­ca­tion en termes d’obli­ga­tions de dé­cla­ra­tion de pro­tec­tion des données et de for­mu­la­tion, mais augmente également le champ d’ap­pli­ca­tion des amendes éven­tuelles jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel réalisé dans le monde entier (le montant le plus élevé étant retenu).

 En théorie, vous êtes tenus, en tant qu’opé­ra­teurs de site Web, d’informer vos uti­li­sa­teurs de la collecte et la pro­tec­tion de leurs données per­son­nelles dès le début du processus d’uti­li­sa­tion. En pratique, cela est souvent difficile avec un site Web, il suffit donc de présenter les in­for­ma­tions en même temps que la collecte. Tout comme les mentions légales, la dé­cla­ra­tion de pro­tec­tion des données doit être simple et ac­ces­sible depuis chaque page. Pour ce faire, il convient de créer une sous-page séparée pour la dé­cla­ra­tion de la pro­tec­tion des données, qui peut être consultée à tout moment par le biais d’un lien. En outre, il faut s’assurer que les liens établis à cet effet ne sont pas couverts pas d’autres éléments tels que les bannières et que la dé­cla­ra­tion de pro­tec­tion des données soit visible dans les dif­fé­rents na­vi­ga­teurs et sur tous les supports (PC, tablette, smart­phone etc.).

Un autre aspect important est que la dé­cla­ra­tion de pro­tec­tion des données doit être précise, trans­pa­rente et formulée de manière com­pré­hen­sible. Les termes ju­ri­diques et tech­niques devraient être évités dans la mesure du possible, ou faire l’objet d’une ex­pli­ca­tion le cas échéant. Selon le groupe de clients ou d’uti­li­sa­teurs, il vous faudra aussi rédiger la dé­cla­ra­tion de pro­tec­tion des données dans d’autres langues. Il faut par­ti­cu­liè­re­ment faire attention à l’exac­ti­tude et à l’ex­haus­ti­vité des in­for­ma­tions. Bien qu’il y ait eu des points de désaccord sur les in­for­ma­tions qui ne devraient pas manquer, l’article 13 du RGPD fournit un in­ven­taire général d’in­for­ma­tions obli­ga­toires et sup­plé­men­taires qui ne devraient pas manquer dans la politique de con­fi­den­tia­lité de votre site Web. L’ article 12 du RGPD est tout aussi dé­ter­mi­nant. Assurez-vous également que votre politique de con­fi­den­tia­lité est clai­re­ment struc­tu­rée et utilisez des éléments de con­cep­tion comme des listes ou des tableaux afin que les uti­li­sa­teurs puissent ra­pi­de­ment en saisir le contenu.

Il est né­ces­saire d’afficher les données de contact de l’en­tre­prise ou du res­pon­sable qui décide du trai­te­ment des données per­son­nelles. En plus du nom doivent ap­pa­raître une adresse postale et une adresse email valides, ainsi qu’un numéro de téléphone. Si le siège de l’en­tre­prise ou le sous-traitant se trouve hors de l’Union eu­ro­péenne, les données de contact du re­pré­sen­tant officiel doivent être indiquées. Le pa­ra­graphe cor­res­pon­dant dans votre dé­cla­ra­tion de pro­tec­tion de données peut se présenter ainsi :

Si plus de 20 employés tra­vail­lent ré­gu­liè­re­ment au trai­te­ment au­to­ma­tisé des données ou si l’activité prin­ci­pale de votre en­tre­prise est le transfert de données à caractère personnel, vous êtes tenu de désigner un res­pon­sable de la pro­tec­tion des données. Il en va de même si vous traitez des ca­té­go­ries spé­ci­fiques de données per­son­nelles, telles que les opinions po­li­tiques, les croyances re­li­gieuses ou l’origine ethnique. Dans ce cas, il est né­ces­saire d’inclure les coor­don­nées de cette personne (solution interne ou externe possible) dans la dé­cla­ra­tion de pro­tec­tion des données.

Il est de votre devoir d’informer les uti­li­sa­teurs de la base juridique de la collecte et du trai­te­ment des données per­son­nelles. Pour ce faire, au moins l’une des con­di­tions suivantes doit être remplie con­for­mé­ment à l’article 6 du RGPD :

• La personne concernée a donné son con­sen­te­ment
• Le trai­te­ment est né­ces­saire à l’exécution d’un contrat avec la personne concernée ou pour mener à bien des actions pré­con­trac­tuelles.
• Le res­pon­sable remplit une obli­ga­tion légale à laquelle il est soumis.
• Le trai­te­ment sert à protéger les intérêts vitaux de la personne concernée ou d’une autre personne.
• Le trai­te­ment est dans l’intérêt public.
• Le trai­te­ment est né­ces­saire pour sau­ve­gar­der les intérêts légitimes du res­pon­sable du trai­te­ment ou d’un tiers (sous la condition que les droits et libertés fon­da­men­tales de la personne concernée ne soient pas violés).

En plus de la base juridique, vous devez également énumérer dans votre dé­cla­ra­tion de con­fi­den­tia­lité les finalités du trai­te­ment des in­for­ma­tions per­ti­nentes relatives aux données. La trans­pa­rence est ici re­com­man­dée ainsi que les com­po­sants de votre projet Web qui col­lec­tent les données cor­res­pon­dantes, comme par exemple :

• For­mu­laire de contact
• Ins­crip­tion à la news­let­ter
• Champ de saisie (par exemple pour entrer des données bancaires dans le panier d’achat)
• Codes de suivie
• Plugins tiers (par exemple boutons sociaux)
• Contenu de tiers (par exemple vidéos YouTube)
• Loterie
• Cookies

Si l’article 6, pa­ra­graphe 1, alinéa 1f du RGPD est pertinent pour votre projet, vous devriez alors également trans­po­ser vos intérêts légitimes par écrit. Cependant, vous devez également toujours vérifier si vous protégez de la meilleure façon possible les intérêts et les droits des uti­li­sa­teurs. Les objectifs fréquents sont par exemple l’analyse du com­por­te­ment de na­vi­ga­tion des visiteurs à des fins marketing, afin d’optimiser le site Web, ou de fournir du contenu per­son­na­lisé.

Si vous trans­met­tez des données per­son­nelles à un tiers, vous devez également en informer vos uti­li­sa­teurs dans le cadre de la dé­cla­ra­tion de pro­tec­tion des données. Si vous gérez une boutique en ligne, cela concerne par exemple les autres services que vous êtes sus­cep­tibles d’inclure comme les services de paiement par exemple.

Cette division comprend également l’im­plé­men­ta­tion des cookies de tiers et d’ex­ten­sions dont l’uti­li­sa­tion est toujours liée à la di­vul­ga­tion d’in­for­ma­tions per­son­nelles. Les codes de suivi et les boutons de médias sociaux devraient être notamment men­tion­nés ici. Dans les deux cas, vous pouvez faire valoir un intérêt légitime pour justifier l’uti­li­sa­tion des données. Néanmoins, il est conseillé d’obtenir le con­sen­te­ment du visiteur pour les boutons des médias sociaux, ainsi que l’uti­li­sa­tion d’une procédure conforme à la pro­tec­tion des données comme la solution en double clic.

Les services pu­bli­ci­taires tels que Google AdSense ou AdWords devraient également être définis comme des­ti­na­taires si vous les utilisez pour financer votre projet Web.

Afin de traiter les données de la manière la plus juste et trans­pa­rente possible, vous devriez également indiquer la durée de con­ser­va­tion des données per­son­nelles. Si aucune valeur unique ne peut être formulée pour ce faire, vous pourriez néanmoins parler des critères qui in­fluen­cent la période de stockage des données. Ainsi, vous pouvez gé­né­ra­le­ment entrer des in­di­ca­tions concrètes pour la sau­ve­garde d’adresses IP (rendues anonymes) dans les fichiers Log, si vous y avez par exemple configuré une sup­pres­sion au­to­ma­tique après un temps précis. Si vous tra­vail­lez avec des cookies qui per­met­tent d’iden­ti­fier le visiteur pour la durée d’une session, la durée de la sau­ve­garde des données est liée (cas très in­di­vi­duels) à la durée de la session.

Tous les uti­li­sa­teurs auprès desquels vous collectez des données per­son­nelles disposent d’un certain nombre de droits, aussi désignés droits des personnes con­cer­nées. Ainsi, le droit d’accès de la personne concernée article 15 du RGPD accorde par exemple le droit d’obtenir des in­for­ma­tions dé­tail­lées sur les finalités du trai­te­ment, les des­ti­na­taires ou ca­té­go­ries de des­ti­na­taires, la durée de con­ser­va­tion des données et l’origine. Par ailleurs, les uti­li­sa­teurs disposent également du droit, entre autres, de faire rectifier article 16 du RGPD et, sous certaines con­di­tions, supprimer leurs données per­son­nelles article 17 du RGPD.

Si la mise à dis­po­si­tion des données per­son­nelles est exigée par la loi, le contrat ou bien est in­dis­pen­sable à la con­clu­sion d’un contrat, vous devez en informer vos uti­li­sa­teurs. Il est également né­ces­saire de préciser les con­sé­quences d’un manque de mise à dis­po­si­tion des données.

Si vous utilisez la prise de décision au­to­ma­ti­sée, y compris le profilage, vous êtes alors tenu de livrer des in­for­ma­tions sig­ni­fi­ca­tives sur la logique sous-jacente. Le plus important est d’iden­ti­fier les effets souhaités et la portée de ces processus de trai­te­ment des données sur la personne concernée. L’arrière-plan est que vos uti­li­sa­teurs ont fon­da­men­ta­le­ment le droit de ne pas être soumis à une décision fondée ex­clu­si­ve­ment sur le trai­te­ment au­to­ma­tisé, y compris le profilage article 22 du RGPD. Cependant, ce droit ne s’applique pas si la procédure au­to­ma­ti­sée est né­ces­saire à la con­clu­sion ou à l’exécution du contrat, si elle est autorisée par le droit de l’UE et de ses états membres ou si elle est effectuée avec le con­sen­te­ment express de la personne concernée.

Le règlement de base sur la pro­tec­tion des données rend la pro­tec­tion des données dans l’UE plus trans­pa­rente, plus com­pré­hen­sible et plus sûre. La nécessité d’une politique de pro­tec­tion de la vie privée complète et cor­rec­te­ment exécutée en est au cœur, en par­ti­cu­lier pour les ex­ploi­tants de sites Web qui doivent souvent traiter une énorme quantité de données per­son­nelles dif­fé­rentes. Si vous avez encore rédigé une dé­cla­ra­tion de pro­tec­tion de données à l’aide de l’ancien modèle, vous en recevrez une copie sur les points men­tion­nés ci-dessus, notamment la di­vul­ga­tion de la base juridique et les ré­fé­rences aux droits des uti­li­sa­teurs con­si­dé­rées comme des in­no­va­tions majeures.

Na­tu­rel­le­ment, ces deux aspects ne sont pas les seuls en ce qui concerne le trai­te­ment et la nouvelle dé­cla­ra­tion de pro­tec­tion des données selon le RGPD : en tant que res­pon­sable, vous avez le devoir d’expliquer le sens et la finalité du trai­te­ment des données sous une forme détaillée et fa­ci­le­ment com­pré­hen­sible qui ne laisse aucune question ouverte à votre cercle d’uti­li­sa­teurs. Si cela se produit, vous ou votre res­pon­sable de la pro­tec­tion des données devez être en mesure de répondre aux questions. Le RGPD souligne une fois de plus que l’in­for­ma­tion des uti­li­sa­teurs doit être fournie le plus tôt possible, toujours à pro­pre­ment parler, avant la collecte des données. Les efforts de la CNIL en relation avec la nouvelle rè­gle­men­ta­tion eu­ro­péenne sont voués à offrir une image toujours plus trans­pa­rente de leurs obli­ga­tions en matière de pro­tec­tion des données aux ex­ploi­tants de sites Web.

Le règlement uniforme permet également aux tribunaux de sanc­tion­ner plus fa­ci­le­ment les in­frac­tions à venir. Par con­sé­quent, compte tenu du re­lè­ve­ment de l’amende à hauteur de 20 millions d’euros, vous devez être très prudent lors de l’éla­bo­ra­tion de la dé­cla­ra­tion de pro­tec­tion des données.

Sur Internet, vous trouvez de nom­breuses offres gratuites qui vous aident à créer la dé­cla­ra­tion de pro­tec­tion des données pour votre site Web. Cherchez parmi les modèles existants ceux qui sont per­ti­nents pour votre site. Il existe aussi bien des modèles prêts à l’emploi pour la dé­cla­ra­tion générale con­cer­nant la collecte et la pro­tec­tion des données des uti­li­sa­teurs que des ca­té­go­ries spéciales comme par exemple les réseaux sociaux (Facebook, Twitter, etc.), les cookies, les for­mu­laires de contact ou l’envoi de news­let­ters. De cette manière, vous recevez également la dé­cla­ra­tion de pro­tec­tion des données pour Google Analytics ou d’autres outils d’analyse sous forme de for­mu­laire, y compris un lien pour tous les uti­li­sa­teurs qui ne sont pas d’accord avec la collecte et la trans­mis­sion de leurs données.

En plus de divers exemples, quelques sites Web proposent également des gé­né­ra­teurs gratuits de dé­cla­ra­tion de pro­tec­tion de données, des exemples de textes requis et leur mise en forme. Le résultat est souvent dis­po­nible sous forme de texte et de code HTML.

Les modèles et les gé­né­ra­teurs sont une bonne façon de rédiger la politique de con­fi­den­tia­lité de votre propre site Web. Toutefois, il ne faut pas se fier aveu­glé­ment au résultat. Bien que les modèles cons­ti­tuent la base, ils doivent souvent être modifiés et complétés in­di­vi­duel­le­ment. Si vous n’êtes pas sûr que votre dé­cla­ra­tion de pro­tec­tion des données est complète et correcte, nous vous re­com­man­dons également de demander l’avis d’un expert juridique.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.