Uber a récemment été condamné à une amende de 10 millions d'euros par l'Autorité néerlandaise de protection des données (AP) pour ne pas avoir divulgué la durée de conservation des données personnelles de ses conducteurs ou les mesures de sécurité spécifiques qu'elle prend lorsqu'elle envoie ces informations à des entités dans des pays en dehors de l'EEE dans ses conditions de confidentialité, entre autres violations du RGPD.

Le Règlement général sur la protection des données (RGPD) de l'Union européenne repose sur la transparence — s'assurer que les citoyens de l'UE sachent qui collecte leurs données personnelles et pourquoi. C'est pourquoi une politique de confidentialité et un avis de confidentialité sont des étapes clés pour devenir conforme au RGPD.

Dans cet article, nous expliquons comment rédiger une politique de confidentialité efficace qui aide votre équipe à rester conforme et un avis de confidentialité qui répond aux exigences du RGPD — de plus, nous expliquerons la différence entre ces deux termes. Nous partageons également des exemples de politiques de confidentialité pour vous aider à rédiger la vôtre.

Qu'est-ce qu'une politique de confidentialité RGPD ?

Une politique de confidentialité est un document interne, décrivant comment les données personnelles sont traitées et protégées pour être conformes aux lois applicables. Elle aide les employés à comprendre quels sont leurs rôles et responsabilités en matière de traitement des données personnelles.

Ai-je besoin d'une politique de confidentialité RGPD ?

Le RGPD n'exige pas de politique de confidentialité interne formelle qui dicte comment votre équipe traite les données personnelles. Cependant, la loi sur la protection des données exige que les organisations mettent en place des mesures de protection des données personnelles.

Pour cette raison, il est judicieux de mettre en place une politique de confidentialité afin de clarifier à vos employés exactement quels sont leurs rôles et responsabilités en matière de données personnelles et de confidentialité des données. Une politique de confidentialité interne au RGPD établit un enregistrement écrit pour des éléments tels que la base légale du traitement, qui est votre délégué à la protection des données (DPO) et quelles sont ses responsabilités, vos activités de traitement des données, les processus de rétention des données et les transferts de données personnelles, et plus encore.

Une politique de confidentialité peut également être appelée « avis de confidentialité ». Étant donné qu'aucun des deux termes n'apparaît réellement dans le texte du RGPD, ils sont souvent utilisés de manière interchangeable par les entreprises. Cependant, techniquement, une politique de confidentialité RGPD se réfère à un document interne et un avis de confidentialité se réfère à un document public dans lequel une organisation décrit ses activités de traitement des données. Examinons plus en détail la définition d'un avis de confidentialité ci-dessous.

Qu'est-ce qu'un avis de confidentialité dans le RGPD ?

Alors qu'une politique de confidentialité est un document interne créé pour le bénéfice de vos employés et de votre organisation dans son ensemble, un avis de confidentialité est un document externe qui explique aux utilisateurs et aux clients comment votre entreprise collecte leurs données personnelles privées, comment vous les traitez, avec qui vous les partagez et à quelles fins. Il aide vos clients à prendre des décisions éclairées quant à savoir s'ils consentent à la collecte de données.

Le RGPD, comme la CCPA, exige un avis de confidentialité qui explique les pratiques de confidentialité d'une organisation en des termes simples. Une pratique courante consiste à rendre cette déclaration de confidentialité accessible au public sur votre site Web. Il doit également offrir aux utilisateurs la possibilité de refuser le traitement des données personnelles.

Le tableau ci-dessous explique la principale différence entre une politique de confidentialité RGPD et un avis de confidentialité RGPD.

Que doit-on inclure dans une politique de confidentialité RGPD

Également appelée politique de protection des données, une politique de confidentialité interne explique comment l'organisation traite et protège les données personnelles de manière à respecter les exigences du RGPD. Elle explique également la raison spécifique pour laquelle ces informations sont collectées, par exemple, pour traiter les commandes des clients, créer des comptes ou des profils d'utilisateurs, envoyer des campagnes de marketing ou réaliser des enquêtes.

Il n'y a pas d'exigences légales quant à la structure de votre politique de confidentialité interne ou à son contenu. Cependant, une politique de confidentialité efficace inclut généralement les informations suivantes :

• Quel type de données vous collectez auprès des utilisateurs, qu'il s'agisse d'informations de contact, d'informations de paiement, de données démographiques, etc.
• Pourquoi vous collectez des données personnelles
• Où vous stockez les données personnelles, pendant combien de temps et comment vous les éliminez
• Si vous partagez des données personnelles avec des tiers, tels que des prestataires de services, des partenaires publicitaires ou des affiliés commerciaux
• Comment vous vous assurez que les données que vous collectez sont exactes et suffisamment protégées
• Comment votre équipe doit réagir en cas de violation des données
• Quels types de droits les personnes concernées ont sur leurs données personnelles et comment votre équipe est censée répondre aux demandes des consommateurs
• À quelle fréquence la politique de confidentialité doit être revue et mise à jour, et par qui
• Qui, au sein de l'organisation, est responsable de la supervision de la protection des données

Il est recommandé de revoir votre politique de confidentialité au moins une fois par an et de s'assurer qu'elle est facilement accessible aux employés. Envisagez de l'inclure dans votre base de connaissances interne et de notifier les employés chaque fois que des modifications sont apportées.

Quelles informations sont incluses dans une notice de confidentialité RGPD ?

Une notice de confidentialité typique comprend quelques éléments communs. Elle couvre généralement :

• Quelles catégories de données personnelles vous collectez 
• Pourquoi vous collectez des données personnelles des utilisateurs (votre base légale ou base légale en vertu du RGPD)
• Comment vous collectez les données personnelles, y compris si vous êtes le responsable du traitement ou le sous-traitant (ou les deux)
• Comment vous utiliserez les données personnelles que vous collectez (c’est-à-dire à des fins de marketing), combien de temps elles seront conservées et comment vous les éliminerez
• Comment les utilisateurs peuvent se désinscrire et/ou demander l'effacement de leurs données personnelles, y compris un numéro de téléphone ou une adresse qu'ils peuvent utiliser pour vous contacter
• Quels droits les personnes concernées ont, y compris le droit de déposer une plainte auprès d'une autorité de contrôle
• Si les données personnelles sont transférées vers un pays tiers et quelles mesures de protection sont prises
• Si un système de prise de décision automatisée existe et des informations sur la façon dont il a été mis en place et quelle est son importance

Maintenant que vous comprenez quelles informations doivent être incluses dans une notice de confidentialité, discutons de la manière de présenter ces informations.

Comment respecter les exigences de transparence du RGPD

L’article 12 du RGPD stipule que les responsables du traitement doivent fournir des informations relatives au traitement des données « de manière concise, transparente, compréhensible et facilement accessible, en utilisant un langage clair et simple. »

Pour vous aider à rédiger une notice de confidentialité conforme au RGPD, nous décomposerons chacun de ces termes ci-dessous en utilisant les directives de la Commission européenne sur le respect des obligations de transparence en vertu du RGPD.

« Concis et transparent »

Cette exigence signifie que les informations doivent être :

• Présentées avec précision et de manière facilement compréhensible afin d'éviter la fatigue informationnelle
• Clairment distinguées des autres informations non liées à la confidentialité telles que les conditions générales d'utilisation
• Faciles à naviguer dans un contexte en ligne

Par exemple, les entreprises fournissent souvent une déclaration de confidentialité en plusieurs couches en ligne qui permet aux personnes concernées de passer à une section particulière. De cette façon, ils obtiennent un accès immédiat aux informations qui les intéressent au lieu de devoir faire défiler de grandes quantités de texte.

« Compréhensible »

Cette exigence signifie que les informations doivent être comprises par les membres du public cible. Cela variera selon le public. Les organisations doivent utiliser ce qu'elles savent de leur public unique pour déterminer ce qu'il comprendrait probablement.

Par exemple, si le public cible d'une organisation est constitué de professionnels, l'organisation peut suppose qu'ils ont un niveau de compréhension plus élevé qu'une organisation dont le public cible est des enfants et présenter les informations en conséquence.

Si une organisation n'est pas sûre du niveau de compréhension de son public cible et si ses informations sont présentées de manière efficace, elle peut utiliser des panneaux d'utilisateurs, des tests de lisibilité ou avoir des discussions avec des groupes de l'industrie, des groupes de défense des consommateurs et des organismes de réglementation pour le découvrir.

« Facilement Accessible »

Cette exigence signifie que les personnes concernées ne doivent pas avoir à rechercher activement les informations. Au lieu de cela, il doit être immédiatement clair pour elles où et comment ces informations peuvent être consultées.

Une manière courante de mettre en œuvre cette exigence est de rendre une notice de confidentialité publiquement disponible sur votre site Web. Vous pouvez lier votre notice de confidentialité dans un endroit très visible, comme le pied de page de votre site Web, ainsi que partout où vous collectez des informations personnelles telles que des noms et des informations de contact. Autres façons de le mettre en œuvre comprennent :

• FAQs
• Pop-ups contextuels qui s'activent lorsqu'une personne concernée remplit un formulaire en ligne
• Interfaces numériques interactives comme les chatbots

« Langage clair et simple »

Étroitement lié à l'exigence de compréhensibilité, l'exigence de langage clair et simple signifie que les informations doivent être fournies de manière aussi simple que possible, en utilisant un langage concret et définitif. Les organisations doivent éviter :

• Les phrases et structures linguistiques complexes
• Les termes abstraits ou ambivalents qui laissent place à l'interprétation
• Des modificateurs tels que « peut », « pourrait », « certains », « souvent » et « possible »
• La forme passive
• Un langage ou une terminologie trop juridiques, techniques ou spécialisés

Modèle d'Avis de Confidentialité RGPD

Utilisez ce modèle d'avis de confidentialité personnalisable pour expliquer comment votre organisation traite et protège les données personnelles. Vous pouvez le publier en externe sur votre site web. Vous pouvez également le partager en interne avec les employés comme politique de confidentialité, en fonction de la façon dont vous le personnalisez.

Exemples d'Avis de Confidentialité RGPD

Lorsque vous créez de la documentation pour votre entreprise, il peut être particulièrement utile de voir des exemples de la manière dont d'autres organisations l'ont fait. Ci-dessous, nous partageons quelques exemples d'avis de confidentialité que vous pouvez utiliser comme source d'inspiration pour rédiger le vôtre.

Veuillez noter que certaines des entreprises ci-dessous les désignent comme politiques de confidentialité. Cependant, ce sont tous des documents publics qui décrivent les activités de traitement des données de l'organisation et s'alignent donc sur l'objectif et les éléments typiques trouvés dans un avis de confidentialité.

1. Moss Adams

Moss Adams fournit un avis de confidentialité clair et complet que d'autres organisations peuvent utiliser comme source d'inspiration lorsqu'elles débutent.

Il explique clairement comment le cabinet collecte, utilise et divulgue des informations personnelles et quels droits les utilisateurs ont à l'égard de leurs informations personnelles. Il répond à d'autres exigences du RGPD, y compris les exigences en matière de consentement aux cookies en détaillant leur base légale pour le traitement des données, comment ils utilisent les cookies et quand ils peuvent divulguer ou transférer des données, et en fournissant une adresse e-mail aux utilisateurs pour les contacter concernant leurs pratiques de confidentialité.

Ces informations sont ventilées en sections et sous-sections qui utilisent des titres et des listes à puces pour les rendre plus faciles à lire.

2. Amazon.com

Amazon.com structure son avis de confidentialité comme une page de FAQ, fournissant des réponses aux questions fréquemment posées telles que “À quelles fins Amazon utilise-t-il vos informations personnelles ?” et

“Qu'en est-il des cookies et autres identifiants ?” Chaque question listée en haut des avis est liée de sorte que les utilisateurs peuvent sauter à une section spécifique, ou défiler depuis le haut.

Depuis que le RGPD, comme le CCPA, a été conçu pour fournir aux consommateurs une plus grande visibilité et un meilleur contrôle sur la manière dont les entreprises collectent et utilisent leurs informations personnelles, Amazon consacre une section de son avis de confidentialité à tous les choix que les consommateurs ont par rapport à leurs informations. Ils peuvent ajuster leurs préférences de communication clientèle, ajuster leurs préférences publicitaires, éditer leur historique de navigation, et plus encore.

3. The Walt Disney Company

La Walt Disney Company est célèbre pour son niveau de personnalisation — que vous consultiez l'un de ses sites web, parcouriez sa plateforme de streaming ou visitiez ses parcs à thème. La capacité de Disney à créer des expériences utilisateur aussi détaillées repose en grande partie sur leur capacité à collecter des données pertinentes et à personnaliser votre expérience en fonction de vos préférences et de vos comportements passés.

Tout cela est expliqué en termes simples dans l'avis de confidentialité complet de Disney, qui contient des sections sur les types de données personnelles qu'ils collectent et avec qui ils les partagent. L'avis de confidentialité inclut également une section spécifique expliquant les protections de la vie privée pour les enfants et les droits des parents.

Disney fait également un effort supplémentaire pour rendre son avis de confidentialité accessible à un public général en liant des termes juridiques comme "responsable du traitement des données" et "informations personnelles" et en fournissant une définition simple.

4. Google

Que vous utilisiez simplement la recherche Google de temps en temps ou que vous disposiez d'une suite complète d'applications et de dispositifs Google chez vous, l'avis de confidentialité de Google est conçu pour aider tous les niveaux d'utilisateurs à comprendre comment leurs données personnelles sont collectées et traitées.

Les politiques de confidentialité peuvent être intimidantes pour les lecteurs non initiés, et il est clair que Google a réfléchi attentivement à la façon d'aider les utilisateurs à naviguer et comprendre son avis de confidentialité. Il comprend une table des matières permettant aux lecteurs de passer facilement d'une section à l'autre, ainsi que des liens vers d'autres politiques clés, y compris les conditions d'utilisation de Google.

Google inclut également des extraits vidéo utiles tout au long de son avis de confidentialité qui expliquent rapidement des concepts clés comme ce qu'est l'avis de confidentialité, pourquoi Google collecte des données utilisateur et quels droits les utilisateurs ont sur leurs données personnelles.

5. Meta

L'avis de confidentialité de Meta est similaire à celui de Google, avec une table des matières pour une navigation facile et des vidéos explicatives tout au long de la page. Comme Disney, il inclut également des liens contextuels qui répondent à des questions clés et expliquent les concepts de confidentialité des données en termes simples.

Cette mise en page facilite la compréhension de l'approche globale de Meta en matière de confidentialité des données et permet de trouver rapidement des réponses à des questions spécifiques, tandis que les liens "En savoir plus" permettent aux lecteurs intéressés d'approfondir les pratiques de confidentialité de Meta.

Une chose que Meta fait particulièrement bien est d'inclure des encadrés "Prenez le contrôle" spécifiques qui facilitent l'exercice des droits des utilisateurs en matière de confidentialité des données.

Obtenez de l'aide pour vérifier et maintenir la conformité RGPD

Savoir que vos politiques et procédures sont conformes aux exigences du RGPD peut être délicat, surtout si vous essayez de les construire à partir de zéro.

Avec Secureframe, vous aurez accès à une bibliothèque de modèles de politiques qui ont été examinés par d'anciens auditeurs et experts en conformité. Vous bénéficierez d'une formation RGPD pour les employés, gagnerez du temps grâce à la collecte automatique de preuves et resterez à jour avec les dernières exigences du RGPD. Notre équipe d'experts vous informera également de tout changement de réglementation afin que vous puissiez rester en conformité.

Pour en savoir plus, planifiez une démo de notre plateforme d'automatisation de la sécurité et de la conformité.