Le Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne est conçu pour aider les résidents de l'UE à prendre des décisions éclairées sur la manière dont leurs données personnelles sont collectées et utilisées.

C'est pourquoi une notice de confidentialité est un moyen important d'informer les clients sur la manière dont votre organisation collecte et utilise leurs données, et constitue une étape clé pour devenir conforme au RGPD.

Qu'est-ce qu'une notice de confidentialité RGPD ?

Votre notice de confidentialité est un document externe qui explique aux utilisateurs et aux clients comment votre entreprise collecte leurs données personnelles privées, comment vous les traitez, avec qui vous les partagez et à quelles fins.

Une notice de confidentialité ou une déclaration qui explique de manière claire les pratiques de confidentialité d'une organisation est requise par le RGPD. Cette notice doit également donner aux utilisateurs la possibilité de refuser le traitement de leurs données personnelles.

Étant donné que le RGPD concerne principalement la sensibilisation et le contrôle des consommateurs sur qui collecte leurs données et pourquoi, cette notice doit être « facilement accessible ». De nombreuses organisations la placent sur leur site web pour se conformer à cette exigence.

Il est important de noter qu'une notice de confidentialité est différente d'une politique de confidentialité, bien que ces termes soient souvent utilisés de manière interchangeable.

Le RGPD n'exige pas de politique de confidentialité interne formelle dictant comment votre équipe doit gérer les données personnelles. Cependant, il est conseillé de créer ce type de politique et de la partager avec les employés pour définir comment les données personnelles doivent être gérées et protégées pour être conformes au RGPD.

Exigences relatives à la notice de confidentialité RGPD

Selon les exigences du RGPD, une notice de confidentialité doit être concise, transparente, intelligible, facilement accessible et rédigée dans un langage clair et simple.

Une pratique courante consiste à lier votre notice de confidentialité à un endroit bien visible sur votre site web, comme le pied de page — ainsi qu'à tous les endroits où vous recueillez des informations personnelles telles que les noms et les coordonnées.

Le RGPD inclut également des exigences concernant les informations qui doivent être incluses dans une notice de confidentialité. Bien que celles-ci varient légèrement selon que l'organisation recueille ses données directement auprès d'un individu ou les reçoit en tant que tiers, une notice de confidentialité couvre généralement :

  • Les catégories exactes de données personnelles que vous collectez
  • Pourquoi vous collectez les données personnelles des utilisateurs (votre base légale ou fondement juridique selon le RGPD)
  • Comment vous collectez les données personnelles, y compris si vous êtes le responsable du traitement des données ou le sous-traitant (ou les deux)
  • Comment vous utiliserez les données personnelles que vous collectez (par exemple, à des fins de marketing), combien de temps elles seront conservées et comment vous les détruirez
  • Comment les utilisateurs peuvent se désinscrire et/ou demander l'effacement de leurs données personnelles, y compris un numéro de téléphone ou une adresse qu'ils peuvent utiliser pour vous contacter

Lignes directrices pour la notice de confidentialité RGPD

La Commission européenne (CE) a publié des lignes directrices pour aider les organisations à rédiger des avis de confidentialité conformes au RGPD. Voici quelques-unes de ces astuces :

  • Évitez d'utiliser des qualificatifs tels que « peut », « pourrait », « certains » et « souvent »
  • Utilisez le temps actif
  • Utilisez des puces pour mettre en évidence le contenu important
  • Évitez les structures de phrases complexes
  • Évitez le jargon juridique et technique

La CE a inclus quelques exemples de langage clair à utiliser dans un avis de confidentialité, ainsi que des exemples de langage flou à éviter.

  • Clair : « Nous conserverons votre historique d'achats et utiliserons les détails des produits que vous avez achetés précédemment pour vous suggérer d'autres produits qui, selon nous, pourraient également vous intéresser. »
  • Flou : « Nous pouvons utiliser vos données personnelles pour développer de nouveaux services »

Voyons maintenant quelques avis de confidentialité actuels que l'on peut trouver sur les sites Web aujourd'hui.

Exemples d'avis de confidentialité RGPD

Lorsque vous créez une nouvelle politique pour votre entreprise, il peut être particulièrement utile de voir des exemples de la manière dont d'autres organisations l'ont fait. Ci-dessous, nous partageons quelques exemples d'avis de confidentialité que vous pouvez utiliser comme source d'inspiration pour rédiger le vôtre.

La société Walt Disney

La société Walt Disney est célèbre pour son niveau de personnalisation - que vous consultiez l'un de ses sites Web, naviguiez sur sa plateforme de streaming ou visitiez ses parcs à thème. La capacité de Disney à créer des expériences utilisateur aussi détaillées repose en grande partie sur sa capacité à collecter des données pertinentes et à adapter votre expérience en fonction de vos préférences et comportements passés.

Tout cela est expliqué en termes simples dans l'avis de confidentialité complet de Disney, qui comprend des sections sur les types de données personnelles qu'ils collectent et avec qui ils les partagent. L'avis de confidentialité comprend également une section spécifique expliquant les protections de la vie privée pour les enfants et les droits des parents.

Disney va également plus loin pour rendre son avis de confidentialité accessible à un public général en reliant des termes juridiques comme « responsable du traitement » et « informations personnelles » et en fournissant une définition simple.

Google

Que vous utilisiez simplement la recherche Google de temps en temps ou que vous ayez toute une suite d'applications et d'appareils Google chez vous, l'avis de confidentialité de Google est conçu pour aider tous les niveaux d'utilisateurs à comprendre comment leurs données personnelles sont collectées et traitées.

Les politiques de confidentialité peuvent être intimidantes pour les lecteurs non initiés, et il est clair que Google a réfléchi soigneusement à aider les utilisateurs à naviguer et comprendre son avis de confidentialité. Il comprend une table des matières afin que les lecteurs puissent facilement naviguer entre les sections et des liens vers d'autres politiques clés, y compris les conditions d'utilisation de Google.

Google inclut également des extraits vidéo utiles tout au long de son avis de confidentialité qui expliquent rapidement des concepts clés tels que ce qu'est l'avis de confidentialité, pourquoi Google collecte des données utilisateur et quels droits les utilisateurs ont sur leurs données personnelles.

Meta

Le centre de confidentialité de Meta est similaire à celui de Google, avec une table des matières pour une navigation facile et des vidéos explicatives disséminées tout au long de la page. Comme Disney, il inclut également des liens contextuels qui répondent aux questions clés et expliquent les concepts de confidentialité des données en termes simples.

Cette mise en page permet aux utilisateurs de mieux comprendre l'approche globale de Meta en matière de confidentialité des données et de trouver rapidement des réponses à des questions spécifiques, tandis que les liens « En savoir plus » permettent aux lecteurs intéressés d'approfondir les spécificités des pratiques de confidentialité de Meta.

Une chose que Meta fait particulièrement bien est qu'elle inclut des appels à l'action spécifiques « Prenez le contrôle » qui facilitent l'exercice des droits de confidentialité des données par les utilisateurs.

FAQ

Quand devez-vous fournir la notice de confidentialité?

Si votre organisation relève du RGPD, vous devez fournir une notice de confidentialité, ou une sorte de déclaration qui explique les pratiques de confidentialité de votre organisation en termes simples et offre aux utilisateurs la possibilité de refuser le traitement des données personnelles. Ces informations doivent être fournies par écrit ou par d'autres moyens, y compris par voie électronique ou oralement si la personne concernée en fait la demande.

Qui doit recevoir une notice de confidentialité?

Selon le RGPD, une notice de confidentialité doit être "facilement accessible" à toute personne concernée. Pour se conformer, de nombreuses organisations la publient sur leur site web.

Que révèle une notice de confidentialité?

Une notice de confidentialité révèle comment votre entreprise collecte des données personnelles privées, comment vous les traitez, avec qui vous les partagez et à quelles fins. Plus précisément, si une organisation collecte des informations directement auprès des individus, sa notice doit divulguer :

  • L'identité et les coordonnées de l'organisation et, le cas échéant, de son représentant et du Délégué à la Protection des Données
  • La base légale et les finalités prévues du traitement des données
  • Les intérêts légitimes de l'organisation (ou d'un tiers, le cas échéant)
  • Tout destinataire ou catégories de destinataires des données d'une personne
  • Les détails concernant tout transfert de données personnelles vers un pays tiers ou une organisation internationale
  • La durée de conservation des données, si possible
  • L'existence des droits des personnes concernées
  • Le droit de retirer son consentement à tout moment (le cas échéant)
  • Le droit de déposer une plainte auprès d'une autorité de contrôle
  • Si la fourniture de données personnelles fait partie d'une exigence ou obligation légale ou contractuelle et les éventuelles conséquences de ne pas fournir les données personnelles le cas échéant
  • L'existence d'un système de décision automatisée

Si une organisation obtient des données personnelles indirectement, sa notice de confidentialité doit divulguer tout les mêmes informations, sauf si la fourniture de données personnelles fait partie d'une exigence ou obligation légale ou contractuelle. Et à la place, elle doit ajouter les catégories de données personnelles obtenues.