Politique de confidentialité conforme au RGPD

Ce document est garanti à jour

Accompagnement juridique

Format Word
modifiable

Politique de confidentialité conforme au RGPD
Télécharger ce modèle
L'équipe juridique Legimedia

Rédigé et mis à jour par :

L'équipe juridique Legimedia

Prévisualisation du document

Accédez gratuitement à la prévisualisation de nos modèles de documents juridiques. Téléchargez des fichiers Word ou PDF, prêts à imprimer, pour simplifier vos démarches administratives et juridiques.

Cette prévisualisation est à titre informative et ne prend pas en compte la mise en page de notre document. Seule la version téléchargeable de notre document est à jour et complète.

Politique de confidentialitéconforme au RGPD

Préambule

La Société (nom de la société), au capital de (montant du capital) euros dont le siège social est à (Ville), immatriculée au Registre du commerce et des sociétés de (Ville), sous le numéro (préciser le numéro). Le représentant légal est (Monsieur ou Madame X)), né(e) le (date) à (lieu de naissance), demeurant au (indiquer l'adresse), de nationalité (à préciser)

OU

(Madame ou Monsieur X), né(e) le (date) à (lieu de naissance), demeurant au (indiquer l'adresse), de nationalité (à préciser) ayant pour activité (à préciser).

La Société, en tant que responsable de traitement, accorde une importance majeure au respect de la vie privée et à la protection des données personnelles communiquées par le biais de (à préciser : site internet, formulaire...). La Société s’engage à en assurer la préservation de la sécurité des données.

La présente politique de confidentialité est conforme au regard des dispositions comprises au sein du Règlement général sur la protection des données n°2016/679 du 27 avril 2016 mais aussi toutes les dispositions françaises en vigueur telles que la loi Informatique et Libertés du 6 janvier 1978 à titre d’exemple. Elle a pour objectif de vous informer sur les données personnelles que nous pourrions récolter, utiliser ou conserver sur vous mais également quelles personnes seront susceptibles de consulter ces données ainsi que la durée de conservation et enfin, les droits sur vos données personnelles.

Article 1 – Objet

La présente politique concerne les données collectées directement ou indirectement par la Société (dénomination sociale) sur toutes les informations traitées au sujet de (à préciser).

Cette politique permettra à tout utilisateur et cocontractant de connaître de manière claire et précise les modalités de traitement des données qu’elles soient personnelles ou automatiquement collectées.

Article 2 – Définitions

Pour l’application de la présente politique, les termes précisés ci-dessous devront être compris comme tels :

« Société » : désigne la société indiquée au préambule de la présente politique.

« Utilisateur » : signifie toute personne qui utilise et accède aux services proposés par la Société, et ce par l’intermédiaire d’un site web.

« Cocontractants » : signifie toute personne liée par un contrat avec la Société.

« Politique » : désigne le présent document prévoyant toutes les modalités du traitement des données personnelles.

« Données » : désigne les données qui sont transmises par les utilisateurs ou les cocontractants telles que leurs noms, prénoms, entreprises, e-mails, etc. Cela pourra désigner également les données collectées automatiquement par la société, par exemple celles collectées lors d’une navigation sur le site internet.

Article 3 – Nature des données collectées

Les données qui sont susceptibles d’être collectées par la Société sont les suivantes (à modifier ou à compléter) :

Données du compte client : correspondent aux informations renseignées lors de la création du compte client dès le formulaire d’inscription ;

Données de navigation : correspondent aux données collectées dans le cadre de la navigation sur le site telles que la date, l’heure de connexion ou de navigation, le type de navigateur (ordinateur, smartphone), la langue du navigateur et l’adresse IP.

Données de transactions : correspondent aux données transmises lors de l’achat sur le site (préciser le nom) dont notamment relatives aux moyens de paiement.

Données de l’historique client : correspondent aux données relatives aux préférences d’achat des utilisateurs, des commandes passées, retournées et difficultés rencontrées.

Données collectées lors de la connexion par le biais d’un réseau social tierce (Facebook, Instagram, Gmail...) : correspondent aux données collectées, lors de la connexion aux services du site (nom du site) par le biais des réseaux sociaux mis à disposition, dont notamment le prénom, le nom, la photographie s’il y en a une, l’adresse e-mail, le nombre d’amis ou de followers dudit réseau social.

(...)

Commentaire : Il faudra ici faire attention à la nature des données traitées, car ici, il est interdit conformément à la loi et au règlement européen de traiter des données à caractère personnel relevant de l’origine, l’appartenance religieuse, syndicale ou politique, toute donnée de santé ou concernant la vie ou l’orientation sexuelle.Les données identifiées par un astérisque (*) sont considérées comme essentielles à la collecte et sont donc par essence obligatoires. À défaut, la demande de l’utilisateur pourra être limitée.

Article 4 – Finalités du traitement des données

Commentaire : Par exemple : ont pour finalité : La gestion des relations avec les Utilisateurs et pour résoudre les litigesLa création d’un compte en ligne ;La gestion de la relation commerciale ; La vérification et l’identification des Utilisateurs Le traitement des données afin de réaliser des statistiques et des études permettant la connaissance des besoins des Utilisateurs L’envoi des offres commerciales personnalisées ou autres services proposés par la Société Le RGPD prévoit 6 bases légales telles que : L’exécution du contrat ;Le consentement ; Le respect d’une obligation légale du responsable de traitement ;La sauvegarde des intérêts vitaux ; L’intérêt public ; Les intérêts légitimes.Les traitements des données de la Société ont pour finalité ainsi que pour base légale : (préciser les finalités et les bases légales)

Article 5 – Destinataires des données

Les informations transmises directement à la Société

(Préciser pour chaque finalité quel est le service interne chargé de traiter les données collectées)

Les informations transmises aux autorités et/ou organismes publics

Conformément au Règlement général sur la protection des données, les données personnelles peuvent être transmises sur requête aux autorités et/ou aux organismes publics tels que les auxiliaires de justice, les officiers ministériels pour se conformer aux obligations légales ou dans le cadre de la recherche des auteurs d’infractions commises sur Internet.

Toute transmission de données aux autorités et/ou organismes publics doit être effectuée avec diligence et en accord avec les dispositions légales en matière de protection des données personnelles.

Les informations transmises à des tiers

(Préciser quelles sont les données pouvant être collectées par des tiers notamment les sous-traitants et prestataires de services, partenaires commerciaux ainsi que leurs finalités)

La Société s’engage à ce que les données collectées et pouvant être transmises à des partenaires ou à des sous-traitants restent confidentielles. Elle déclare également que ces derniers sont tenus d’assurer un niveau de sécurité et de confidentialité suffisant pour protéger les données des utilisateurs. Le cas échéant, tout tiers sera dans l’obligation de fournir à la Société une attestation de conformité RGPD visant à détailler leur mode de protection.

Seules les données consenties par l’utilisateur seront transférées aux tiers.

Les partenaires de la Société sont les suivants : (préciser les partenaires ou fournisseurs qui auront accès aux données personnelles).

Les sous-traitants sont les suivants : (préciser lesquels)

Article 6 – Cookies

Les Cookies permettent de recueillir automatiquement des informations au sujet des habitudes de navigation d’un site internet.

L’acceptation des Cookies se réalise lorsque l’utilisateur clique sur le terme « j’accepte » ou « accepte » au sein d’une barre d’information qui demande à l’utilisateur d’accepter ou non l’utilisation des cookies lors de sa navigation.

Il sera possible pour l’utilisateur de refuser et de prévoir au sein des paramètres de navigation de désactiver l’utilisation des Cookies.

Des Cookies personnels de la Société ou encore de partenaires peuvent être présents lors de la navigation sur le site internet.

Le site (nom du site) utilise les cookies suivants : (préciser lesquels).

Le site (nom du site) utilise les cookies tiers suivants : (préciser lesquels).

Article 7 – Durée de conservation des données

Les données seront conservées pour une durée strictement nécessaire au regard des finalités poursuivies conformément au Règlement général sur la protection des données et aux présentes.

Pour les données collectées au sujet (à préciser), elles seront conservées (nombre d’années) à compter de la cessation du contrat le liant avec la Société.

Les données collectées au sujet d’un utilisateur seront conservées pour une durée de (nombre d’années), sauf si ce dernier demande expressément leur suppression. Cette suppression aura un caractère immédiat.

(Préciser pour chaque finalité choisie, la durée de conservation correspondante)

À l’issue de la durée de conservation, les données seront effacées ou anonymisées afin de permettre une exploitation, sans porter atteinte aux droits des utilisateurs.

Article 8 – Mesures de protection des données

La Société veillera à prendre toutes les mesures techniques et organisationnelles appropriées pour garantir l’intégrité et la sécurité des données. Pour ce faire, la Société met en œuvre les mesures suivantes :

(Préciser les mesures mises en œuvre pour garantir un niveau de sécurité suffisant)

Article 9 – Le transfert de données

Si le transfert de données personnelles est effectué vers des pays situés en dehors de l'Union européenne ou d'un pays reconnu comme offrant un niveau adéquat de protection des données, la Société (nom de l'entreprise) garantit que des mesures appropriées sont mises en place pour protéger les données conformément aux lois applicables en matière de protection des données, telles que des clauses contractuelles types approuvées par la Commission européenne ou d'autres mécanismes de transfert légalement reconnus tels qu’une décision d’adéquation émise par la Commission européenne (préciser la réglementation adaptée à votre situation).

Article 10 – Mises à jour

La Société se réserve le droit de mettre à jour le présent document et s’engage à mettre à disposition aux utilisateurs ou cocontractants la nouvelle version dudit document. Ces derniers pourront vérifier la présente politique directement au sein du site internet, puisqu’à cet effet, la nouvelle politique sera mise en ligne immédiatement.

Article 11 – Droits de l’utilisateur

Conformément au Règlement général sur la protection des données, la société (dénomination sociale) s’engage à garantir l’exercice des droits suivants (à compléter ou à modifier en fonction de vos besoins) :

Un droit d’accès et de rectification : toute personne dispose du droit d’accéder aux données la concernant, d’en obtenir une copie et de les faire corriger si elles sont inexactes, incomplètes ou obsolètes ;

Un droit à l’effacement : dans certains cas posés par l’article 17 du RGPD, l’utilisateur dispose d’un droit à l’effacement de ses données personnelles le concernant. La société se réserve le droit se réserve le droit de refuser la demande d’effacement pour des motifs légitimes et notamment lorsque la conservation des données est nécessaire ;

Le droit d’opposition au traitement : l’utilisateur peut à tout moment s’opposer au traitement de ses données personnelles et ce sans contrepartie financière. Toutefois, la société se réserve le droit d’évaluer l’opposition et d’en refuser la demande pour des motifs légitimes ;

Le droit à la limitation du traitement : l’utilisateur a le droit à la limitation du traitement des données le concernant selon les conditions fixées par l’article 18 du RGPD ;

Le droit à la portabilité des données personnelles fournies : l’utilisateur dispose un droit de récupération des données confiées au responsable de traitement dans un but de vérification ou pour les transmettre à un tiers. Ce droit ne peut s’appliquer que lorsque le traitement est automatisé, et est basé sur le consentement ou sur un contrat.

(...)

Article 12 – Contact

Pour toute question ou demande relative à la présente politique de confidentialité, à l’exercice des droits ou aux données personnelles vous concernant en tant qu’utilisateur, veuillez nous contacter de la manière suivante :

Par voie postale à notre Délégué à la Protection des Données (préciser le nom et prénom) à l’adresse suivante : (préciser l’adresse postale) ;

Par voie électronique à l’adresse suivante : (préciser l’adresse e-mail).

Fait à (Ville), le (date)

Commentaire : Lorsque la Société utilise un système de traceurs ou géolocalisation, celle-ci devra insérer une clause au sein de sa politique de confidentialité afin de prévoir les modalités de consentement et du traitement de ces données. Signature Société (nom de la société)

L'équipe juridique Legimedia

Document garanti à jour

Ce document a été rédigé, puis est maintenu à jour par Juriste Legimedia :

L'équipe juridique Legimedia

Définition de la politique de confidentialité

La politique de confidentialité, également connue sous le nom de charte ou avis de confidentialité, est un document qui définit comment une société ou une organisation recueille, stocke et utilise les données, les informations personnelles de ses utilisateurs. L'objectif premier de cette politique est de protéger les informations personnelles des utilisateurs dès lors qu’ils interagissent avec un service en ligne, un site web (e-commerce, réseaux sociaux, blog...) et notamment lorsque des données personnelles sont transmises à la société. Elle est conçue pour informer les utilisateurs sur leurs droits en matière de confidentialité et pour établir la confiance entre l'organisation et les utilisateurs en démontrant l'engagement envers la protection des données personnelles.

La politique de confidentialité est donc un élément essentiel de conformité au regard du Règlement Général sur la Protection des Données (RGPD) et elle doit être rédigée en ces termes.

La Loi Informatique et Libertés (LIL) règlemente également les collectes de données. D’autre part, la CNIL (Commission Nationale de l'Informatique et des Libertés) en tant qu’autorité administrative indépendante est chargée de veiller à la protection des données personnelles et de garantir le respect de la vie privée des personnes dans le domaine informatique et des nouvelles technologies. La CNIL exerce un contrôle tant sur les organismes publics que privés, elle peut ainsi contrôler la conformité des politiques de confidentialité de toute entité procédant à un traitement de données.

Où trouver une politique de confidentialité ?

Sur un site web, une application 

Dans la plupart des cas, la politique de confidentialité se situe dans une section dédiée à celle-ci notamment en pied de page d’un site web ou dans les paramètres d’une application. Parfois, d’autres termes peuvent être utilisés comme, par exemple, « confidentialité », « avis de confidentialité » ou des termes similaires.

Par le biais des moteurs de recherche

D’autre part, les moteurs de recherche ou réseaux sociaux tels que Google ou Facebook ont aussi leur politique de confidentialité. Il suffit de procéder à une recherche avec le nom de l’entreprise concernée suivi du terme « politique de confidentialité » sur un moteur de recherche. Par exemple, « politique de confidentialité Facebook ».

Le rôle de la CNIL en matière de politique de confidentialité et de RGPD

Enfin, les autorités de protection des données telles que la CNIL, en France, disposent de ressources en ligne qui peuvent inclure des exemples de politique de confidentialité ou des conseils sur la manière de rédiger cette politique.

Quelles sont les conditions pour que la politique de confidentialité soit conforme au RGPD ? Comment rédiger une charte de confidentialité ?

Pour garantir la conformité à la LIL (Loi Informatique et Libertés) et au RGPD (Règlement général sur la protection des données), il est essentiel d'inclure les éléments suivants lors de la rédaction de la politique de confidentialité :

  • Les types de données collectées : nom, prénom, adresse postale, adresse e-mail, numéro de téléphone... ;
  • Les moyens mis en œuvre pour collecter les données personnelles des utilisateurs ;
  • Les finalités de traitement associées à leur base légale ;
  • Les transferts internationaux de données et les mesures de protection ;
  • La durée de conservation des données ;
  • Les mesures de sécurité et de confidentialité mises en place ;
  • Les droits des personnes concernées tels que le droit d’accès, d’effacement... ;
  • L'identité et les coordonnées du délégué ou du responsable de traitement ainsi que la procédure pour exercer les droits des personnes concernées.

Il pourra également être précisé l'utilisation de cookies par le site internet. Les cookies sont utilisés et enregistrés par le navigateur afin de connaître les habitudes de navigation, et l'identification ou l'ouverture d'une page web. Ces cookies sont automatiquement enregistrés par le navigateur et permettent ainsi à un site de se souvenir du passage d'un utilisateur. Le cas échéant, l'utilisation des cookies par le site web devra respecter les conditions suivantes : informer l'utilisateur du traitement de manière claire, les informer sur les mécanismes d’opposition et leurs conséquences sur le fonctionnement et obtenir leur consentement de manière libre, sans ambiguïté.  

Comment mettre en place cette politique RGPD pour un site internet, un e-commerce ? 

Une politique de confidentialité obligatoire

Dès lors qu'une entreprise collecte des données personnelles en ligne est dans l'obligation de mettre en place une politique de confidentialité. 

Dans un premier temps, il est nécessaire d’identifier les différents traitements de données, les personnes concernées, les finalités de traitement, les bases légales ainsi que les éventuels transferts internationaux de données.

En cas de doute, la CNIL fournit de nombreux conseils en lien avec les données personnelles et produit de nombreux guides pratiques pour accompagner les entreprises dans leur mise en conformité tels que sur la durée de conservation des données, etc.

De plus, une société ou un organisme qui collecte beaucoup de données personnelles sur ses clients va nommer un délégué à la protection des données qui aura la charge de surveiller la conformité au RGPD de l’entreprise, conseiller, sensibiliser sur la protection des données personnelles.

Les données personnelles sont toutes les informations qui permettent d’identifier ou de rendre identifiable, de manière directe ou indirecte, une personne physique par le biais des éléments suivants :

  • nom et prénom ou dénomination sociale ;
  • numéro de sécurité sociale ;
  • date et lieu de naissance ;
  • adresse IP ;
  • données de compte bancaire ;
  • données biométriques ;
  • données de santé éducatives ou professionnelles ;
  • données de localisation ;
  • les habitudes d’achat...

Dans un second temps, l’entreprise devra intégrer la politique de confidentialité sur son site. La politique de confidentialité doit être accessible et visible par les utilisateurs.

L'utilisateur doit clairement comprendre à la lecture de la politique :

  • Quelles données sont collectées et pourquoi ?
  • Comment les données le concernant sont collectées ? (formulaire, inscription newsletter…)
  • Comment sont protégées les données ?

L’entreprise devra mettre en place des mesures techniques afin de gérer le consentement des utilisateurs notamment lorsqu’il est choisi comme base légale.

Ensuite, il est nécessaire pour l’entreprise de former son personnel sur les principes et obligations imposés par le RGPD notamment en termes de confidentialité. Les employés doivent être conscients de l'importance de la confidentialité et de la sécurité des données personnelles. Cela peut impliquer des bonnes pratiques telles que la gestion des mots de passe, la protection physique des documents contenant des données personnelles, la sensibilisation aux attaques de phishing ou de cybercriminalité, etc.

Enfin, pour rester en conformité avec le RGPD, il est nécessaire de mettre à jour régulièrement la politique de confidentialité.

Notre modèle de document

Exemple type de politique de confidentialité à télécharger

Vous retrouverez en téléchargement un modèle de politique de confidentialité conforme au RGPD à adapter en fonction de vos besoins, rédigé par notre équipe de juristes. 

Sommaire

Article 1 – Objet

Article 2 – Définitions

Article 3 – Nature des données collectées

Article 4 – Finalités du traitement des données

Article 5 – Destinataires des données

Article 6 – Cookies

Article 7 – Durée de conservation des données

Article 8 – Mises à jour

Article 9 – Droits de l’utilisation et suppression des données

Article 10 – Droit applicable et litiges