Comment rédiger la politique de confidentialité d’un site internet ?

Check-list 

politique de confidentialité d’un site internet

La politique de confidentialité d’un site internet correspond aux obligations du responsable de traitement en matière d’information des personnes sur les données collectées.

Elle doit contenir à minima les éléments suivants :

• L’identité et les coordonnées du responsable de traitement;
• Les coordonnées du délégué à la protection des données (DPO);
• Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
• Si un traitement est fondé sur la base juridique « intérêts légitimes », le détailler;
• Les destinataires ou les catégories de destinataires des données à caractère personnel;
• Les éléments sur les éventuels transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale;
• La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
• L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
• L’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
• L’existence d’une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée;
• Si les données ne sont pas collectées directement auprès de la personne concernée, la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;

Ces informations doivent être données d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

Références : RGPD articles 12 à 14

Auteur : Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn), Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel.