Logo Dipeeo - Votre DPO externe

La politique de confidentialité : L'essentiel

Privacy Policy

C'est un document fait partie du volet le plus important du RGPD : l’information des personnes.

Qu’est-ce qu’une politique de confidentialité ?

L’objectif de la politique de confidentialité est d’informer les personnes sur les traitements réalisés sur leurs données personnelles. En résumé, la personne dont les données à caractère personnel sont traitées doit savoir quelles sont ces données, dans quel but elles sont traitées, combien de temps elles sont conservées, quels sont ses droits sur les données…

C’est un document qui doit être mis à disposition des personnes dont les données personnelles sont traitées. Il peut s’agir d’utilisateurs, d’employés, clients, prospects ou de candidats. Et porter sur tout type de cas où des données personnelles sont traitées : site web, Plateforme digitale, Bot, gestion du personnel.

Ce document juridique doit être compréhensible par les lecteurs non-juristes. Il est fondamental d’utiliser un langage accessible à tous. La CNIL (Commission Nationale de l’informatique et des libertés), qui est l’autorité de contrôle en matière de données à caractère personnel, pourrait vous reprocher qu’elle ne soit pas assez claire.

la politique fait partie du volet le plus important du RGPD : l’information des personnes.

Attention, pour la conformité d’un site web, il ne s’agit pas de la seule obligation en termes d’information des personnes. Il fait également mettre en place une politique cookies, des mentions obligatoires comme l’hébergeur et l’éditeur du site (responsable de l’éditeur du site).

En 2022, la politique de confidentialité est obligatoire. C’est, avant tout, un des piliers de la conformité du Règlement général sur la protection des données (RGPD) du site internet.

La politique de confidentialité - Dipeeo

Politique de confidentialité RGPD

Le RGPD c’est :

  • Donner aux personnes la possibilité de savoir ce qui se fait avec leurs données
  • Partager la responsabilité des données personnelles entre les acteurs
  • Veiller à ce que l’entreprise ait une parfaite maîtrise de sa cartographie

 

L’objectif du RGPD est de faire comprendre aux entreprises l’importance du traitement des données personnelles. Tous les transferts de données au sein de l’UE ou dans des pays hors de l’UE doivent être bien encadrés, y compris les données personnelles qu’une structure envoi à son comptable, ses avocats, à l’URSSAF, etc. il permet aux entreprises de se sécuriser si jamais il y a fuite de données.

Pour établir une politique de confidentialité conforme au RGPD, il faut regarder tous les traitements de données. Les entrées de données et les sorties de données (avocat, comptable, URSSAF, informatique). Ces transferts de données doivent être encadrés.

La politique de confidentialité - Dipeeo

Exemples

1

Un employé de la société “A” doit pouvoir consulter facilement la politique des données personnelles employée. Elle se trouve sur l’outil de travail central de l’utilisateur et peut être transmise à l’arrivée du collaborateur.

2

Les utilisateurs du site “B” doivent trouver facilement, souvent dans le footer (bas de page), un lien vers la politique de confidentialité. Celle-ci va donc porter sur les données personnelles traitées dans le cadre de la visite du site B.

3

Les employés de l’entreprise “C” utilisent une app mobile pour prendre des rendez-vous avec les médecins ou psychologues du travail. Une politique doit être disponible sur l’application mobile pour les informer des traitements sur leurs données personnelles.

Play Video about La politique de confidentialité - Dipeeo

Le contenu d’une privacy policy

La politique de données personnelles doit contenir les informations suivantes : 

  • À qui s’adresse cette politique ?
  • Pourquoi traitons-nous vos données et sur quels fondements ?
  • Quelles données traitons-nous et pour combien de temps ?
  • De quels droits disposez-vous pour contrôler l’usage de vos données ?
  • Qui peut avoir accès à vos données ?
  • Comment protégeons-nous vos données ?
  • Vos données peuvent-elles être transférées en dehors de l’Union européenne ?
  • Qui pouvez-vous contacter pour obtenir plus d’informations  ?
  • Comment pouvez-vous contacter la CNIL ?
  • La politique peut-elle être modifiée ?

 

Ce document est composé de plusieurs sections. Nous vous expliquons ce qui doit se trouver dans chacune de ces sections.

La politique de confidentialité - Dipeeo

1. Expliquer l’utilité de la politique

Cette section doit informer l’utilisateur de la raison pour laquelle ce document a été réalisé et est disponible.

Politique de confidentialité site internet : Cette politique vise à informer les personnes sur la manière et les raisons pour lesquelles les entreprises collectent et traitent des données personnelles de ses clients et de ses utilisateurs dans le cadre de leurs activités. 

Sur un site internet, ce document est obligatoire. Elle représente un gage de sérieux et de confiance envers les utilisateurs, car c’est le meilleur moyen de les informer. Il est important de respecter les règles sur les données à caractère personnel des utilisateurs et de les protéger. 

C’est également une preuve pour toutes les personnes qui la consultent que les règles applicables en matière de protection des données et le règlement général sur la protection des données (RGPD) sont bien respectées.

2. Indiquer à qui s’applique t-elle ?

La privacy policy peut s’appliquer à un client, un potentiel client, un visiteur, un salarié ou encore un candidat, peu importe son lieu de domiciliation. Concrètement, elle s’adresse à toutes les personnes dont les données sont traitées mais aussi à toutes les personnes qui utilisent et traitent des informations personnelles. Cela dépend beaucoup du contexte dans lequel la politique de confidentialité est réalisée.

3. Préciser les raisons du traitement de données personnelles

Il est nécessaire d’expliquer pourquoi et sur quels principes les données à caractère personnel des utilisateurs sont traitées. Sur un site web par exemple, cela permet de bénéficier d’un service comme la création d’un compte client ou une organisation de rendez-vous, ou encore afin de répondre à une demande d’un utilisateur.

Cette partie de la politique permet aussi d’informer les utilisateurs que leurs données seront traitées pour leur envoyer des offres promotionnelles par email, SMS, et via un numéro de téléphone. C’est uniquement valable si les utilisateurs ont donné leur consentement dans un contexte B2C. En B2B, c’est plus flexible.

Pour se mettre en conformité avec le RGPD, vous devez faire la rédaction d’un traitement de données, ou encore du registre de traitement. Pour cela, il est nécessaire de passer par un délégué à la protection des données. Le traitement des données personnelles des utilisateurs permet de garantir et de renforcer la sécurité et la qualité des services (sécurité des données, statistiques, …) que propose une structure. 

Il est également important de mentionner s’il y a des installations de Cookies sur le terminal.

4. Informer sur le traitement des données personnelles et la durée de conservation

C’est une partie importante car il faut définir toutes les catégories de données personnelles collectées via tous les canaux utilisés. Cela peut s’agir d’une collecte directe auprès des utilisateurs, via une base de données de potentiels clients, etc. Il faut respecter les durées de conservation des données mise en place par le règlement général sur la protection des données (RGPD).

Voici quelques exemples de données traitées chez Dipeeo :

Type de données

Exemple

Durée de conservation

Données d’identifications professionnelles et coordonnées

Nom, prénom, adresse mail professionnelle, numéro de téléphone, adresse professionnelle, etc.

5 ans

Données d’ordre économique et financier

numéro de carte bancaire, code de vérification, etc.

Entre 5 ans et 10 ans

Données à des fins de prospection commerciale

adresse mail, etc.

3 ans

Cookies

13 mois

Les données doivent être supprimées à l’expiration des durées de conservation. Cela peut être réalisé par un processus manuel ou une automatisation dans les outils.

5. Informer sur les droits des personnes dont les données sont traitées pour contrôler l’usage de leurs données

Avant de rédiger une politique de confidentialité conforme au RGPD, assurez-vous d’avoir les connaissances techniques et juridiques nécessaires.

Tous les utilisateurs ont des droits spécifiques qu’ils peuvent utiliser à tout moment et gratuitement afin de contrôler l’usage de leurs données personnelles. Ces droits sont octroyés par la réglementation applicable en matière de protection des données.

Voici les droits dont dispose une personne :

1 – Droit d’accès et de copie des données personnelles : Chaque utilisateur a le droit de demander l’information de tous les traitements de ses données personnelles dès lors que cette demande n’est pas en contradiction avec le secret des affaires, la confidentialité, ou encore le secret des correspondances.

Selon la CNIL, Voici tous les éléments qui doivent être fournis à un utilisateur lorsqu’il fait une demande de droit d’accès :

  • Finalités d’utilisation des données,
  • Catégories de données collectées,
  • Destinataires ou catégories de destinataires qui ont pu accéder à ces données,
  • Durée de conservation des données ou les critères qui déterminent cette durée,
  • Existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
  • Possibilité de saisir la CNIL,
  • Toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées,
  • Existence d’une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences d’une telle décision,
  • l’éventuel transfert des données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.
2- Droit de rectification de données personnelles :

Chaque utilisateur peut rectifier, compléter, actualiser, verrouiller ou effacer ses données personnelles qui seraient erronées, obsolètes ou incomplètes.

3- Droit de s’opposer aux traitements

des données personnelles mis en œuvre à des fins de prospection commerciale : Chaque utilisateur a le droit de se désabonner d’une campagne de prospection commerciale (Opt-out).

4- Droit de demander l’effacement

(“droit à l’oubli”) des données personnelles qui ne seraient pas essentielles au bon fonctionnement des services d’une structure.

5- Droit à la limitation des données personnelles

qui permet de photographier l’utilisation des données en cas de contestation sur la légitimité d’un traitement.

6- Droit à la portabilité des données

qui permet de récupérer une partie des données personnelles afin de les stocker ou les transmettre facilement d’un système d’information à un autre.

7- Droit de donner des directives sur le sort des données

en cas de décès, soit par un intermédiaire, soit l’intermédiaire d’un tiers de confiance ou d’un ayant-droit.

Pour que les utilisateurs puissent faire valoir leurs droits, il faut mettre en place par exemple une adresse mail sur laquelle ils peuvent envoyer leurs demandes.

Politique de confidentialité - Dipeeo

6. Informer sur les acteurs qui ont accès aux données personnelles ?

Comme les entreprises collectent et traitent des données de  “personnes”, il est primordial de les informer qu’ils peuvent avoir accès à leurs données personnelles. En général, les données personnelles sont communiquées aux personnes autorisées à les utiliser afin de mettre en œuvre les services d’une structure. Notamment le personnel chargé de la mise en œuvre du service, de la comptabilité, du marketing, et le cas échéant de la sécurité des locaux.

Les données peuvent être communiquées aux autorités publiques, à des conseils et praticiens externes, ainsi qu’à des prestataires ou encore, éventuellement, à des partenaires commerciaux.

Pour chaque structure, cette partie peut varier en fonction de l’activité, et ce n’est pas la seule partie qui peut avoir des informations différentes. Recopier une politique de confidentialité d’une structure n’est donc pas recommandé. Nous vous conseillons de consulter des professionnels. Cliquez ici pour obtenir votre audit gratuit.

7. Informer sur la sécurité mise en place pour protéger les données personnelles

L’objectif de cette section est d’informer sur les mesures de sécurité mises en place pour protéger les données à caractère personnel.

Les données personnelles des utilisateurs doivent être absolument protégées. Tous les moyens techniques et organisationnels requis doivent être mis en place pour garantir cette sécurité au quotidien et lutter contre tout risque de destruction, perte, altération, ou divulgation des données qui ne serait pas autorisée.

Il est important de sensibiliser toutes les personnes qui collectent et traitent des données personnelles dans la structure afin de limiter les risques de fuite de données.

Par exemple, les mots de passes doivent être fréquemment modifiées et ils doivent être à un haut niveau (lettres minuscules, lettres majuscules, caractères spéciaux, numéro, etc). Cette sensibilisation doit être mise en place par le délégué à la protection des données (DPO).

8. Information sur les transferts de données en dehors de l’Union européenne

Une donnée personnelle peut être transférée dans un pays hors de l’UE mais pour cela, il faut mettre en œuvre les garanties appropriées afin d’assurer la confidentialité et la protection des informations personnelles.

Pour être en conformité, les structures qui transfèrent des données personnelles en dehors de l’Union Européenne directement ou par l’intermédiaire de prestataires en dehors de l’Union Européenne doivent signer un contrat spécifique qui permet ces transferts de données. Par conséquent, les prestataires doivent être conformes au RGPD si elles traitent les informations personnelles de personnes au sein de l’UE.

Pour les grands acteurs, notamment aux US, les clauses sont déjà mises à disposition et ne nécessitent pas de rédaction complémentaire. Une vérification est toutefois nécessaire.

9. Informer sur la personne de contact pour obtenir plus d’informations ?

Cette partie permet de mettre en avant le délégué à la Protection des données (DPO) de la structure qui est le chef d’orchestre du traitement des données à caractère personnel. Il est conseillé d’y mettre un moyen de contacter le DPO via une adresse email “RGPD” dédiée

10. Indiquer comment contacter l’autorité du pays concernant les données personnelles ?

Cette section informe sur l’autorité de contrôle régulant les règles sur le traitement des données personnelles, que cela soit la CNIL ou un autre organisme dans un pays hors de l’UE. Chaque personne peut faire une réclamation auprès de la CNIL de manière anonyme.

Par exemple :

Il est possible de contacter l’autorité de contrôle française en matière de protection des données (la “Commission nationale de l’informatique et des libertés” ou “CNIL”) aux coordonnées suivantes : 

Service des plaintes de la CNIL, 3 place de Fontenoy – TSA 80751, 75334 Paris Cedex 07 ou par téléphone au 01.53.73.22.22.

11. Informer sur les mises à jour potentielles de la politique de confidentialité

Avant de rédiger une politique de confidentialité conforme au RGPD, il est important que savoir qu’une structure est susceptible d’évoluer. Il en va de même pour sa politique qui doit être adaptée aux nouvelles exigences légales ainsi qu’aux nouveaux traitements qui peuvent être mis en œuvre dans le futur. 

C’est pour cela qu’il est préférable de se faire accompagner par un délégué à la protection des données. Il va s’assurer de mettre à jour les documents légaux.

Il est important d’informer les personnes concernées lors du changement, ou de l’adaptation de la politique de confidentialité.

Politique de confidentialité - Dipeeo

Politique de confidentialité des plateformes de type WordPress, Shopify ou facebook

Il y a plusieurs cas pour ces plateformes. Soit la privacy policy est déjà réalisée et disponible car la plateforme a connaissance de tous les traitements.

Soit elle met à disposition une politique en marque blanche qu’il est possible de compléter et implémenter sur la plateforme.

Générateur politique de confidentialité

Il existe beaucoup d’outils qui permettent de générer une politique de confidentialité. Cependant, ces outils proposent “des modèles de politique de confidentialité” qui ne sont pas toujours compatibles avec l’activité d’une structure. En effet, ces outils ne sont pas responsables des informations que vous mettez pour générer votre document et ne garantit pas sa conformité. Ce qui signifie qu’il est fort probable que la politique ne soit pas conforme RGPD.

Dipeeo vous permet de générer votre politique  dans son offre unique de dpo externe tout inclus. Suite  au remplissage d’un questionnaire, votre DPO vous livrera votre politique de ainsi qu’un mode d’emploi pour l’intégrer sur votre site web, plateforme, intranet…

Politique de confidentialité modèle gratuit

Vous pouvez télécharger la politique de confidentialité de Dipeeo en tant qu’exemple. Attention toutefois. Il faut mettre à jour sur la base de vos traitements des informations personnelles et ceci est très dépendant de votre activité. Nous ne recommandons donc pas cela.

Dipeeo peut vous accompagner pour réaliser cette politique très simplement. Contactez nous via la page “contact”.

Télécharger gratuitement un exemple de Politique de confidentialité RGPD conforme !

Il s'agit de la politique de Dipeeo : votre DPO externalisé

📕 Bonus : L'erreur la plus commune ? 📕

💥 L’erreur la plus commune porte sur la clarté de l’information pour l’utilisateur. C’est-à-dire que chaque mot est important, et que chaque phrase va apporter une information aux personnes :

« Je conserve les données pour une durée nécessaire au traitement. » ​🚫

Cette affirmation n’apporte aucune information à l’utilisateur.

« Je collecte les données à des fins de prospection commerciales pour une durée de 3 ans à compter du dernier contact. »

Vous souhaitez consulter une politique de confidentialité conformer ? Consulter celle de notre site !

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Le label "RGPD Conforme" délivré

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Les ressources disponibles

Sous traitant RGPD - Dipeeo

Sous traitant RGPD

Qu’est-ce qu’un sous traitant RGPD ? Sous traitant RGPD Un sous traitant RGPD au sens du Règlement Général sur la Protection des Données est une...

Read More

Témoignages de nos clients

Play Video about Témoignage client Leadjet

Startup Tech

Play Video about Temoignage3-BGE-PaRIF-dpo-externe

Association

Play Video about Temoignage2-Econhomes-dpo-externe.png

Startup Immobilier

Play Video about Temoignage-Tour-dArgent-dpo-externe.png

Groupe de restauration

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo.
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien.

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.