Comprendre et mettre en place une charte de confidentialité

Qu’est-ce qu’une charte de confidentialité ?

La charte de confidentialité, parfois appelée politique de confidentialité ou déclaration de confidentialité, est un document juridique qui explique de manière claire et accessible comment l’entreprise collecte, utilise et protège les données personnelles de ses utilisateurs au sens large (qui utilisent son site web ou son application mobile, notamment).

Elle répond à un double-objectif : se conformer aux lois relatives à la protection des données personnelles, et faire preuve de transparence vis-à-vis de ses clients pour établir un lien de confiance.

Pour ce faire, la charte détaille le type de données collectées, les méthodes de collecte, les finalités du traitement de ces données ainsi que les mesures de sécurité mises en place pour protéger ces informations. Elle doit également informer les utilisateurs de leurs droits en matière de protection de données, notamment le droit d’accès, de rectification, d’oubli et de limitation du traitement.

Dans la pratique, la charte de confidentialité est souvent diffusée sur le site web de l’entreprise, dans le pied de page ou le footer, ainsi que sur son application mobile, le cas échéant. Elle peut également figurer dans les contrats et les documents d’information remis aux clients lors de la souscription à un service ou à l’achat d’un produit.

La charte de confidentialité engage l’entreprise sur 7 points

Toutes les chartes de confidentialité ne se ressemblent pas, dans la mesure où elles s’adaptent aux spécificités de l’activité de l’entreprise et à ses besoins en matière de collecte et de traitement des données.

En revanche, toutes les politiques de confidentialité engagent les entreprises sur les 7 points suivants :

1. La transparence. L'entreprise s'engage à informer clairement les utilisateurs sur les types de données qu'elle collecte, les méthodes de collecte, les finalités du traitement ainsi que les destinataires des données si elles sont partagées.
2. La limitation des finalités. L'entreprise s'engage à collecter les données exclusivement pour des finalités bien déterminées, à la fois explicites et légitimes, qu’elle énonce clairement dans la charte.
3. La minimisation des données. L'entreprise s'engage à ne collecter que les données strictement nécessaires à la réalisation des finalités déclarées. Ce principe de minimisation assure que seul le minimum requis de données est traité.
4. L’exactitude. L'entreprise s'engage à prendre toutes les mesures raisonnables pour s'assurer que les données personnelles qu'elle détient sont exactes, à jour et corrigées en cas d'erreur.
5. La limitation de conservation. L'entreprise s'engage à conserver les données personnelles seulement pour la durée nécessaire aux finalités pour lesquelles elles sont traitées. Elle doit également préciser les critères utilisés pour déterminer cette période de conservation.
6. L’intégrité et la confidentialité. L'entreprise s'engage à appliquer des mesures techniques et organisationnelles pour assurer la sécurité des données personnelles, notamment la protection contre le traitement non autorisé ou illicite, la perte, la destruction ou les dommages accidentels.
7. Le respect des droits des personnes. L'entreprise s'engage à respecter et faciliter l'exercice des droits des personnes concernées, comme le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la limitation du traitement et le droit à la portabilité des données.

Quel est le cadre légal de la charte de confidentialité en France ?

En France, la charte de confidentialité est régie par la loi Informatique et Libertés ainsi que le Règlement Général sur la Protection des données (RGPD).

La loi Informatique et Libertés

Promulguée le 6 janvier 1978 et révisée à plusieurs reprises pour s'adapter aux progrès technologiques et aux évolutions du cadre légal dans l’Union européenne, la loi Informatique et Libertés est la pierre angulaire de la protection des données personnelles en France.

Elle impose plusieurs obligations aux entreprises, dont le détail doit figurer dans la charte de confidentialité :

1. Information et consentement. La loi exige que toute entité qui collecte des données personnelles informe clairement les personnes concernées sur les finalités de ce traitement. Le consentement doit être explicite et donné librement, par une action « positive » de la personne. Il ne peut donc être présumé ou déduit.
2. Droits des individus. Les personnes dont les données sont collectées disposent de droits étendus, notamment le droit d'accès à leurs données, qui doit être satisfait dans un délai d'un mois à compter de la demande. Elles ont également le droit de rectifier des données incorrectes ou obsolètes et le droit d'effacer leurs données.
3. Mesures de sécurité. Les responsables du traitement des données sont tenus de mettre en œuvre des mesures de sécurité robustes pour prévenir la perte, l'altération ou l'accès non autorisé aux données personnelles : solutions techniques comme le chiffrement et l’anonymisation ou pseudonymisation, formation du personnel, protocoles de gestion des accès, etc.

Cette loi confère également des pouvoirs étendus à la Commission Nationale de l'Informatique et des Libertés (CNIL), qui a l’autorité d'effectuer des contrôles, de sanctionner les manquements et d'orienter les politiques publiques en matière de protection des données. La loi Informatique et Libertés a été amendée le 1er juin 2019 pour s’aligner avec le RGPD.

Le Règlement Général sur la Protection des Données (RGPD)

Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est venu compléter la loi Informatique et Libertés, notamment en élargissant sa portée et en renforçant les droits des utilisateurs.

• Le RGPD a une portée transnationale, puisqu’il s’applique à toutes les entreprises qui traitent des données de résidents de l'Union européenne, quel que soit leur lieu d'établissement. Ainsi, les entreprises hors UE qui traitent des données de citoyens européens sont tenues de se conformer ;
• Selon l'article 7 du RGPD, le consentement doit être donné par une déclaration ou un acte positif clair qui reflète une volonté libre, éclairée et univoque d'accepter le traitement des données personnelles ;
• Le RGPD accorde aux individus le droit à l'effacement (article 17), le droit à la limitation du traitement (article 18) et le droit à la portabilité des données (article 20) ;
• L'article 33 du RGPD impose aux organisations de notifier toute violation de données personnelles à l'autorité de contrôle compétente (la CNIL en France) sous 72 heures après en avoir eu connaissance, sauf si la violation n'est pas susceptible d'entraîner un risque pour les droits et libertés des individus. En cas de risque élevé, les personnes concernées doivent également être informées sans délai ;
• Le RGPD introduit le principe de responsabilité, selon lequel les organisations doivent non seulement se conformer à ce règlement, mais aussi être capables de démontrer leur conformité à tout moment (article 5). Concrètement, il s’agit de tenir des registres détaillés des activités de traitement, réaliser des évaluations d'impact sur la protection des données pour les traitements susceptibles de présenter des risques élevés et de désigner un délégué à la protection des données (DPD).

💡 Qu’est-ce qu’une donnée personnelle ?

La donnée personnelle désigne toute information qui permet d'identifier directement ou indirectement une personne physique. Il s’agit des informations évidentes comme le nom, l'adresse et le numéro de téléphone personnel, mais aussi des éléments moins directs comme des identifiants en ligne (adresses IP ou cookies), des données GPS ou même des traits physiques ou génétiques.

En somme, si une information peut être utilisée seule ou avec d'autres données pour identifier nommément une personne physique, elle est considérée comme étant « une donnée personnelle ».

Les droits des utilisateurs dans le RGPD : lexique et exemples concrets

La charte de confidentialité doit impérativement citer les droits des utilisateurs dans le cadre du RGPD. Nous les avons récapitulés dans le tableau suivant, avec des exemples concrets.

• Droit à l'effacement (ou droit à l'oubli) :

Permet aux individus de demander la suppression de leurs données personnelles des bases de données de l’entreprise.

Exemple : Un utilisateur demande à un site e-commerce de supprimer son compte et toutes les données de transaction associées.

• Droit à la limitation du traitement :
• Permet aux individus de demander à l’entreprise d’arrêter le traitement de leurs données pendant la vérification de leur exactitude ou l'examen d'une plainte.
• Exemple : Un client conteste l'exactitude de son historique de crédit chez une banque et demande la suspension du traitement pendant la vérification.
• Droit à la portabilité des données :

Permet aux individus de récupérer leurs données personnelles dans un format utilisable et de les transférer d'une organisation à une autre.

Exemple : Un patient récupère son dossier médical dans un format électronique pour le transférer à un nouveau médecin.

• Droit d'accès :

Donne aux individus le droit de savoir quelles données personnelles l’entreprise détient à leur sujet et comment ces données sont traitées.

Exemple : Un consommateur demande à une entreprise de location de véhicules la liste des données personnelles qu'elle détient sur lui.

• Droit de rectification :

Permet aux individus de corriger des données inexactes ou incomplètes détenues par une organisation.

Exemple : Un client informe son assurance que son adresse postale a changé pour mettre à jour ses informations.

• Droit de rétractation du consentement :

Permet aux individus de retirer leur consentement au traitement de leurs données personnelles à tout moment.

Exemple : Un abonné à une Newsletter choisit de retirer son consentement et ne plus recevoir d'emails promotionnels.

• Droit de s'opposer au traitement :

Permet aux individus de s'opposer au traitement de leurs données personnelles qui ne sont pas sujettes au consentement.

Exemple : Un client demande à une agence de marketing de cesser de traiter ses données pour des campagnes publicitaires ciblées.

• Droit de notification :

Les individus doivent être informés en cas de violation de leurs données personnelles pouvant les affecter directement.

Exemple : Un utilisateur reçoit une notification d'une banque après la fuite de données sur son compte.

• Droit d'opposition au profilage :

Les individus peuvent refuser le traitement automatisé de leurs données.

Exemple : Un client s'oppose à ce que son historique d'achat en ligne soit utilisé pour des recommandations de produits automatisées.

• Droits relatifs aux décisions automatisées :

Les individus ont le droit de ne pas être soumis exclusivement à des décisions automatisées.

Exemple : Un emprunteur demande une révision manuelle après qu'un algorithme a refusé automatiquement sa demande de crédit.

Qui est concerné par la rédaction de la charte de confidentialité ?

La rédaction d'une charte de confidentialité est une obligation pour toute entité qui collecte ou traite des données personnelles :

• Les entreprises privées basées dans l’Union européenne, quelle que soit leur taille, dès lors qu'elles traitent des données personnelles dans le cadre de leurs activités commerciales ;
• Les entreprises basées hors UE mais qui opèrent dans un pays européen;
• Les organismes publics, notamment les administrations et les services publics qui gèrent des données des citoyens ;
• Les associations et les fondations qui collectent et stockent des données sur leurs membres, donateurs ou bénéficiaires ;
• Les professionnels de santé, les établissements scolaires, les banques, et toute autre entité qui gère des données sensibles.

La charte doit être rédigée par le responsable de traitement, c'est-à-dire la personne ou l'organisation qui décide des finalités et des moyens du traitement des données personnelles.

Si le traitement est effectué pour le compte d'un tiers, le sous-traitant doit également s'assurer que le responsable de traitement fournit une charte de confidentialité conforme (par exemple un centre d’appel qui gère le service client d’une entreprise).

Quelles informations faut-il communiquer dans une charte de confidentialité ?

Dans la pratique, la charte de confidentialité se présente comme un document numérique écrit et structuré en plusieurs sections.

Elle débute par une introduction qui explique son objectif : informer les utilisateurs sur la manière dont leurs données personnelles sont collectées, traitées et protégées. Elle souligne l'engagement de l'entité à respecter la vie privée et à se conformer aux lois en vigueur. Après l’introduction, la charte développe les sections suivantes.

1. L'identité et les coordonnées de l'entreprise

Il s’agit d’énoncer les informations permettant d'identifier clairement l'entité responsable du traitement des données : le nom de l'entreprise, son adresse, son numéro de téléphone et son adresse électronique.

Ces informations fournissent aux utilisateurs un point de contact pour toutes questions relatives à la gestion de leurs données personnelles.

2. La finalité de la collecte des données

La charte de confidentialité doit clairement définir pourquoi les données personnelles sont collectées : la gestion des comptes clients, l'amélioration des services, la communication marketing, le traitement des commandes, etc.

Il faut noter que certaines organisations sont légalement obligées de collecter et conserver des données sur leurs clients, notamment les institutions financières, pour lutter contre le blanchiment d’argent et le financement du terrorisme. Même dans ce cas, la charte de confidentialité doit mentionner la finalité de la collecte des données et la rattacher aux textes de loi en question.

3. La base légale du traitement des données

Le RGPD prévoit six cas qui légitiment le traitement des données personnelles collectées par les entreprises et les organisations publiques. Nous les avons résumés dans le tableau suivant, avec des exemples concrets.

La base légale du traitement des données :

Le traitement est autorisé si la personne a clairement consenti à utiliser ses données pour un ou plusieurs objectifs spécifiques.

Exemple : Un site web demande à ses visiteurs de consentir à l'utilisation de cookies pour personnaliser les publicités.

Obligation légale :

Le traitement est nécessaire pour se conformer à une obligation légale à laquelle le responsable du traitement est soumis.

Exemple : Une entreprise doit garder les factures de vente pendant 10 ans pour se conformer à l’article L 123-22 du Code de commerce.

Obligation contractuelle :

Le traitement est nécessaire pour l'exécution d'un contrat que la personne concernée a signé ou pour prendre des mesures à sa demande avant de conclure un contrat.

Une banque traite les informations personnelles pour évaluer la solvabilité d'un client demandant un prêt.

Exemple : Une banque traite les informations personnelles pour évaluer la solvabilité d'un client demandant un prêt.

Mission d’intérêt public :

Le traitement est nécessaire pour l'exécution d'une mission réalisée dans l'intérêt public ou dans l'exercice de l'autorité officielle du responsable du traitement.

Exemple : Les données de santé publique sont traitées par une agence gouvernementale pour surveiller et contrôler une épidémie.

Intérêt légitime :

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si les intérêts ou les droits et libertés fondamentaux de la personne concernée prévalent.

Exemple : Une entreprise envoie des enquêtes de satisfaction à ses clients pour améliorer ses services.

4. Le caractère obligatoire ou facultatif du recueil de données

La charte de confidentialité doit expliquer si la fourniture de données est obligatoire ou facultative, ainsi que les conséquences d'un non-consentement.

Par exemple, un assureur ne peut conclure un contrat d’assurance de prêt immobilier si l’assuré ne consent pas à remplir un questionnaire médical (dans certains cas).

5. Les destinataires des données recueillies

La charte de confidentialité doit présenter la liste exhaustive des personnes morales qui ont accès aux données personnelles collectées, y compris les tiers comme les partenaires commerciaux, les sous-traitants, les autorités, les organismes de réglementation, les banques, les auditeurs externes, les conseillers juridiques, les acquéreurs potentiels, etc.

6. La durée de conservation des données

La charte doit préciser le temps de conversation selon les types de données collectées :

• Les données de compte client sont conservées pendant la durée de la relation commerciale avec le client. Après la clôture du compte, les données peuvent être conservées pour une période supplémentaire de 5 ans à des fins d'audit et de conformité légale seulement ;
• Les données de transaction financière sont conservées pour une période minimale de 10 ans pour se conformer aux obligations comptables et fiscales, conformément au Code de commerce ;
• Les données collectées via le consentement pour le marketing sont conservées jusqu'à ce que le consentement soit retiré par l'utilisateur. Une révision annuelle peut être effectuée pour décider de la nécessité de poursuivre la conservation de ces données ;
• Les données relatives aux employés sont conservées pendant toute la durée du contrat de travail et, conformément à la législation du travail, jusqu'à 5 ans après la fin du contrat pour gérer les éventuelles réclamations post-emploi ;
• Les données de surveillance vidéo (CCTV) sont généralement conservées pour 30 jours, sauf en cas d'incident nécessitant une conservation plus longue à des fins d’enquête ;
• Les données de candidature à un emploi peuvent être conservées pendant 2 ans si le candidat n'est pas sélectionné, sauf si le candidat demande leur suppression.

7. Les droits des utilisateurs

Les utilisateurs doivent être informés de leurs droits en matière de protection des données, comme expliqué dans le tableau de la partie « Les droits des utilisateurs dans le RGPD : lexique et exemples concrets » de cet article.

8. Les coordonnées du délégué à la protection des données

Si l'entreprise a nommé un délégué à la protection des données (DPD), ses coordonnées doivent être intégrées dans la charte de confidentialité pour que les utilisateurs puissent le contacter directement pour toute question ou toute demande relative à l’exercice de leurs droits.

💡 La désignation d’un DPD est-elle obligatoire ?

Selon le RGPD et les précisions de la CNIL, la désignation d'un délégué à la protection des données est obligatoire dans les cas suivants :

1.      Toutes les entités publiques doivent nommer un DPO, à l'exception des juridictions ;

2.      Les entreprises dont les activités de base nécessitent un suivi régulier et systématique des personnes à grande échelle (sociétés spécialisées dans la surveillance ou le profilage en ligne) ;

3.      Les entreprises qui traitent à grande échelle des données sensibles : opinions politiques, convictions religieuses, appartenance syndicale, données biométriques, données médicales, condamnations pénales et infractions, etc.

Pour les autres entreprises qui ne rentrent pas dans ces catégories, la nomination d'un DPO reste fortement recommandée pour assurer la conformité au RGPD et bénéficier d'un conseil expert en matière de protection des données personnelles.

9. La mention du droit à introduire une réclamation auprès de la CNIL

Enfin, la charte de confidentialité doit rappeler aux utilisateurs leur droit de déposer plainte auprès de la CNIL s'ils estiment que le traitement de leurs données ne respecte pas le RGPD et la loi Informatique et Libertés.

Quels sont les risques en cas de manquement à l’obligation de la charte de confidentialité ?

Les entreprises qui ne se plient pas à l’obligation de rédiger, de rendre accessible et d’appliquer leur charte de confidentialité s’exposent à des sanctions administratives et pénales en vertu du RGPD et de la loi Informatique et Libertés :

• En vertu du RGPD, les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, selon le montant le plus élevé. Les sanctions sont graduées en fonction de la gravité du manquement, de la nature des données concernées et de la durée de l'infraction ;
• Le Code pénal prévoit des peines pouvant aller jusqu'à cinq ans d'emprisonnement et 300 000 euros d'amende.

Quelles sont les entreprises les plus susceptibles d’être contrôlées par la CNIL ?

Il s’agit essentiellement des grandes entreprises qui ont une certaine visibilité sur le marché et qui traitent des données sensibles (médicales ou financières) ou à grande échelle. Les entreprises qui ont des antécédents de non-conformité ou de violations de données sont également exposées.

Théoriquement, toutes les entreprises qui collectent et traitent des données personnelles peuvent être contrôlées à tout moment par la CNIL.

Provigis, le partenaire de votre conformité

En tant que Tiers de Collecte Probatoire (TCP), Provigis vous apporte une vue globale et en temps réel sur la conformité de vos tiers en matière de RGPD et de cybersécurité à travers une solution digitale intuitive :

• RGPD: collecte et authentification des documents, certifications et labels sur vos tiers (fournisseurs, sous-traitants…), questionnaires, e-signature, statistiques, indicateurs de conformité et pistes d’audit en quelques clics ;
• Cybersécurité: collecte et authentification de documents, labels et certifications, e-signature, cyberscore, screening cyber, questionnaire, plan de remédiation, etc.

Vous souhaitez mettre en place une solution pour évaluer vos tiers et connaître leur niveau de maturité au RGPD et à la cybersécurité ? Demandez votre démo.