Politique de confidentialité conforme à l'UE

Si votre site web recueille des données auprès de personnes résidant dans l'Union européenne (UE), vous devez disposer d'une politique de confidentialité répondant à des normes régionales strictes.

Le paysage juridique européen se compose principalement du règlement général sur la protection des donnéesRGPD, de la directive "vie privée et communications électroniques" (parfois appelée "loi sur les cookies") et de cadres plus récents tels que la loi européenne sur l'IA.

Dans ce guide, j'explique ce qui fait une politique de confidentialité conforme aux exigences de l'UE, comment ces lois clés la façonnent, ce qu'il faut y inclure et où la publier.

Je vous montrerai également comment les outils de Termlyfacilitent la création d'un site qui remplit toutes les conditions requises.

Table des matières

1. Qu'est-ce qu'une politique de protection de la vie privée conforme aux normes européennes ?
2. Lois et règlements de l'UE ayant une incidence sur les politiques de protection de la vie privée
3. Les éléments d'une politique de protection de la vie privée conforme aux exigences de l'UE
4. Où afficher votre politique européenne de protection de la vie privée
5. Politique de confidentialité de l'UE vs. politique de politique de cookies: Pourquoi vous avez besoin des deux
6. Comment Termly aide les entreprises à élaborer une politique de confidentialité conforme à l'UE

Qu'est-ce qu'une politique de protection de la vie privée conforme aux normes européennes ?

Une politique de confidentialité conforme à la législation européenne explique comment votre entreprise collecte, utilise, stocke et protège les données personnelles des personnes dans l'Union européenne.

Il s'agit d'une obligation légale en vertu du RGPD, conçue pour donner aux gens la transparence et le contrôle de leurs informations personnelles.

Pour répondre aux normes RGPD , votre politique de protection de la vie privée doit clairement inclure :

En outre, la politique doit être rédigée dans un langage clair et facile à comprendre et être accessible partout où des données sont collectées (comme les pages d'inscription ou les bannières de cookies).

Lois et règlements de l'UE ayant une incidence sur les politiques de protection de la vie privée

Plusieurs règlements de l'UE déterminent la manière dont les entreprises traitent les données à caractère personnel et ce qui doit figurer dans leurs politiques de protection de la vie privée. Vous trouverez ci-dessous les principales lois et normes à connaître pour élaborer une politique de confidentialité conforme aux normes de l'UE.

RGPD

Le règlement général sur la protection des données (RGPD) est le fondement de la législation européenne en matière de protection de la vie privée. Il s'applique à toute organisation qui traite les données personnelles de personnes dans l'UE, même si l'entreprise elle-même est basée en dehors de l'Europe.

En vertu du RGPD, votre politique de confidentialité doit expliquer clairement :

• Quelles sont les données à caractère personnel que vous collectez et pourquoi ?
• Votre base légale pour le traitement de ces données (par exemple, le consentement ou l'intérêt légitime)
• la durée de conservation des données et les personnes avec lesquelles elles sont partagées
• Comment les utilisateurs peuvent-ils exercer leurs droits, tels que l'accès, la rectification ou la suppression de leurs données ?
• La politique doit également décrire les coordonnées du responsable du traitement des données et, le cas échéant, du délégué à la protection des données.
• N'oubliez pas que la transparence du RGPD s'applique à la fois à la collecte directe et indirecte des données - les responsables du traitement doivent fournir une notification même lorsqu'ils obtiennent des données auprès de tiers.

Le RGPD exige également que votre politique soit rédigée dans un langage clair et simple afin que chacun puisse facilement comprendre comment ses données sont traitées.

Loi européenne sur les cookies

La loi européenne sur les cookies, connue officiellement sous le nom de directive "vie privée et communications électroniques", régit la manière dont les cookies et les technologies de suivi similaires sont utilisés sur les sites web.

La directive "vie privée et communications électroniques" complète le RGPD afin de garantir aux utilisateurs un contrôle significatif sur le suivi en ligne.

Il est important de noter que la directive "vie privée et communications électroniques" est mise en œuvre par le biais de lois nationales (par exemple, la TTDSG en Allemagne, la loi sur les télécommunications en Belgique, etc.

Pour vous conformer, vous devez

• Informer les utilisateurs sur les traceurs en ligne (par exemple, les cookies) que vous utilisez et sur leur fonction.
• Obtenir un consentement préalable et sans ambiguïté avant de placer des cookies ou des traceurs non essentiels (tels que des traceurs analytiques ou publicitaires).
• donner aux utilisateurs la possibilité d'accepter ou de refuser les cookies ou les traceurs à tout moment
• Les cookies non essentiels doivent rester inactifs jusqu'à ce que le consentement soit explicitement donné.

Votre politique de confidentialité doit comporter un lien ou une section sur les cookies qui explique ces détails, et de nombreux sites web l'associent à une politique de cookies dédiée. politique de cookies ou une bannière de consentement.

Loi européenne sur l'IA

La loi européenne sur l'intelligence artificielle (IA) est une nouvelle réglementation qui vise à garantir que les systèmes d'IA sont développés et utilisés de manière responsable. Bien qu'elle vise principalement les applications d'IA à haut risque, elle a également un impact sur la transparence du traitement des données.

Si votre entreprise utilise l'IA pour prendre des décisions, analyser des comportements ou personnaliser des expériences, votre politique de confidentialité doit le mentionner :

• Quand et comment les systèmes d'IA sont-ils utilisés ?
• Si le système d'IA est utilisé pour la reconnaissance des émotions ou la catégorisation biométrique
• Si le système d'IA génère un contenu "deep fake" ou manipule un texte d'intérêt public, vous devez indiquer que le contenu est généré artificiellement.
• Quelles sont les données sur lesquelles ils s'appuient ?
• Les mesures que vous prenez pour garantir l'équité et la surveillance humaine, ainsi que vos mécanismes d'examen humain.

L'ajout d'une brève déclaration sur l'utilisation de l'IA permet de démontrer la responsabilité et s'aligne sur les principes de transparence de la loi sur l'IA.

IAB TCF v2.2

Le cadre de transparence et de consentement de l'Interactive Advertising Bureau (IAB TCF v2.2) est un cadre volontaire conçu pour aider les éditeurs et les publicitaires à gérer le consentement des utilisateurs conformément au RGPD et à la directive sur la vie privée et les communications électroniques.

La participation au TCF peut simplifier les flux de travail liés à la conformité des technologies publicitaires, mais ne garantit pas en soi le respect des lois sur la protection des données.

Les entreprises qui utilisent des publicités en ligne ou qui travaillent avec des partenaires techniques peuvent utiliser le TCF pour normaliser la manière dont le consentement est recueilli et partagé.

Termly s'inscrit dans ce cadre, en aidant les sites web à afficher des bannières de cookies et à enregistrer un consentement valide conformément aux normes de l'IAB.

SOC2

SOC 2 (Service Organization Control 2) est une autre norme d'attestation volontaire des États-Unis et n'est pas une exigence légale dans l'UE.

Toutefois, ce cadre peut renforcer la confiance et montrer comment les entreprises gèrent les données des clients sur la base de cinq "principes de confiance" :

• Sécurité
• Disponibilité
• Intégrité du traitement
• Confidentialité
• Vie privée

Bien qu'elle ne soit pas légalement requise dans l'UE, la certification SOC 2 témoigne de pratiques solides en matière de gestion des données. L'inclusion de SOC 2 ou de mesures de sécurité similaires dans votre politique de confidentialité peut renforcer la confiance des utilisateurs, en particulier pour les entreprises SaaS et celles qui s'appuient sur des données.

Les éléments d'une politique de protection de la vie privée conforme aux exigences de l'UE

Vous trouverez ci-dessous les éléments clés que doit contenir toute politique européenne de protection de la vie privée.

Introduction

L'introduction de votre politique de confidentialité donne le ton de la transparence et aide les utilisateurs à comprendre qui vous êtes, ce que la politique couvre et comment vous contacter au sujet de leurs données.

Au minimum, il devrait le faire :

• Identifiez le nom et l'adresse de votre organisation
• Expliquer l'objectif et le champ d'application de la politique
• Inclure la date d'entrée en vigueur
• Nommez le responsable du traitement des données et indiquez une adresse électronique de contact pour les questions relatives à la protection de la vie privée.
• Pour les responsables de traitement non européens soumis au RGPD (c'est-à-dire à l'article 3, paragraphe 2, du RGPD), indiquez les coordonnées de votre représentant dans l'UE conformément à l'article 27 du RGPD.

Vous trouverez ci-dessous l'avis de confidentialité deTermly, qui montre comment communiquer ces informations de manière claire et accessible.

Ce type d'introduction donne d'emblée aux utilisateurs un contexte essentiel. Le fait de rester simple et d'être écrit en langage clair permet de respecter les normes de transparence RGPD et d'instaurer la confiance dès la première ligne.

Base juridique de la collecte et du traitement des données

Dans le cadre du RGPDtoute organisation qui collecte ou traite des données à caractère personnel de résidents de l'UE doit identifier une base légale pour le faire.

Les six bases légales du RGPD sont les suivantes :

• Consentement : La personne a clairement donné son accord pour que vous traitiez ses données dans un but précis, par exemple en s'inscrivant à un bulletin d'information.
• Contrat : le traitement des données est nécessaire à l'exécution d'un contrat, tel que la fourniture d'un produit ou d'un service acheté.
• Obligation légale : Vous êtes tenu par la loi de traiter les données (comme la tenue de dossiers fiscaux ou d'emploi).
• Intérêts légitimes : Vous avez une raison commerciale valable de traiter les données qui ne l'emporte pas sur les droits de l'utilisateur (par exemple, prévenir la fraude ou améliorer la fonctionnalité du site web). Il doit être "clairement et précisément articulé" et "réel et présent, et non spéculatif".
• Intérêts vitaux : Le traitement est nécessaire pour protéger la vie d'une personne (rare dans la plupart des contextes commerciaux).
• Tâche publique : Le traitement est nécessaire à l'exécution d'une tâche d'intérêt public (s'applique généralement aux organisations gouvernementales).

Lorsque vous rédigez votre politique de protection de la vie privée, précisez laquelle de ces bases s'applique à chaque type de données que vous collectez et pourquoi.

La meilleure pratique consiste à lier chaque finalité du traitement à une base légale spécifique (par exemple, l'inscription à la lettre d'information à un consentement, les achats à un contrat, etc.)

Par exemple, la politique de confidentialité de Spotify énumère clairement les bases juridiques sur lesquelles elle s'appuie pour le traitement des données. En voici un extrait.

Cet exemple montre comment vous pouvez regrouper vos activités de traitement sous différentes bases légales tout en gardant un langage concis et facile à comprendre.

Quelles sont les données collectées ?

L'une des pierres angulaires de la RGPD est la transparence concernant les types de données que vous collectez.

Votre politique de protection de la vie privée doit énumérer clairement les catégories de données à caractère personnel que vous traitez et expliquer brièvement comment vous les collectez, que ce soit directement auprès des utilisateurs, par le biais de technologies automatisées ou auprès de tiers.

Soyez précis. Évitez les formulations génériques telles que "nous pouvons collecter des informations".

Les types de données les plus courants sont les suivants

• Identifiants personnels : Noms, adresses électroniques, numéros de téléphone, adresses postales
• Informations sur le compte : Identifiants de connexion, détails du profil et préférences
• Données de paiement : Adresses de facturation, informations sur les méthodes de paiement ou relevés de transactions.
• Données techniques : Adresses IP, type de navigateur, système d'exploitation et identifiants de l'appareil
• Données d'utilisation : Comment les utilisateurs interagissent avec votre site web, votre application ou vos courriels.
• Cookies et données de suivi : Informations collectées par le biais de l'analyse, de la publicité ou de l'intégration des médias sociaux.

Si vous traitez des données sensibles, telles que des informations biométriques, médicales ou politiques, vous devez l'indiquer explicitement et expliquer les garanties supplémentaires que vous appliquez.

Votre objectif est de donner aux utilisateurs une idée claire des données que vous collectez et des raisons pour lesquelles vous le faites. Évitez les formulations vagues telles que "nous pouvons collecter des informations". Soyez plutôt aussi précis que possible.

Vous trouverez ci-dessous la politique de confidentialité d'Airbnb, qui présente les types de données collectées dans des sections simples et organisées.

Cet exemple montre comment présenter clairement les catégories de données et regrouper les informations connexes, afin de faciliter la navigation et la compréhension de la section.

Politique de stockage et de conservation des données

En vertu du RGPD, les entreprises sont tenues d'expliquer combien de temps elles conservent les données à caractère personnel et ce qui détermine cette durée. Cela permet aux utilisateurs de comprendre comment le cycle de vie de leurs données est géré, de la collecte à la suppression.

Votre police doit comprendre

• Comment et où les données sont stockées (par exemple, sur des serveurs sécurisés, dans le nuage ou par l'intermédiaire de fournisseurs tiers)
• Durée de conservation des différentes catégories de données
• Les critères utilisés pour déterminer les périodes de conservation (par exemple, les exigences légales, les besoins opérationnels)
• Que se passe-t-il lorsque les données ne sont plus nécessaires (par exemple, anonymisation ou suppression) ?

N'oubliez pas de donner des exemples concrets, tels que "les données de facturation sont conservées 7 ans pour des raisons de conformité fiscale, les données de marketing sont supprimées 12 mois en l'absence d'opt-out".

Évitez de dire que les données sont conservées "aussi longtemps que nécessaire" sans autre contexte.

Au lieu de cela, vous devez indiquer la période de conservation spécifique (par exemple, "6 mois") ou, si cela n'est pas possible, les "critères utilisés pour déterminer cette période" (par exemple, "la durée de l'abonnement de l'utilisateur plus une période d'un an pour résoudre les réclamations légales").

Par exemple, la déclaration de confidentialité de Microsoft donne un aperçu clair de ses pratiques de conservation. Vous verrez ci-dessous comment elle précise les périodes de conservation en fonction du cas d'utilisation.

Cet exemple montre comment aller au-delà des déclarations vagues et donner aux utilisateurs un aperçu transparent des pratiques de conservation.

En décrivant clairement la durée de conservation des données et le raisonnement qui la sous-tend, votre politique fait preuve de responsabilité et contribue à instaurer un climat de confiance avec votre public.

Clause sur les transferts de données

Une clause de transfert de données explique comment et quand des données à caractère personnel peuvent être partagées ou transmises entre des parties, que ce soit au sein de votre organisation ou avec des fournisseurs de services, mais surtout lorsqu'elles sont transférées au-delà des frontières géographiques, c'est-à-dire en dehors de l'Espace économique européen (EEE).

En vertu du RGPD, les transferts vers un pays tiers sont limités par le chapitre V du RGPD et cette section permet de démontrer que votre entreprise exerce un contrôle strict sur la manière dont les données sont transférées, en veillant à ce qu'elles soient toujours traitées de manière sûre et licite.

Si les données quittent l'EEE, vous devez préciser le mécanisme que vous utilisez, tel que la décision d'adéquation, les clauses contractuelles types (CCN) ou les règles d'entreprise contraignantes. Notez également que des garanties supplémentaires peuvent s'appliquer conformément à l'article 46 du RGPD.

En outre, votre politique doit décrire

• Quand et pourquoi les données à caractère personnel peuvent être transférées
• les personnes avec lesquelles les données peuvent être partagées (telles que les affiliés ou les vendeurs tiers)
• les garanties mises en place pour protéger ces données pendant le transfert (par exemple, le cryptage, les accords contractuels ou les mécanismes juridiques approuvés)
• Comment les utilisateurs peuvent-ils vous contacter pour obtenir plus d'informations sur ces transferts ?

Cette clause permet d'atténuer les risques tels que les violations de données et la non-conformité, tout en garantissant aux utilisateurs que leurs informations personnelles restent protégées, quel que soit l'endroit où elles sont traitées ou stockées.

Morgan Lewis donne un bon exemple de la manière de communiquer clairement sur ce point dans sa politique de protection de la vie privée ci-dessous.

Cet exemple montre comment équilibrer la transparence et l'assurance en fournissant un lien vers la liste des sites et en expliquant les raisons des transferts de données.

Cookies et autres traceurs

Les cookies et les technologies de suivi similaires jouent un rôle majeur dans la manière dont les sites web collectent et analysent les données des utilisateurs.

Vous devez faire une distinction claire entre les cookies essentiels et non essentiels et fournir un lien vers votre politique de cookies et/ou votre centre de préférences en matière de cookies.

En vertu de la loi européenne sur les cookies et du RGPD, vous êtes tenu d'expliquer clairement comment ces outils sont utilisés et de permettre aux utilisateurs d'exercer un contrôle significatif sur ceux-ci.

Votre politique de confidentialité (ou politique de cookies) doit comprendre les éléments suivants :

• les types de cookies ou de traceurs que vous utilisez (par exemple, essentiels, analytiques, marketing)
• Pourquoi vous les utilisez (par exemple, pour mémoriser vos préférences ou améliorer les performances du site).
• si des tiers placent des cookies par l'intermédiaire de votre site
• la manière dont les utilisateurs peuvent gérer ou retirer leur consentement, qui doit être obtenu avant l'installation de tout traceur non essentiel.

Il est également conseillé de créer et d'inclure un lien vers votre politique de cookiesafin que les utilisateurs puissent facilement accéder à des informations détaillées ou ajuster leurs paramètres.

Shopify est un exemple de la manière de présenter clairement l'utilisation des cookies et de renvoyer les utilisateurs à de plus amples informations dans sa politique de confidentialité, présentée ci-dessous.

Cet exemple montre comment être transparent sans submerger les lecteurs. En résumant brièvement les pratiques en matière de cookies et en renvoyant les utilisateurs à une politique de cookies détaillée, Shopify concilie conformité et clarté, ce qui constitue une bonne pratique pour tout site web en contact avec l'Union européenne.

Droits de la personne concernée

En vertu du RGPD, les individus, appelés personnes concernées, disposent de plusieurs droits qui leur permettent de contrôler leurs informations personnelles. Votre politique de confidentialité doit énumérer clairement ces droits et expliquer comment les utilisateurs peuvent les exercer.

Les principaux droits sont les suivants :

• Droit d'accès : Les utilisateurs peuvent demander une copie des données personnelles que vous détenez à leur sujet.
• Droit de rectification : Les utilisateurs peuvent demander la rectification d'informations inexactes ou incomplètes.
• Droit à l'effacement (droit à l'oubli) : Les utilisateurs peuvent demander la suppression de leurs données personnelles dans certaines circonstances.
• Droit de restreindre le traitement : Les utilisateurs peuvent limiter l'utilisation de leurs données.
• Droit à la portabilité des données : Les utilisateurs peuvent obtenir une copie de leurs données personnelles pour les utiliser dans différents services.
• Droit d'opposition : Les utilisateurs peuvent s'opposer à certains types de traitement, tels que le marketing direct.
• Droit de retirer son consentement : Les utilisateurs peuvent retirer leur consentement à tout moment lorsque le traitement est fondé sur le consentement.

Votre politique de confidentialité doit expliquer comment les utilisateurs peuvent soumettre une demande d'accès aux données (DSAR), c'est-à-dire une demande formelle d'accès, de modification ou de suppression de leurs données.

En vertu du RGPD, les entreprises doivent répondre sans retard injustifié et au plus tard dans un délai d'un mois, en fournissant des réponses claires, complètes et sûres.

La gestion manuelle des DSAR peut s'avérer complexe et lente. Une solution de DSAR permet de centraliser les demandes, de confirmer l'identité de l'utilisateur et de suivre les réponses, afin que les entreprises restent organisées et respectent les délais fixés par RGPD

Apple expose clairement les droits des personnes concernées et fournit aux utilisateurs un moyen pratique de les exercer dans sa politique de confidentialité ci-dessous.

Cet exemple montre comment combiner clarté et accessibilité. Apple énumère les principaux droits en langage clair et fournit immédiatement un point de contact pour que les utilisateurs puissent agir.

Coordonnées de votre entreprise

Toute politique européenne de protection de la vie privée doit se terminer par une section de contact claire et accessible. Cette partie de votre politique indique aux utilisateurs comment vous joindre s'ils ont des questions, des inquiétudes ou s'ils veulent exercer leurs droits en matière de données.

Au minimum, inclure :

• Nom légal complet de votre entreprise
• Votre adresse professionnelle
• Un courriel de contact pour les questions relatives à la protection de la vie privée
• Les coordonnées du délégué à la protection des données (DPD), le cas échéant

Vous pouvez également créer un lien vers votre formulaire DSAR afin de permettre aux utilisateurs de vous contacter en toute sécurité.

La politique de confidentialité de Canva en est un bon exemple : elle comprend une section de contact simple et bien organisée, comme le montre la capture d'écran ci-dessous.

Cet exemple illustre les meilleures pratiques pour les organisations internationales.

Canva ne se contente pas de fournir une adresse électronique directe et une adresse physique, mais nomme également ses représentants dans l'UE et au Royaume-Uni et inclut des liens vers des formulaires de demande de données, ce qui permet aux utilisateurs de n'importe quelle région de contacter facilement la bonne partie.

Où afficher votre politique européenne de protection de la vie privée

Même la politique de confidentialité la plus complète n'aidera pas votre entreprise si les utilisateurs ne peuvent pas la trouver. En vertu du RGPD, les politiques de confidentialité doivent être facilement accessibles partout où des données personnelles sont collectées. Les utilisateurs peuvent ainsi savoir comment leurs informations seront utilisées avant de les partager.

Votre politique de confidentialité doit être disponible à des endroits clés de votre site web ou de votre application, notamment :

Le fait de rendre votre politique de confidentialité accessible à ces endroits ne favorise pas seulement la conformité, mais montre également aux utilisateurs que votre entreprise accorde de l'importance à l'ouverture et à la responsabilité.

Politique de confidentialité de l'UE vs. politique de politique de cookies: Pourquoi vous avez besoin des deux

Une politique de confidentialité et une politique de cookies peuvent sembler similaires, mais elles ont toutes deux des objectifs distincts et jouent un rôle clé en matière de transparence.

Votre politique de protection de la vie privée donne un aperçu général de la manière dont votre entreprise collecte, utilise, partage et protège les données à caractère personnel. Elle couvre tous les types d'informations que vous traitez, des détails du compte aux données de paiement.

A politique de cookiesen revanche, se concentre spécifiquement sur les technologies de suivi utilisées sur votre site web. Elle explique quels sont les cookies actifs, ce qu'ils font, qui les met en place et comment les utilisateurs peuvent gérer leurs préférences.

L'existence de ces deux documents permet aux utilisateurs de trouver plus facilement les informations dont ils ont besoin, sans avoir à se perdre dans des sections de texte trop denses. Cela montre également que votre entreprise accorde de l'importance à la clarté et au contrôle par l'utilisateur, deux éléments essentiels pour instaurer la confiance en ligne.

Comment Termly aide les entreprises à élaborer une politique de confidentialité conforme à l'UE

L'élaboration d'une politique de confidentialité conforme aux normes de l'UE peut sembler compliquée, en particulier lorsque votre entreprise recueille des données sur plusieurs points de contact.

Les Termlyarticle Générateur de politique de confidentialité de Termly vous aide en vous posant une courte série de questions sur votre entreprise, votre secteur d'activité et vos pratiques en matière de données. Il élabore ensuite une politique sur mesure qui s'aligne sur votre région et sur les exigences légales.

Il vous permet également d'effectuer facilement des mises à jour au fur et à mesure que les lois changent afin que votre politique reste exacte.

Avec Termly, les entreprises peuvent gagner du temps, minimiser le travail manuel de mise en conformité et fournir en toute confiance des politiques qui favorisent la confiance et la transparence.

En savoir plus sur l'auteur

Écrit par Hanna De La Garza

Hanna est rédactrice de contenu chez Termly, où elle crée des ressources attrayantes sur la confidentialité des données, la gestion des consentements, les mises à jour réglementaires et plus encore. Elle s'attache à rendre des sujets complexes accessibles aux chefs d'entreprise et contribue à la fois aux nouvelles initiatives de contenu et aux mises à jour des documents existants afin d'en assurer l'exactitude et la clarté.

En savoir plus sur l'auteur

Révisé par Teodor Stanciu, CIPP/E, CIPM Coordinateur juridique et DPD