Drapeaux rouges de la politique de protection de la vie privée : Comment repérer une mauvaise politique de confidentialité

Qu'il s'agisse d'une formulation vague, d'une mauvaise mise en forme ou d'informations manquantes, une mauvaise politique de protection de la vie privée peut nuire à votre crédibilité et mettre votre entreprise en péril.

Dans ce guide, je vous présente quelques signaux d'alerte à éviter en matière de politique de protection de la vie privée et je vous montre ce que les bonnes politiques font différemment.

Table des matières

1. Principaux signaux d'alerte concernant la politique de confidentialité et comment les éviter
2. Besoin d'aide pour résoudre ces problèmes ? Termly vous couvre

Principaux signaux d'alerte concernant la politique de confidentialité et comment les éviter

Qu'est-ce qui fait qu'une politique de protection de la vie privée est "mauvaise" ?

Il ne s'agit pas toujours du contenu de la politique. Parfois, il s'agit de ce qui manque, de ce qui n'est pas clair ou de la façon dont la politique est présentée.

Vous trouverez ci-dessous six des signaux d'alerte les plus courants que nous rencontrons aujourd'hui dans les politiques de protection de la vie privée, ainsi que des conseils pour vous aider à les résoudre ou à les éviter.

Drapeau rouge n° 1 : Le texte est trop long, trop court ou difficile à lire

Certaines politiques de protection de la vie privée couvrent à peine l'essentiel, se limitant à quelques phrases vagues. D'autres vont à l'extrême opposé, empilant page après page un texte juridique dense, sans pause, sans structure claire et sans tenir compte de l'expérience du lecteur.

Qu'elles soient excessives, insuffisantes ou tout simplement difficiles à regarder, ces politiques ont une chose en commun : elles font fuir les lecteurs.

Une politique trop courte est le signe d'une négligence ou d'une approche incomplète des pratiques en matière de protection de la vie privée.

Un document trop long ou mal formaté semble inaccessible, ce qui suscite des inquiétudes quant à ce qui pourrait se cacher dans les petits caractères.

Les politiques de confidentialité longues, verbeuses et difficiles à lire sont également considérées comme une violation des lois sur la protection de la vie privée en vertu du règlement général sur la protection des données (RGPD), du California Consumer Privacy Act (CCPA) et d'autres lois.

Pourquoi cela se produit-il ?

Certaines entreprises peuvent se contenter de copier et de coller des modèles de politique de confidentialité sans les adapter à leurs pratiques réelles de collecte de données.

D'autres formatent leurs politiques sous forme de documents statiques, comme des PDF, sans les adapter pour le web ou les mobiles, ce qui entraîne des mises en page exiguës, de petites polices et des sections illisibles.

Si vous envisagez d'utiliser un modèle, il est essentiel d'en trouver un qui soit à la fois efficace et personnalisable, ce qui vous permettra de créer une politique adaptée à votre entreprise et compréhensible pour les utilisateurs.

Par exemple, le modèle de politique de confidentialité deTermly est gratuit, entièrement personnalisable et téléchargeable dans différents formats.

A quoi ressemble une bonne politique de protection de la vie privée

Une bonne politique de protection de la vie privée trouvera un équilibre entre la taille et la quantité de texte, en proposant un contenu clair et structuré, suffisamment long pour couvrir ce qui est nécessaire, mais divisé en sections faciles à gérer.

Simple Mills, Inc. est un excellent exemple de politique de protection de la vie privée. Elle présente des informations détaillées sans pour autant submerger le lecteur.

Leur politique est suffisamment complète pour couvrir tout ce que les utilisateurs ont besoin de savoir, y compris

• Quelles sont les données collectées ?
• Comment l'utiliser
• Avec qui il est partagé
• Quels sont les droits des utilisateurs ?

Ils communiquent ces informations sans recourir à des répétitions inutiles ou à un langage juridique complexe.

La politique utilise une mise en page claire avec des titres de section en gras et une taille de police lisible, ce qui facilite la lecture. Chaque section est divisée en courts paragraphes, ce qui permet d'éviter la lassitude du lecteur et encourage les utilisateurs à s'intéresser au contenu.

Drapeau rouge n° 2 : Il ne donne pas d'informations sur les contacts ou ne définit pas les propriétaires

Si une politique de protection de la vie privée n'indique pas clairement qui en est l'auteur ou comment joindre l'entreprise qui en est à l'origine, il s'agit d'un problème de transparence majeur.

Les utilisateurs doivent savoir qui collecte leurs données, à qui s'applique la politique et comment ils peuvent être contactés en cas de questions ou de préoccupations.

Pourquoi cela se produit-il ?

Ce signal d'alarme peut provenir du fait que les entreprises considèrent les politiques de protection de la vie privée comme des documents uniques.

Au lieu de personnaliser le contenu pour refléter leurs activités spécifiques, ils peuvent omettre complètement les informations de contact.

Dans d'autres cas, les entreprises ne se rendent pas compte que certaines lois sur la protection de la vie privée exigent qu'elles incluent des informations de contact dans leur politique de protection de la vie privée, notamment les suivantes :

• Règlement général sur la protection des donnéesRGPD
• Loi californienne sur la protection de la vie privée des consommateurs (CCPA)/Loi californiennesur les droits à la vie privée (CPRA)
• Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
• Autres lois des États américains

L'absence d'informations de contact peut vous mettre en porte-à-faux par rapport à ces réglementations et laisser les utilisateurs frustrés ou incapables de faire valoir leurs droits.

A quoi ressemble une bonne politique de protection de la vie privée

Une politique de confidentialité efficace ne laissera pas les utilisateurs se demander qui est responsable de leurs données :

• Nom de l'entreprise,
• Définir le champ d'application de la politique, et
• Proposez une méthode de contact dédiée, comme une adresse électronique, un numéro de téléphone ou un formulaire de contact.

Par exemple, le service postal des États-Unis inclut dans sa politique de protection de la vie privée une section intitulée "Where to Submit Inquiries", qui fournit des informations de contact claires pour les questions ou les plaintes relatives à la protection de la vie privée.

La politique explique également que les demandes seront examinées, répondues et traitées de manière confidentielle, démontrant ainsi l'engagement de l'USPS en faveur de la transparence et de la responsabilité.

Drapeau rouge n° 3 : Il recueille beaucoup de données (ou est très vague)

Les entreprises qui demandent à collecter trop de données inutiles dans leur politique de protection de la vie privée constituent un signal d'alarme.

Une politique de protection de la vie privée qui prétend recueillir une liste de tous les types de données possibles peut être perçue comme intrusive et excessive. Elle est aussi potentiellement illégale.

En vertu du RGPD et des lois sur la protection de la vie privée en vigueur dans les États américains, les responsables du traitement des données ne peuvent collecter que les informations nécessaires à la réalisation des objectifs énoncés directement dans la politique de protection de la vie privée.

Pire encore, lorsqu'une politique dit quelque chose de vague comme "Nous collectons vos informations pour améliorer nos services", les utilisateurs se demandent ce qu'il advient de leurs données.

Un manque de clarté sur les raisons pour lesquelles vous collectez des informations personnelles peut également entraîner le non-respect de lois telles que le RGPD et la CCPA, qui exigent des entreprises qu'elles expliquent l'objectif de la collecte de données d'une manière compréhensible pour les utilisateurs.

Pourquoi cela se produit-il ?

Dans certains cas, les entreprises peuvent essayer de couvrir leurs besoins en incluant de longues listes de types de données sans les lier à des utilisations spécifiques.

D'autres peuvent emprunter les termes d'un modèle générique ou de la politique d'un autre site web sans vérifier s'ils reflètent fidèlement leurs pratiques.

Il est également possible que les entreprises ne réalisent pas qu'elles ne sont pas légalement autorisées à collecter autant de données qu'elles le souhaitent juste pour le plaisir.

Quoi qu'il en soit, le fait de collecter trop de données ou de rester vague sur les raisons qui vous poussent à le faire constitue un signal d'alarme majeur en matière de protection de la vie privée.

A quoi ressemble une bonne politique de protection de la vie privée

Les politiques de protection de la vie privée solides énumèrent les données collectées dans un format clair et expliquent également pourquoi elles le sont.

Pour chaque catégorie d'informations, elle doit indiquer clairement la finalité et, le cas échéant, faire référence à la base juridique du traitement des données.

L'avis global de confidentialité de Visa est un bon exemple d'une politique de confidentialité qui énumère bien les données. Il décrit des dizaines de catégories d'informations personnelles, notamment :

• Détails de la transaction
• Géolocalisation
• Identifiants biométriques
• Données comportementales déduites

En plus d'informer les utilisateurs de ces types de collecte de données, ils expliquent chaque finalité, du traitement des paiements et de la détection des fraudes au respect des obligations légales et à la fourniture de services personnalisés.

En tant que société de paiement internationale traitant des informations sensibles, Visa a une responsabilité claire en matière de transparence. Son niveau de spécificité aide les utilisateurs à comprendre exactement ce qui est collecté et pourquoi, ce qui est particulièrement important pour une entreprise dans sa position.

Drapeau rouge n°4 : Il se contredit lui-même

Une politique de protection de la vie privée qui dit une chose dans une section et le contraire dans une autre crée la confusion et érode la confiance.

Il est trompeur de constater qu'une section de la politique de confidentialité affirme "Nous n'utilisons pas de données personnelles à des fins de marketing", alors qu'une autre énumère des cookies de marketing.

Ce type de contradictions suggère que l'approche en matière de protection de la vie privée a été élaborée sans examen approfondi et pourrait même suggérer que la politique est en violation des lois sur la protection de la vie privée.

Pourquoi cela se produit-il ?

Cela peut se produire pour plusieurs raisons. Par exemple, lorsque les entreprises mettent à jour une partie de leur politique, elles peuvent oublier d'en mettre d'autres à jour, ce qui peut entraîner des lacunes et des contradictions dans le texte.

Dans d'autres cas, les équipes peuvent ne pas être alignées sur les pratiques en matière de données, ce qui donne lieu à des messages contradictoires sur ce qui est fait ou non avec les données des utilisateurs.

Voici un exemple concret. Une étude réalisée en 2019 par l'université de Berkley a cherché à explorer les contradictions des politiques de confidentialité des applications :

• Après avoir analysé 8 030 applications "Designed For Families" (DFF),
• Ils ont constaté que 9,1 % d'entre eux affirmaient que leurs applications n'étaient pas destinées aux enfants.
• Par ailleurs, 30,6 % des personnes interrogées ont déclaré ne pas savoir que les données provenaient d'enfants.

Ce type d'ambiguïté sape la confiance des utilisateurs et risque d'entraîner le non-respect de réglementations strictes, en l'occurrence la loi sur la protection de la vie privée des enfants en ligne (Children's Online Privacy Protection Act - COPPA).

A quoi ressemble une bonne politique de protection de la vie privée

Des politiques de protection de la vie privée solides sont cohérentes au niveau interne.

Ils utilisent une terminologie coordonnée dans toutes les sections, comme "cookies", "partage avec des tiers", "marketing" et "droits de l'utilisateur", et expliquent clairement les schémas d'utilisation des données.

En outre, une politique de protection de la vie privée solide doit refléter fidèlement les comportements réels de l'entreprise en matière de traitement des données.

Figma est un bon exemple de politique de confidentialité qui ne se contredit pas.

Leur politique est bien organisée, utilise un langage cohérent et relie chaque type de données à son objectif et à sa base juridique.

S'il peut sembler banal qu'une politique se contente d'éviter les contradictions, ce qui la distingue, c'est la manière dont elle parvient à cette cohérence.

Le contenu de l'ensemble du document reflète une coordination réfléchie entre les pratiques et les objectifs de Figma, ce qui réduit le risque de déclarations contradictoires.

Drapeau rouge n° 5 : Il n'a pas été mis à jour depuis des années

Si une politique de confidentialité n'a pas été mise à jour depuis des années, il y a de fortes chances qu'elle ne reflète plus les activités du site web. Il s'agit là d'un véritable signal d'alarme.

Les attentes et les lois en matière de protection de la vie privée sont en constante évolution. Il en va de même pour la technologie, comme notre accès soudain à l'IA. Les pratiques des entreprises en matière de confidentialité des données doivent également évoluer en conséquence.

Les politiques obsolètes peuvent mentionner des outils que vous n'utilisez plus ou négliger des pratiques plus récentes en matière de données.

Même une chose aussi simple que l'absence de la date de "dernière mise à jour" peut donner l'impression qu'une politique est négligée, déclencher des signaux d'alarme et suggérer une violation potentielle de la législation.

Pourquoi cela se produit-il ?

Parfois, les entreprises traitent les politiques de confidentialité comme des documents uniques, les publiant une fois et les oubliant.

Le fait de ne pas tenir votre politique à jour peut entraîner la méfiance des utilisateurs ou des problèmes réglementaires si vos pratiques ont changé et que votre politique n'est plus en phase avec elles.

A quoi ressemble une bonne politique de protection de la vie privée

IKEA, dont la politique de confidentialité est illustrée ci-dessous, est un exemple d'entreprise qui veille à ses pratiques en matière de protection de la vie privée et affiche clairement la "date de la dernière mise à jour".

IKEA indique clairement la date de la "dernière mise à jour" en haut de la politique, ce qui montre qu'elle a été récemment mise à jour. Cela souligne l'engagement d'IKEA en faveur de la transparence et de l'information des utilisateurs, et montre que l'entreprise révise et actualise activement ses pratiques en matière de données.

En fin de compte, une politique de protection de la vie privée n'est pas un document que l'on met en place et que l'on oublie.

Le fait de le tenir à jour montre que vous prenez les données des utilisateurs au sérieux et vous aide à rester en phase avec l'évolution des lois et des normes du secteur.

Drapeau rouge n° 6 : Il est clairement généré par l'IA

Les outils d'IA peuvent être utiles pour le brainstorming ou la rédaction d'idées, mais s'en remettre à eux pour rédiger l'intégralité de votre politique de protection de la vie privée est un signal d'alarme majeur.

De nombreuses politiques de confidentialité générées par l'IA contiennent des termes vagues et génériques qui peuvent ne pas refléter fidèlement vos pratiques commerciales.

Pire encore, les outils d'IA sont connus pour leurs hallucinations, ce qui signifie qu'ils peuvent inventer des exigences légales, citer des lois inexistantes ou faire des déclarations qui ne sont ni vraies ni applicables.

Pourquoi cela se produit-il ?

La plupart des outils d'IA ne sont pas formés spécifiquement aux lois actualisées sur la protection de la vie privée. Ils n'ont pas non plus la possibilité de comprendre les nuances de la manière dont votre entreprise collecte et traite les données à caractère personnel.

En l'absence de contrôle juridique, de révision, de plusieurs cycles d'édition et de conseils, ils peuvent facilement produire un contenu trompeur, faux et inexact qui met votre entreprise en danger.

A quoi ressemble une bonne politique de protection de la vie privée

Des politiques de protection de la vie privée solides sont adaptées à votre entreprise, juridiquement exactes et cohérentes avec vos pratiques actuelles de collecte de données.

Si vous n'êtes pas sûr des signes indiquant qu'une politique a été générée par l'IA, voici ce qu'il faut rechercher et éviter :

• Phrases répétitives ou vagues
• Fausses lois ou citations erronées
• Contradictions entre les sections
• Une structure qui semble déconnectée de votre activité.
• Informations erronées (hallucinations)

Si vous cherchez un exemple de politique claire et fiable, élaborée avec un véritable contrôle juridique, consultez l'avis de confidentialité deTermly.

Elle est rédigée et régulièrement révisée par notre équipe juridique et nos experts en matière de confidentialité des données, de sorte que nos utilisateurs peuvent être sûrs qu'elle reflète les lois et les pratiques actuelles en matière de protection de la vie privée.

Ce type de politique vérifiée par des experts permet non seulement d'éviter les signaux d'alerte habituels, mais aussi de renforcer la confiance des utilisateurs et de veiller à ce que votre site reste conforme à l'évolution des normes en matière de protection de la vie privée.

Besoin d'aide pour résoudre ces problèmes ? Termly vous couvre

La rédaction d'une politique de protection de la vie privée claire et fiable peut sembler insurmontable, notamment en raison des changements de législation, de l'évolution des outils et des attentes élevées des utilisateurs.

Mais vous ne devez pas vous y attaquer seul.

Termlygratuits Générateurivacy Policy Generator gratuit de Termly facilite l'élaboration d'une politique personnalisée qui s'adapte à votre site Web et permet à vos utilisateurs d'être informés.

Notre générateur vous guide à travers les questions clés pour vous assurer que votre politique couvre l'essentiel et vous permet de publier facilement la politique complétée sur votre site web.

Il est soutenu par notre équipe juridique et nos experts en matière de confidentialité des données, et nous le mettons régulièrement à jour pour qu'il reste en phase avec l'évolution constante du paysage juridique en matière de confidentialité des données.

Si vous souhaitez en savoir plus avant de vous lancer, consultez notre guide sur les meilleures pratiques en matière de politique de confidentialité pour obtenir des conseils et des exemples clairs qui vous aideront à bien faire les choses.

En savoir plus sur l'auteur

Écrit par Hanna De La Garza

Hanna est rédactrice de contenu chez Termly, où elle crée des ressources attrayantes sur la confidentialité des données, la gestion des consentements, les mises à jour réglementaires et plus encore. Elle s'attache à rendre des sujets complexes accessibles aux chefs d'entreprise et contribue à la fois aux nouvelles initiatives de contenu et aux mises à jour des documents existants afin d'en assurer l'exactitude et la clarté.

En savoir plus sur l'auteur

Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial