À mesure que le monde devient plus dépendant des produits et services numériques, les pays et régions sont plus nombreux à faire de la protection des données l’une de leurs principales priorités. Par conséquent, de nombreuses régions ont mis en place des règles robustes et opposables en matière de données auxquelles les sociétés sont tenues de se conformer.
Dans la plupart des cas, une violation de ces règles peut engendrer non seulement d’importantes conséquences financières, mais aussi une atteinte durable et significative à la confiance du public et à la réputation de votre organisation. Il est donc important de vous assurer que votre société satisfait ses obligations légales.
Exigences légales générales
Principales exigences
En vertu de la grande majorité des législations en la matière, lorsque vous traitez des données personnelles, vous êtes généralement tenu de communiquer certaines informations sur vos activités de traitement de données par le biais d’une politique de confidentialité exhaustive, de mettre en place des mesures de sécurité efficaces pour protéger les données personnelles et de mettre en œuvre des moyens techniques pour recueillir le consentement des utilisateurs ou en permettre le retrait.
Ces informations sur la confidentialité doivent être à jour, compréhensibles, dénuées d’ambiguïté et faciles d’accès dans l’ensemble du site Web ou de l’application. Certaines exigences peuvent varier selon le type d’activité de traitement, la région, l’âge de l’utilisateur ou le type de société. Il convient donc de noter qu’en plus des obligations générales présentées ici, d’autres responsabilités pourraient vous incomber en fonction de la législation qui vous est applicable. Les sections suivantes présentent des informations relatives à des situations plus précises.
Communication
De façon générale, vous devez communiquer aux utilisateurs :
- les coordonnées du propriétaire du site Web ou de l’application ;
- la date de prise d’effet de votre politique de confidentialité ;
- votre processus de notification des modifications de votre politique ;
- les types de données recueillis ;
- les noms des tiers qui ont accès aux données des utilisateurs ainsi que les types de données auxquels ces tiers ont accès ;
- les droits dont les utilisateurs disposent à l’égard de leurs données.
Vous pouvez également être tenu de communiquer des informations supplémentaires aux utilisateurs, aux tiers et à l’autorité de contrôle en fonction de la législation qui vous est applicable.
Prenons pour exemple la loi de la Californie sur la vie privée des consommateurs, le California Consumer Privacy Act (CCPA). En vertu de la CCPA, les utilisateurs doivent être informés, en particulier, de la possibilité que leurs données soient vendues (c’est-à -dire « partagées avec des tiers pour en retirer un bénéfice, notamment financier »). Ces informations doivent être affichées clairement sur la page d’accueil du site et inclure un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) permettant aux utilisateurs de refuser la vente de leurs données. Pour en savoir plus sur la mise en conformité avec la CCPA, cliquez ici.
Consentement
Le consentement désigne ici l’accord éclairé et volontaire d’un utilisateur à un événement ou processus précis.
Pour faire simple, les utilisateurs doivent être en mesure de refuser, retirer ou donner (en fonction de la législation en vigueur dans la région concernée) leur consentement. Pour obtenir le consentement de l’utilisateur, vous pouvez employer tout moyen qui nécessite qu’il effectue un acte positif direct et vérifiable : une case à cocher, un champ de saisie de texte, un bouton à activer, un e-mail de confirmation à envoyer, etc.
Déterminer quelle législation vous est applicable
En général, les lois d’une région précise s’appliquent lorsque :
- vous êtes établi dans cette région ;
- vous utilisez des services de traitement ou des serveurs établis dans cette région ; ou
- votre service cible des utilisateurs de cette région.
Cela signifie donc que les règles d’une région peuvent vous être applicables ou s’appliquer à votre société même lorsque vous n’êtes pas établi dans cette région. C’est pourquoi il est toujours conseillé d’aborder vos activités de traitement de données en tenant compte des règles en vigueur les plus strictes. Pour en savoir plus sur les lois qui vous sont applicables, cliquez ici.
Exigences rĂ©gionales – LĂ©gislation des États-Unis
Aux États-Unis, il n’existe pas de législation nationale complète sur les données, mais de nombreuses lois au niveau des États ainsi que des directives sectorielles et des lois fédérales spécifiques. L’activité d’un site Web ou d’une application se limite rarement à un seul État, c’est pourquoi il est toujours préférable de respecter les règles en vigueur les plus strictes. Cela dit, le cadre juridique le plus robuste en matière de données est celui de l’État de Californie. La loi de la Californie sur la protection de la vie privée en ligne, le California Online Privacy Protection Act (CalOPPA), mise en œuvre en 2004, était la première loi étatique à rendre les politiques de confidentialité obligatoires. Elle s’applique à toute personne physique ou morale dont le site Web ou l’application traite les données personnelles de résidents de Californie.
En plus des informations dont la communication est généralement exigée comme nous l’avons vu ci-dessus, en vertu de la CalOPPA, vous êtes tenu de :
- publier votre politique de confidentialité de façon visible sur la page d’accueil de votre site Web ou application ;
- inclure dans votre politique de confidentialité une description du processus par lequel les utilisateurs peuvent demander la modification de leurs données personnelles (lorsque ce processus existe) ;
- inclure dans votre politique de confidentialité une déclaration sur la façon dont les signaux « Ne pas me pister » sont traités ;
- notifier aux utilisateurs concernés toute violation de sécurité qui affecte leurs données.
En ce qui concerne le consentement, le droit des États-Unis impose généralement de donner aux utilisateurs un moyen clair de retirer leur consentement (lorsqu’ils ne s’opposent pas au traitement de leurs données, c’est qu’ils y consentent). Des règles différentes s’appliquent toutefois aux « données sensibles » (p.ex. les données de santé, les rapports de solvabilité, les données des étudiants ou encore les informations personnelles des enfants de moins de 13 ans). Dans de tels cas, les utilisateurs doivent donner leur consentement par un acte positif vérifiable, comme le fait de cocher une case (lorsqu’ils ne consentent pas au traitement de leurs données, c’est qu’ils s’y opposent).
Mesures particulières concernant les enfants
Lorsque votre service recueille, utilise ou divulgue intentionnellement les informations personnelles d’enfants de moins de 13 ans, des règles particulières s’appliquent à ces activités de traitement de données.
La loi sur la protection de la vie privée en ligne des enfants, le Children’s Online Privacy Protection Act (COPPA), est une loi fédérale des États-Unis visant à mieux protéger les données personnelles et les droits des enfants de moins de 13 ans.
En vertu de cette loi, lorsque vous exploitez un site Web ou un service en ligne qui s’adresse aux enfants de moins de 13 ans, ou lorsque vous avez conscience de recueillir des informations personnelles auprès d’enfants de moins de 13 ans, vous devez en aviser les parents et obtenir leur consentement vérifiable avant de procéder à la collecte, l’utilisation ou la divulgation de ces informations, et vous devez assurer la protection des informations recueillies.
« Vérifiable » signifie ici que vous devez obtenir ce consentement par un moyen qui ne peut pas être facilement contourné par un enfant et que vous devez être en mesure de prouver que ce consentement a de fortes chances d’avoir été donné par un adulte (p.ex. contrôler une pièce d’identité délivrée par le gouvernement en consultant une base de données pertinente).
Ce que l’on entend par « informations personnelles » des enfants
Les « informations personnelles » des enfants désignent dans ce cadre :
- le nom de l’enfant ou les informations relatives à son identité (p.ex. son numéro de sécurité sociale) ;
- les informations sur l’endroit où se trouve l’enfant, y compris son adresse postale, ses données de géolocalisation ou son adresse IP ;
- les coordonnées de l’enfant, y compris son numéro de téléphone ou son adresse e-mail ;
- les identifiants des appareils de l’enfant ;
- les médias qui contiennent l’image ou la voix de l’enfant, y compris les photos, les vidéos et les fichiers audio.
💡 Plus d’informations sur les exigences légales relatives aux enfants et la loi COPPA.
Exigences rĂ©gionales – Europe
RGPD
Dans l’Union européenne, le Règlement général sur la protection des données (RGPD) a été promulgué afin de centraliser la protection des données des personnes se trouvant dans l’UE. Il est entré pleinement en vigueur en mai 2018. Le RGPD décrit les principes à respecter pour traiter les données personnelles en toute légalité (y compris les recueillir, les utiliser, les protéger ou interagir avec elles de façon générale).
Situations dans lesquelles le RGPD s’applique
Le RGPD s’applique lorsque :
- une entité est établie dans l’UE (y compris lorsque le traitement a lieu hors de l’UE) ;
- une entité établie hors de l’UE propose des biens ou des services (y compris à titre gratuit) à des personnes physiques qui se trouvent dans l’UE. Cette entité peut être une agence gouvernementale, une entreprise privée ou publique, une personne physique ou une organisation à but non lucratif ; ou
- une entité établie hors de l’UE effectue un suivi du comportement de personnes physiques qui se trouvent dans l’UE, dans la mesure où ce suivi porte sur leur comportement au sein de l’UE.
Le RGPD s’applique donc à toutes les sociétés ou presque, ce qui signifie qu’il est susceptible de s’appliquer à votre organisation même lorsque celle-ci n’est pas établie dans l’UE.
Remarque : les mesures prévues par le RGPD couvrent également les utilisateurs qui se trouvent hors de l’UE lorsque le responsable du traitement est établi dans l’UE. Si vous êtes un responsable du traitement établi dans l’UE, vous devez donc appliquer les mesures prévues par le RGPD, par défaut, à TOUS vos utilisateurs.
Situations dans lesquelles le RGPD ne s’applique pas
Le champ d’application du RGPD est délimité par des critères matériels et territoriaux. Pour déterminer si une activité de traitement particulière échappe à son champ d’application, nous devons prendre en compte deux aspects.
Champ d’application matériel
Le RGPD s’applique au traitement des données à caractère personnel. Par conséquent, il ne s’applique pas aux données sur les sociétés, telles que le nom et l’adresse d’une société. Soyez tout de même prudent, car une société emploie habituellement des « personnes physiques ». Les données qui se rapportent à ces personnes sont considérées comme des données à caractère « personnel », qu’elles soient traitées dans le cadre d’une relation entre une entreprise et un consommateur (B2C) ou entre deux entreprises (B2B).
En outre, les données personnelles sont susceptibles de ne pas relever du champ d’application du RGPD dans d’autres scénarios, y compris lorsqu’elles sont traitées par une personne physique aux fins d’une activité strictement personnelle ou domestique. Pour en savoir plus, consultez notre guide dédié disponible ici.
Champ d’application territorial
Nous avons déjà mentionné les conditions d’application du RGPD du point de vue territorial, qui s’ajoutent aux autres conditions exposées ci-dessus. Pour qu’une activité de traitement ne soit pas concernée par le RGPD du point de vue territorial, elle doit donc remplir toutes les conditions suivantes :
- le responsable du traitement (ou le sous-traitant) n’est pas établi dans l’UE. Remarque : n’oubliez jamais que le responsable du traitement (ou le sous-traitant) peut également être une succursale établie dans l’UE d’une société non établie dans l’UE. Dans ce cas, le RGPD s’applique pleinement, même lorsque la succursale n’est pas dotée de la personnalité juridique ;
- le traitement ne se rapporte ni à une offre de biens ou de services (y compris à titre gratuit) à des personnes concernées qui se trouvent dans l’UE ni au suivi de leur comportement au sein de l’UE ;
- le responsable du traitement n’est pas établi dans un endroit situé hors de l’UE où le droit de l’UE s’applique en raison du droit public international.
Vous trouverez des exemples dans notre guide dédié disponible ici.
Posez vos questions Ă nos experts en direct
Regardez nos dĂ©mos en direct et obtenez les rĂ©ponses Ă vos questions en temps rĂ©el en participant Ă l’un de nos webinars gratuits en français. Ils comportent des cas concrets et conçus pour vous aider Ă comprendre et accomplir la mise en conformitĂ© de vos sites web et applications.
Exigences du RGPD
De façon générale, le RGPD exige :
Une base juridique. En vertu du RGPD, le traitement des données utilisateur doit avoir au moins une base juridique. Le RGPD prévoit six bases juridiques.
Un consentement vérifiable. En vertu du RGPD, le consentement fait partie des bases juridiques du traitement des données utilisateur et, en tant que tel, doit être « donné librement, spécifique, éclairé et explicite ». Cela signifie que le mécanisme d’obtention du consentement doit être dénué d’ambiguïté et impliquer un acte volontaire et clair. En particulier, le RGPD interdit l’usage de cases pré-cochées et de mécanismes similaires, qui sont activés par défaut et que l’utilisateur doit désactiver s’il ne souhaite pas donner son consentement.
Le RGPD accorde également à l’utilisateur le droit de retirer son consentement ; il doit donc être aussi facile pour l’utilisateur de retirer son consentement que de le donner. En raison de la haute importance que le RGPD accorde au consentement, il est essentiel de documenter le consentement et d’en tenir un registre clair.
Votre registre des consentements devrait au moins contenir les informations suivantes :
- l’identité de l’utilisateur à l’origine du consentement ;
- le moment où il a donné son consentement ;
- les informations qui lui ont été communiquées au moment du consentement ;
- le moyen par lequel il a donné son consentement (p.ex. via un formulaire d’inscription à une newsletter ou lors d’un achat) ;
- le fait qu’il ait ou non retiré son consentement.
Le consentement n’est pas la seule base juridique sur laquelle une organisation peut traiter les données utilisateur. Les sociétés peuvent s’appuyer sur d’autres bases juridiques (prévues par le RGPD) pour effectuer une activité de traitement de données. Cela dit, il y a toujours des activités de traitement de données pour lesquelles le consentement est la seule ou la meilleure option.
De nombreuses autorités de protection des données à travers l’UE ont renforcé leurs exigences et aligné leurs règles en matière de cookies et traqueurs sur les exigences du RGPD. Plus précisément, vous devez enregistrer les préférences de vos utilisateurs et en conserver la preuve.
Le Registre des Préférences Cookies et Consentements est désormais disponible dans Privacy Controls and Cookie Solution. Cliquez ici pour plus d’informations sur la façon de l’activer dans Privacy Controls and Cookie Solution.
Droits des utilisateurs
En vertu du RGPD, les utilisateurs disposent de certains droits à l’égard de leurs données. En tant que responsable du traitement, vous devez à la fois leur fournir des informations sur les droits dont ils disposent et leur permettre d’exercer ces droits. Ces droits incluent :
- Le droit à l’information
En plus des informations dont la communication est généralement exigée comme nous l’avons vu ci-dessus, le RGPD exige que vos déclarations de confidentialité soient concises, faciles à comprendre et faciles d’accès dans l’ensemble de votre site Web ou application. - Le droit d’accès
Les utilisateurs disposent d’un droit d’accès à leurs données personnelles et à des informations sur la façon dont elles sont traitées. - Le droit de rectification
Les utilisateurs disposent d’un droit de rectification de leurs données personnelles inexactes ou incomplètes. - Le droit d’opposition
En vertu du RGPD, les utilisateurs disposent d’un droit d’opposition à certaines activités effectuées à l’égard de leurs données personnelles. - Le droit à la portabilité des données
Sous certaines conditions, les utilisateurs disposent du droit d’obtenir leurs données personnelles (dans un format lisible par machine) et de les utiliser à leurs propres fins. - Le droit à l’effacement
Lorsque les données ne sont plus nécessaires à la finalité originelle pour laquelle elles ont été recueillies ou lorsqu’ils ont retiré leur consentement au traitement, les utilisateurs ont le droit de demander l’effacement de leurs données et la cessation de la diffusion de leurs données. - Le droit à la limitation du traitement
Les utilisateurs ont le droit de demander la limitation du traitement de leurs données à caractère personnel dans des cas précis. - Les droits relatifs à la prise de décision individuelle automatisée et au profilage
Les utilisateurs ont le droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ou un profilage, lorsque cette décision produit des effets juridiques le concernant ou d’autres effets significatifs qui l’affectent de façon similaire.
Exigences spécifiques en cas de transfert de données hors de l’EEE. Le RGPD n’autorise les transferts de données des résidents de l’UE hors de l’Espace économique européen (EEE) que lorsqu’ils sont conformes aux conditions prévues.
Protection de la vie privée dès la conception et par défaut. En vertu du RGPD, la protection des données doit être intégrée dès le début de la conception et du développement des processus et des infrastructures de l’entreprise.
Divulgation des violations de sécurité. En vertu du RGPD, vous êtes tenu d’informer l’autorité de contrôle de toute violation de données affectant les données utilisateur 72 heures au plus tard après en avoir pris connaissance. Dans de nombreux cas, vous êtes également tenu d’en informer les utilisateurs affectés.
Désignation d’un DPO (lorsque certaines conditions sont réunies). Dans certaines situations, il est possible que vous soyez tenu de désigner un délégué à la protection des données (DPO) qui sera chargé de la supervision des activités de traitement et du suivi de la conformité avec le droit applicable. La désignation d’un DPO est notamment obligatoire en cas de traitement systématique et à grande échelle de données utilisateur ou en cas de traitement de catégories de données particulières (les données sensibles).
Tenue d’un registre des activités de traitement. Comme prévu à l’article 30, le RGPD exige la tenue d’un registre à jour, « complet et approfondi » de vos activités de traitement des données. Un registre complet et approfondi des activités de traitement est explicitement exigé lorsque les activités de traitement des données ne sont pas occasionnelles, lorsqu’elles pourraient engendrer un risque pour les droits et libertés des utilisateurs, lorsqu’elles impliquent le traitement de « catégories particulières de données », ou encore lorsque votre organisation compte plus de 250 employés. Cette obligation s’applique donc à tous les responsables du traitement et sous-traitants ou presque. Toutefois, même lorsque vos activités de traitement ne relèvent pas des situations décrites ci-dessus, votre devoir d’information envers les utilisateurs vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous. Pour en savoir plus sur la façon de tenir un registre conforme en tant que responsable du traitement ou sous-traitant, consultez notre guide consacré au RGPD.
Réalisation d’une AIPD (lorsque certaines conditions sont réunies). Lorsque l’activité de traitement de données est susceptible d’engendrer un risque élevé pour les utilisateurs, le RGPD exige la réalisation d’une analyse d’impact relative à la protection des données (AIPD).
đź’ˇ Pour en savoir plus sur le RGPD, cliquez ici.
Directive ePrivacy (Loi cookies)
L’utilisation des cookies implique à la fois de traiter des données utilisateur et d’installer des fichiers susceptibles d’être utilisés pour suivre les utilisateurs à la trace. Il s’agit donc d’un sujet de préoccupation majeur en matière de droits des utilisateurs à la protection de leurs données. La Directive ePrivacy (également appelée Loi cookies) a été promulguée en réponse à cette inquiétude.
En vertu de la Loi cookies, les organisations qui ciblent des utilisateurs se trouvant dans l’UE doivent fournir aux utilisateurs des informations sur leurs activités de collecte de données et leur permettre de décider s’ils les autorisent ou non. Cela signifie que, lorsque votre site ou application (ou tout service tiers utilisé par votre site ou application) utilise des cookies, vous devez obtenir le consentement valable de l’utilisateur avant l’installation de ces cookies, excepté lorsque ces cookies relèvent de la catégorie des cookies exemptés.
💡 Pour en savoir plus sur les règles de l’UE en matière de consentement aux cookies qui s’appliquent dans chaque pays, consultez notre Aide-mémoire sur le consentement aux cookies.
Bandeau cookies
En pratique, vous devez donc afficher un bandeau cookies lors de la première visite de l’utilisateur, mettre en place une politique relative aux cookies contenant toutes les informations requises, et donner aux utilisateurs les moyens de refuser le traitement (ou de retirer leur consentement à ce dernier) ou les informer de la marche à suivre. Vous ne devez installer aucun cookie (à l’exception des cookies exemptés) avant d’avoir obtenu leur consentement éclairé et explicite.
Consentement aux cookies et consentement « classique »
Comme nous l’avons mentionné plus haut, le « consentement » est l’une des six bases juridiques prévues par le RGPD. À ce titre, il doit être exprimé et documenté de façon très précise pour être jugé valable.
Mais devez-vous traiter le consentement à l’utilisation des cookies de la même façon que le consentement « classique » aux activités de traitement de données, p.ex. l’envoi d’une newsletter ?
En cas de réponse affirmative à cette question, vous devriez vous conformer à toutes les exigences relatives à la validité du consentement, même lors du dépôt des cookies. Toutefois, à l’heure actuelle, la plupart des commentateurs reconnaissent que cela serait à la fois impossible en pratique et non conforme aux intentions des législateurs de l’UE. Par conséquent, les exigences de consentement plus simples prévues par la Directive ePrivacy sont toujours considérées comme applicables au dépôt des cookies, en grande partie en raison de l’article 95 du RGPD. Toutefois, sachez que cette question fait l’objet de nombreux débats. Cette question ne sera réellement réglée que lors de l’adoption du Règlement ePrivacy, dont le développement est toujours en cours à l’heure actuelle.
Le bandeau cookies doit :
- expliquer brièvement la finalité de l’installation des cookies utilisés par le site ;
- ĂŞtre suffisament visible pour le rendre remarquable ;
- inclure un lien vers une politique relative aux cookies ou fournir des informations détaillées sur la finalité des cookies, leur utilisation et les activités tierces qui s’y rapportent ;
- indiquer clairement quels actes permettent de donner son consentement.
Politique relative aux cookies
La politique relative aux cookies doit :
- décrire en détail la finalité de l’installation des cookies ;
- lister tous les tiers qui installent ou peuvent installer des cookies, et inclure pour chacun un lien vers sa politique de confidentialité, sa politique relative aux cookies et tout formulaire de consentement ;
- informer l’utilisateur de la façon d’exercer son droit de refus ou de retrait de son consentement.
Blocage des cookies jusqu’au consentement
Conformément aux principes généraux de la législation en matière de protection de la vie privée, qui interdisent tout traitement préalable au consentement, la loi cookies interdit l’installation de cookies tant que l’utilisateur n’a pas donné son consentement. En pratique, vous devrez peut-être mettre en place un script pour bloquer les cookies jusqu’à l’obtention du consentement de l’utilisateur.
Le consentement aux cookies peut être donné par plusieurs actes
Sous réserve de la législation locale, ces actes peuvent consister à poursuivre la navigation, cliquer sur des liens ou faire défiler une page. Dans de nombreux cas, un clic sur « OK », la fermeture du bandeau cookies ou la poursuite de la navigation sur un site Web qui installe des cookies peut être considéré comme un consentement actif au dépôt de cookies, à condition que les utilisateurs aient été clairement informés à l’avance des conséquences de ces actes.
Exemptions de l’exigence de consentement
Certains cookies bénéficient d’une exemption de l’exigence de consentement et ne doivent donc pas faire l’objet d’un blocage préventif. (Toutefois, cela ne vous dispense pas de l’obligation d’informer les utilisateurs de votre utilisation des cookies, comme expliqué dans la section « Mise en garde » ci-dessous.) Les cookies exemptés sont les suivants :
- les cookies techniques strictement nécessaires à la prestation du service : les cookies de préférences, de session, d’équilibrage des charges, etc.
- les cookies statistiques que vous gérez directement (et non gérés par des tiers), à condition que les données recueillies ne soient pas utilisées à des fins de profilage* ;
- les cookies statistiques tiers recueillant des données anonymisées (p.ex. Google Analytics).*
* Cette exemption peut ne pas s’appliquer à toutes les régions et dépend donc des règles locales en vigueur.
Mise en garde
Le seul cas dans lequel l’exemption de l’exigence de consentement s’applique clairement concerne les cookies techniques qui sont strictement nécessaires au fonctionnement des services explicitement demandés par l’utilisateur et qui ne suivent pas les utilisateurs à la trace.
Pour prendre un exemple réel, cette exemption peut s’appliquer à un site e-commerce qui permet à ses utilisateurs de « conserver » des articles dans leur panier tant qu’ils utilisent le site ou pendant la durée d’une session. Dans ce scénario, les cookies techniques sont à la fois nécessaires au fonctionnement du service d’achat et explicitement demandés par l’utilisateur lorsqu’il indique qu’il souhaite ajouter l’article à son panier. Notez toutefois que ces cookies techniques liés à une session ne sont pas des cookies de suivi.
Les cookies techniques incluent également les cookies de session liés à un utilisateur et utilisés pour détecter les accès frauduleux, les cookies de session d’équilibrage des charges ainsi que les cookies de session liés aux lecteurs multimédias et nécessaires à la prestation des services demandés par l’utilisateur.
Cela signifie-t-il que je n’ai pas besoin de bandeau cookies dans ces cas-là ?
Tout d’abord, il est essentiel de comprendre que lorsque cette exception à l’exigence de consentement s’applique, vous devez tout de même informer l’utilisateur de votre utilisation de cookies par le biais d’une politique relative aux cookies. Le bandeau cookies n’est pas forcément obligatoire dans ce cas précis, à condition que la politique relative aux cookies soit facile d’accès et visible depuis chaque page du site.
À l’avenir, la Directive ePrivacy sera remplacée par le Règlement ePrivacy, qui s’appliquera en plus du RGPD. Le futur règlement devrait perpétuer les mêmes valeurs que la directive.
LPD – Loi fĂ©dĂ©rale suisse sur la protection des donnĂ©es
Initialement créée en 1992, puis partiellement mise à jour en 2019, la LPD régit la confidentialité des données en Suisse. La récente révision, adoptée le 25 septembre 2020 et entrée en vigueur en septembre 2023, intègre des dispositions plus récentes ressemblant au RGPD tout en conservant ses principes suisses distincts.
Principaux changements apportés à la LPD
- Confidentialité dès la conception : Les entreprises sont désormais obligées de développer des procédures axées sur la conformité des données .
- Données sensibles : La définition a été élargie pour inclure les informations biométriques, génétiques et d’autres types d’informations.
- Évaluations d’impact : Obligatoire lorsqu’il existe un risque considĂ©rable pour les droits ou la vie privĂ©e des personnes concernĂ©es.
- Divulgation Ă©tendue : Les entreprises doivent obtenir un consentement prĂ©alable avant de traiter des donnĂ©es personnelles sensibles ou lorsqu’elles se livrent Ă un profilage Ă haut risque.
- Registre des activités de traitement : Les entreprises doivent maintenir ce registre, même si certaines PME pourraient en être exemptées.
- Signalement des violations de données: En cas de violation de la sécurité des données , le PFPDT doit être informé sans délai.
- Profilage : La loi reconnaît désormais la notion juridique de traitement automatisé des données personnelles .
- Base de traitement: Le traitement des données personnelles est généralement considéré comme licite. Des bases juridiques spécifiques sont requises dans certaines circonstances.
- MĂ©canisme de consentement : Le consentement de la personne concernĂ©e n’est obligatoire que dans certains scĂ©narios.
- Sanction: Destinée principalement aux cadres supérieurs des organisations.
💡 Vous pouvez en savoir plus sur la Loi fédérale suisse révisée sur la protection des données ici →
LPD contre RGPD : Principales différences
Bien qu’il existe de nombreuses nuances entre les deux lois, quelques différences notables comprennent :
- ApplicabilitĂ© : La LPD couvre aussi bien les organisations en Suisse qu’Ă l’Ă©tranger qui traitent les donnĂ©es des rĂ©sidents suisses. En revanche, le RGPD concerne les organisations basĂ©es dans l’UE ou celles qui traitent les donnĂ©es des rĂ©sidents de l’UE.
- Catégories de données sensibles: La définition de la LPD est plus large que celle du RGPD.
- Les accords: Dans le cadre de la LPD, le responsable du traitement et ses sous-traitants peuvent conclure un accord, tandis que le RGPD impose un accord de traitement des données.
- Obligations de divulgation : Les deux lois prévoient des exigences en matière de divulgation des données , mais le RGPD en impose quelques autres.
- Transfert de donnĂ©es Ă l’Ă©tranger : La LPD et le RGPD ont des dispositions et exceptions diffĂ©rentes.
- Conseiller ou dĂ©lĂ©guĂ© Ă la protection des donnĂ©es : La LPD rend ce rĂ´le facultatif, alors que le RGPD l’impose Ă des entitĂ©s spĂ©cifiques.
- Notifications de violation de données : La LPD met l’accent sur le signalement uniquement des violations à haut risque, alors que le RGPD a un calendrier plus strict et une obligation de signalement plus large.
- Sanctions: La LPD impose des amendes allant jusqu’Ă 250 000 CHF, alors que le RGPD peut atteindre jusqu’Ă 20 millions d’euros ou une fraction du chiffre d’affaires mondial.
La LPD mise Ă jour affecte :
- Personnes privées traitant des données personnelles.
- Agences fédérales. Elle ne concerne pas les personnes physiques traitant des données à des finalités strictement personnelles.
En conclusion, les entreprises, notamment celles qui opèrent en Suisse ou avec ce pays, doivent se familiariser avec les nouvelles prescriptions de la LPD. Des plateformes comme iubenda peuvent aider à garantir la conformité, notamment en mettant en place une solide politique de confidentialité et de cookies. Alors que les réglementations internationales en matière de protection des données continuent d’évoluer, rester à jour et en conformité devient crucial pour les organisations du monde entier.
🚀 Découvrez comment respecter la LPD ici →
Exigences légales situationnelles
E-commerce
Ces exigences sont habituellement abordées dans des conditions générales valables et à jour, également appelées conditions générales de service, conditions générales d’utilisation (CGU) ou contrat de licence d’utilisateur final (CLUF).
En complément des obligations de communication et des exigences présentées ci-dessus (et sous réserve de la législation qui vous est applicable), lorsque vous exploitez un site Web ou une application e-commerce, vous êtes également tenu de respecter la législation commerciale en vigueur et les règles applicables à votre secteur d’activité.
Au sujet du commerce entre entreprises (B2B)
En général, les entreprises qui participent à des transactions commerciales avec d’autres entreprises (relations B2B) sont tenues de respecter les règles prévues par les contrats qu’elles concluent ainsi que les directives sectorielles et nationales qui leur sont applicables. Toutefois, les échanges B2B impliquent souvent le traitement de données à caractère personnel (par exemple, celles des employés). Dans de tels cas, et lorsque le traitement relève de son champ d’application, le RGPD s’applique et prévaut sur ces règles et directives.
Au sujet du commerce entre entreprises et consommateurs (B2C)
En vertu du droit de la consommation de la plupart des pays, lors de toute vente à un consommateur, en plus des informations sur la confidentialité dont la communication est exigée par défaut, vous devez fournir à votre client des informations sur :
- les conditions détaillées de retour et de remboursement ;
- les garanties (le cas échéant) ;
- la sécurité, y compris des instructions relatives à l’usage adéquat (le cas échéant) ;
- les conditions de livraison du produit ou service ;
- l’identification de votre entreprise, telles que son nom commercial et son adresse de domiciliation ;
- les droits des consommateurs (tels que le droit de rétractation), le cas échéant ;
- les coordonnées du vendeur (p.ex. une adresse e-mail).
Droit des États-Unis
Aux États-Unis, il n’existe pas de législation nationale sur les retours et les remboursements d’achats effectués en ligne ; dans la plupart des cas, ces règles sont définies par chaque État. Toutefois, en vertu de plusieurs lois étatiques, en l’absence d’informations sur les retours ou les remboursements présentées aux consommateurs avant l’achat, les consommateurs se voient automatiquement accorder des droits de retour ou de remboursement. Lorsque l’article acheté est défectueux, une garantie implicite peut s’appliquer en lieu et place d’une garantie écrite. Les garanties écrites doivent au moins respecter les normes d’équité du secteur d’activité.
Aux États-Unis, les exigences de communication d’information applicables au e-commerce dépendent encore largement de la législation de chaque État. Dans de nombreux cas, il est toutefois courant d’inclure ces informations dans les conditions générales. Par ailleurs, les informations sur les conditions de retour et de remboursement sont souvent intégrées au site Web ou à l’application, dans une zone dédiée facilement accessible depuis la page de description de chaque produit.
Droit de l’UE
Le droit de la consommation de l’UE s’applique aux relations juridiques, et notamment contractuelles, entre les consommateurs (d’une part) et les professionnels et sociétés (de l’autre), soit aux relations B2C. Il ne s’applique pas aux relations B2B, c’est-à -dire entre entreprises (p.ex. lorsqu’un supermarché passe commande auprès de son fournisseur de fruits), ou C2C, soit entre consommateurs (p.ex. lorsque je vends mon vieux vélo sur eBay).
En vertu du droit de la consommation de l’UE, les consommateurs disposent notamment d’un droit de rétractation inconditionnel qui leur accorde un délai de 14 jours pour changer d’avis. Cela signifie que les consommateurs peuvent annuler ou se rétracter des contrats conclus à distance (soit les ventes réalisées en ligne, par téléphone ou par courrier) avec ou sans motif pendant 14 jours à compter de la réception du produit (lors des achats de biens).
Il convient de noter que la durée de 14 jours est la durée légale minimum ; dans certains pays, la législation nationale peut prévoir une durée plus longue, tandis que chaque prestataire peut la prolonger par contrat.
Ce droit de rétractation ne s’applique pas dans toutes les situations.
Voici certaines exemptions courantes :
- les billets d’événement, les tickets de voyage, les réservations de location de voiture et, de façon plus générale, tout contrat lié à des activités de loisir qui précise une date spécifique ou une période d’exécution ;
- les supports de stockage média scellés, tels que les CD, qui ont été ouverts par le destinataire ;
- le contenu numérique, dès que le consommateur l’a téléchargé ;
- les articles réalisés sur commande ou personnalisés de façon distinctive (p.ex. une robe sur mesure) ;
- Sous certaines conditions supplémentaires, tout contrat de prestation de service, etc.
Les consommateurs qui se trouvent dans l’UE bénéficient également par défaut, sans frais supplémentaires, d’une garantie légale de deux ans sur les produits achetés. À nouveau, cette durée de 2 ans est la durée légale minimum ; dans certains pays, la législation nationale peut prévoir une durée plus longue, tandis que chaque prestataire peut la prolonger par contrat.
Ces règles s’appliquent habituellement à toute société qui effectue des ventes auprès de résidents de l’UE, mais peuvent être différentes pour les vendeurs internationaux, au cas par cas. Il convient toutefois de noter que, dans des affaires récentes, des tribunaux des États-Unis ont décidé de faire appliquer le droit de l’UE en vigueur.
Quelle est donc la différence entre un retour de produit effectué en raison d’une rétractation et un autre effectué en raison d’une garantie ?
| Droit de rétractation | Garantie légale |
|---|---|
| S’applique pendant 14 jours à compter de la réception du produit ou de la signature du contrat | S’applique pendant 24 mois à compter de la réception du produit |
| Vous n’avez pas besoin de motif pour exercer ce droit ; vous pouvez changer d’avis, tout simplement | Vous ne pouvez retourner un produit en faisant valoir la garantie que lorsqu’il est défectueux ou inadapté aux finalités pour lesquelles il a été vendu et acheté |
| Les frais de retour du produit peuvent être à votre charge (à condition que cela soit indiqué) | Aucuns frais ne peuvent être à votre charge (lorsqu’un produit est défectueux, le vendeur est responsable) |
| S’applique avec quelques exceptions (dont certaines sont mentionnées ci-dessus) | S’applique toujours aux produits, mais jamais aux services |
Le droit de l’UE impose également aux vendeurs d’informer les consommateurs de l’existence de la plateforme européenne de Règlement en ligne des litiges (RLL) par un lien direct. La plateforme RLL permet aux consommateurs qui se trouvent dans l’UE de déposer facilement une plainte (au sujet d’une vente en ligne) à l’encontre d’une société établie dans l’UE. Cela signifie que les exigences relatives à la plateforme RLL s’appliquent également aux sociétés établies aux États-Unis qui ont une présence physique dans l’UE.
À noter : les entreprises et les consommateurs du Royaume-Uni ne peuvent plus accéder à la plateforme de RLL après le Brexit.
De façon générale, aucune règle supplémentaire ne s’applique aux sites Web appartenant à des personnes physiques (ou aux profils sur les réseaux sociaux, blogs, etc. également privés) dont la finalité est privée et personnelle. Toutefois, plusieurs législations de l’UE et nationales imposent aux opérateurs commerciaux de communiquer certaines informations.
Pour être considéré comme un opérateur « commercial », il n’est pas nécessaire de « vendre » quoi que ce soit. Un site Web personnel peut être considéré comme un site commercial lorsque, par exemple, il reçoit un trafic considérable et génère ainsi d’importants revenus publicitaires (p.ex. dans le cas des influenceurs). Toutefois, lorsque vous « vendez » effectivement des produits ou services, vos devoirs d’information sont plus nombreux.
Lorsque vous proposez directement des produits ou services aux consommateurs (B2C), vous avez des devoirs d’information supplémentaires, et notamment ceux listés ci-dessus. Vous devez également faire un lien vers la plateforme de règlement en ligne des litiges de l’UE, afficher des délais de livraison précis, et communiquer le prix et les taxes applicables, tel que prévu par la Directive 83/2011/UE.
E-mails et newsletters
Une adresse e-mail est considérée comme une donnée personnelle. Par conséquent, lorsque vous traitez des adresses e-mail, les lois sur la protection de la vie privée s’appliquent. Comme nous l’avons déjà mentionné, en vertu de la plupart des législations, vous êtes tenu de fournir des informations approfondies sur les activités de traitement et leurs finalités ainsi que les droits des utilisateurs.
En général, ces législations s’appliquent à tous les services qui ciblent les résidents de la région concernée, ce qui signifie qu’elles peuvent s’appliquer à votre société même lorsque celle-ci n’est pas établie dans cette région. Cet aspect est d’autant plus important lorsque vous utilisez une liste d’adresses e-mail que vous avez achetée, car vous ne connaissez pas toujours le pays de résidence du destinataire.
C’est pourquoi il est toujours conseillé d’aborder vos activités de traitement de données en tenant compte des règles en vigueur les plus strictes.
Droit des États-Unis
En vertu de la loi CAN-SPAM de la Commission fédérale du commerce (FTC), vous n’êtes pas tenu d’obtenir le consentement des utilisateurs se trouvant aux États-Unis avant de les ajouter à votre liste de distribution ou de leur envoyer des messages commerciaux. Toutefois, vous devez obligatoirement mettre à disposition des utilisateurs un moyen clair de s’opposer a posteriori à tout contact ultérieur.
Droit de l’UE
Le droit de l’UE (notamment le RGPD) impose d’obtenir le consentement éclairé de l’utilisateur avant de l’inscrire à un service. En vertu des règles de l’UE, l’obtention du consentement peut être considérée comme un processus en deux étapes qui inclut l’information de l’utilisateur et l’obtention de son consentement vérifiable par un acte positif.
💡 Pour en savoir plus sur les exigences légales applicables aux newsletters et listes d’adresses e-mail, cliquez ici.
Enfants
Droit des États-Unis
La loi sur la protection de la vie privée en ligne des enfants, le Children’s Online Privacy Protection Act (COPPA), est une loi fédérale des États-Unis qui vise à mieux protéger les données personnelles et les droits des enfants de moins de 13 ans. En vertu de la loi COPPA, les exploitants de sites Web ou de services en ligne qui s’adressent aux enfants de moins de 13 ans ou qui ont conscience de recueillir des informations personnelles auprès d’enfants de moins de 13 ans, doivent en aviser les parents et obtenir leur consentement vérifiable avant de procéder à la collecte, l’utilisation ou la divulgation de ces informations, et doivent assurer la protection des informations recueillies auprès de ces enfants.
La mise en place d’une politique de confidentialité conforme à la loi COPPA est une exigence centrale de cette loi. Les sections suivantes présentent des informations relatives à la conformité avec la loi COPPA. Pour en savoir plus sur cette loi, cliquez ici.
Droit de l’UE
En vertu du RGPD de l’UE, le consentement est l’une des bases juridiques du traitement des données relatives aux enfants. Lorsque vous utilisez cette base juridique pour traiter des données relatives à des enfants de moins de 13 ans, vous devez obtenir le consentement vérifiable d’un parent ou tuteur, excepté lorsque le service que vous proposez est un service de prévention ou de conseil.
Pour en savoir plus sur les exigences légales applicables aux données relatives aux enfants, cliquez ici.
Autres considérations d’ordre juridique
Mettre en place des conditions générales pour protéger votre société
Bien qu’elles ne soient pas toujours exigées par la loi, les conditions générales de service (CGS) ou d’utilisation (CGU), également appelées contrat de licence d’utilisateur final (CLUF), sont souvent nécessaires pour des questions de commodité et de sécurité. Elles vous permettent de fixer le cadre de vos relations contractuelles avec vos utilisateurs et sont notamment essentielles à la défintion des conditions d’utilisation et à votre protection contre les situations qui pourraient engager votre responsabilité.
Les conditions générales sont un contrat juridiquement contraignant ; il est donc important d’en rédiger, mais aussi de s’assurer qu’elles sont conformes aux exigences légales.
En général, des conditions contractuelles standard s’appliquent et, en vertu de la plupart des législations, les contrats utilisés par les commerçants doivent être équitables. Cela signifie que votre document doit être tenu à jour au regard de toutes les règles en vigueur et qu’il doit être précis, visible et facile à comprendre afin que les utilisateurs puissent facilement le trouver et l’accepter.
L’acte par lequel ils signifient leur acceptation devrait être dénué d’ambiguïté. Vous pouvez par exemple afficher une case à cocher avec un lien visible vers le document avant la création d’un compte ou l’utilisation du service.
Bien que leur contenu puisse varier selon les spécificités de votre société, vos conditions générales devraient au moins inclure les informations suivantes :
- l’identification de la société ;
- la description du service fourni par votre site Web ou application ;
- des informations sur la répartition des risques, la responsabilité et les clauses de dégagement de responsabilité
- les garanties (le cas échéant) ;
- l’existence d’un droit de rétractation (le cas échéant) ;
- la sécurité, y compris des instructions relatives à l’usage adéquat (le cas échéant) ;
- les conditions de livraison du produit ou service ;
- les droits relatifs à l’utilisation (le cas échéant) ;
- les conditions d’utilisation et d’achat (p.ex. l’âge minimum requis ou les restrictions géographiques) ;
- la politique de remboursement, d’échange et de résiliation du service ainsi que les informations connexes ;
- les informations relatives aux moyens de paiement ;
- toutes autres conditions applicables.
Pour en savoir plus sur les conditions générales, cliquez ici. Pour savoir comment les créer, cliquez ici.
Exigences des tiers
Les applications et services tiers doivent aussi respecter la loi. Tout comme les organisations qui les intègrent à leurs systèmes, leurs prestataires s’exposent à des risques considérables d’atteinte à la réputation, d’amende et de sanction en cas de manquement à leurs obligations légales. C’est pourquoi il est souvent obligatoire que tous leurs partenaires et les clients qui utilisent leurs services se conforment aux normes réglementaires.
En général, ces normes imposent aux organisations qui utilisent leurs services de mettre en place une politique de confidentialité conforme (ainsi qu’une politique relative aux cookies conforme, lorsqu’elles y ont recours) contenant des informations détaillées sur la relation et les services fournis.
Les applications et services tiers doivent aussi respecter la loi. C’est pourquoi il est souvent obligatoire que tous leurs partenaires et les clients qui utilisent leurs services se conforment aux normes réglementaires
Prenons Google pour exemple. Pour accéder à certains services et outils (par exemple, AdSense, Google Analytics et Google Play Store), Google vous impose de mettre en place une politique de confidentialité exhaustive et à jour. Voici un extrait des conditions d’utilisation de Google Analytics :
« Vous devez publier des Règles de confidentialitĂ©, ces Règles de confidentialitĂ© devant mentionner que Vous utilisez des cookies […] permettant de recueillir des donnĂ©es », et « Vous ne devez contourner aucune des fonctionnalitĂ©s mises en place pour garantir la protection de la vie privĂ©e et faisant partie du Service (par exemple, en proposant une possibilitĂ© de dĂ©sactivation) ».
Intéressons-nous à présent à l’exemple d’Amazon. Voici un extrait de leurs conditions :
Nous avons étendu l’obligation de divulguer notre relation d’affiliation à tous les moyens par lesquels vous êtes susceptible de tirer profit du contenu des Partenaires.
Les exigences des tiers sont susceptibles d’être modifiées en réponse à l’évolution des règles internes ou régionales. Il est donc nécessaire de vous assurer que vos politiques répondent aux exigences les plus récentes pour éviter une interruption du service ou des pénalités potentielles.
Pour en savoir plus sur les exigences de Google, cliquez ici, et sur celles d’Amazon, cliquez ici.
Conséquences en cas de violation
Les conséquences juridiques d’une violation peuvent être de différentes natures :
Amendes
En cas de violation de la loi CalOPPA ou COPPA, des représentants du gouvernement peuvent intenter des poursuites ou solliciter une amende administrative à votre encontre. Par exemple, les propriétaires du site Imbee ont été condamnés à une amende de 130 000 dollars américains pour avoir permis à des enfants de moins de 13 ans de s’inscrire sans consentement parental, en violation de la loi COPPA.
Des amendes similaires peuvent être appliquées en vertu d’autres lois étatiques ou fédérales. Une violation des exigences du RGPD peut entraîner des amendes pouvant s’élever jusqu’à 20 millions d’euros (20 M €) ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).
Sanctions disciplinaires
Vous pouvez faire l’objet de sanctions disciplinaires en cas de violation avérée des règles en vigueur. Ces sanctions peut notamment inclure le rappel à l’ordre officiel (pour les organisations qui n’en sont qu’à leur première violation) et les audits périodiques sur la protection des données. Le RGPD accorde explicitement aux utilisateurs le droit d’introduire une réclamation auprès d’une autorité de contrôle lorsqu’ils estiment qu’un traitement de leurs données à caractère personnel a été réalisé en violation du RGPD.
Ainsi, lorsqu’un cas de violation du RGPD lui est signalé, l’autorité de contrôle peut choisir de réaliser un audit de vos opérations de traitement des données. Si cet audit révèle qu’une activité de traitement a été réalisée de façon illicite, vous pouvez vous voir non seulement imposer une amende, mais aussi interdire de poursuivre l’utilisation des données visées par le signalement. Cela signifie que, si la violation porte sur la collecte d’adresses e-mail, vous risquez de vous voir interdire d’utiliser l’intégralité de la liste d’adresses e-mail concernée.
En cas de violation du droit de la consommation ou de la concurrence (comme un acte de concurrence déloyale), les autorisés compétentes (généralement nationales) peuvent également vous imposer une amende.
Dommages et intérêts en réparation
L’obligation de réparation d’un préjudice injuste causé à autrui, notamment en violation d’une règle légale, est un principe général du droit civil. Comme d’autres textes, le RGPD et la loi CalOPPA accordent aux utilisateurs un droit à réparation de tout préjudice résultant d’une violation de leurs droits. La même logique se retrouve dans tout autre texte en vigueur, comme les dispositions de l’UE en matière de protection des consommateurs.
N’oubliez pas que la responsabilité en cas de préjudice causé à autrui s’applique à toutes les relations. Ainsi, un partenaire d’affaires pourrait avoir droit à réparation en cas de violation d’une disposition légale de votre part. Par exemple, en cas de vente de contrefaçons par le biais d’une plateforme partenaire comme Amazon, celle-ci peut intenter une action en justice à votre encontre, tout comme les clients qui vous ont acheté ces contrefaçons.
Perte d’accès aux services et sanctions contractuelles
Certains services tiers (y compris des places de marché et boutiques d’applications) peuvent intégrer la conformité avec des règles précises à leurs conditions d’utilisation ; la violation de ces conditions peut alors entraîner la résiliation du service, voire un bannissement permanent.
Voici un exemple issu des conditions générales du réseau des partenaires Amazon Web Services portant sur le consentement :
Concernant les Données de tiers que vous êtes susceptible de fournir à AWS, vous déclarez et garantissez que vous avez reçu tous les consentements nécessaires pour (a) partager les Données de tiers avec AWS et ses sociétés affiliées, et (b) permettre à AWS et à ses filiales d’utiliser les Données de tiers pour contacter les personnes concernées aux fins de la commercialisation de nos biens et services et du Programme.
Droit pénal
Dernier point, mais non le moindre, lorsque certaines conditions sont réunies, vous pouvez être exposé aux conséquences prévues par le droit pénal. Par exemple, une violation ou omission intentionnelle des dispositions en matière de protection des données à des fins commerciales (p.ex. la vente de données personnelles de vos utilisateurs sans information préalable) peut avoir de lourdes conséquences. Toutefois, le droit pénal est majoritairement national : les conditions et les conséquences doivent être vérifiées au cas par cas.
En quoi iubenda peut vous aider à vous mettre en conformité
Nous croyons en l’importance d’une approche complète de la conformité avec le droit des données. C’est pourquoi nous assurons une veille des principales législations, concevons nos solutions en tenant compte des règles les plus strictes et mettons à votre disposition de nombreuses options de personnalisation de vos documents.
De cette façon, vous avez l’assurance de respecter vos obligations lĂ©gales (oĂą que se trouvent vos clients), de protĂ©ger vos clients – en instaurant un climat de confiance et en renforçant votre crĂ©dibilitĂ© – et, ainsi, de rĂ©duire le risque de litige.
Nous assurons une veille des principales législations et concevons nos solutions en tenant compte des règles les plus strictes
Voici ce dont vous avez besoin pour débuter votre mise en conformité complète :
fournir aux utilisateurs des informations sur les données personnelles grâce à une politique de confidentialité
Comme nous l’avons mentionné plus haut, vous devez fournir aux utilisateurs des informations sur la façon dont vous utilisez leurs données personnelles. C’est pourquoi la plupart des législations à travers le monde exigent une politique de confidentialité. Ce document juridique doit indiquer de quelle façon votre site Web ou application recueille, traite, conserve, partage et protège les données utilisateur, quelles sont les finalités de ces traitements, et de quels droits disposent les utilisateurs à cet égard.
Notre Générateur de Politique de Confidentialité vous permet de créer un document à un prix abordable, disponible en plusieurs langues, conçu avec soin par un avocat, personnalisable et tenu à jour automatiquement (grâce au suivi effectué à distance par nos avocats). Vous pouvez facilement créer une politique de confidentialité précise et visuellement agréable qui s’intègre de façon harmonieuse à votre site Web ou application. Il vous suffit de cliquer sur un bouton pour ajouter l’une des nombreuses clauses pré-existantes ou de rédiger vos propres clauses personnalisées.
La politique de confidentialité présente également une option qui vous permet d’y inclure une politique relative aux cookies. (Celle-ci est nécessaire lorsque votre site Web ou application utilise des cookies.) Ces politiques sont personnalisables selon vos besoins et sont tenues à jour à distance par une équipe juridique.
Pour plus d’informations sur la façon de générer votre politique de confidentialité, cliquez ici
Se conformer à la Loi cookies de l’UE
L’utilisation des cookies implique à la fois de traiter des données utilisateur et d’installer des fichiers utilisés pour suivre les utilisateurs à la trace. Il s’agit donc d’un sujet de préoccupation majeur en matière de droits des utilisateurs à la protection de leurs données. Lorsque vous êtes établi dans l’UE ou avez potentiellement des utilisateurs qui se trouvent dans l’UE, vous devez donc vous mettre en conformité avec la Loi cookies.
Cette mise en conformité s’appuie sur 4 piliers :
- la politique relative aux cookies, qui peut être créée en activant une option dans le Générateur de Politique de Confidentialité mentionné ci-dessus ;
- le bandeau cookies, qui est fourni avec Privacy Controls and Cookie Solution de iubenda ;
- la gestion du consentement, qui consiste Ă permettre aux utilisateurs de donner, refuser ou retirer leur consentement et Ă les informer des choix dont ils disposent ;
- le blocage préventif (ou préalable) des scripts qui installent des cookies jusqu’à l’obtention du consentement de l’utilisateur.
Notre produit Privacy Controls and Cookie Solution est conforme aux dispositions de la Directive ePrivacy (la Loi cookies). En plus de faciliter l’information des utilisateurs et l’obtention de leur consentement, elle inclut une option de blocage préventif des scripts qui installent des cookies jusqu’à l’obtention du consentement de l’utilisateur (un blocage exigé dans de nombreux pays de l’UE). Elle est facile à utiliser, rapide et ne demande pas d’investissement important.
→ Pour obtenir des rĂ©ponses Ă vos questions en direct et poursuivre votre dĂ©couverte de l’outil Privacy Controls and Cookie Solution et du GĂ©nĂ©rateur de Politique de ConfidentialitĂ© et de Cookies, participez Ă l’un de nos webinars gratuits.
Pour plus d’informations sur Privacy Controls and Cookie Solution, cliquez ici.
Protégez-vous ou votre société grâce à des conditions générales adéquates
Bien qu’elles ne soient pas toujours exigées par la loi, les conditions générales sont nécessaires en pratique. Elles régissent vos relations contractuelles avec vos utilisateurs et définissent les conditions d’utilisation de votre produit, service ou contenu, de façon juridiquement contraignante.
Il est donc essentiel que ce contrat soit précis et à jour au regard de toutes les règles en vigueur. Vous devriez y décrire les conditions générales d’utilisation de votre service en prêtant une attention particulière aux clauses de limitation de responsabilité et de dégagement de responsabilité.
Notre Générateur de Conditions Générales vous permet de générer et de gérer facilement des conditions générales professionnelles, personnalisables à partir de plus de 100 clauses, disponibles en 8 langues, rédigées par une équipe juridique internationale et à jour au regard des principales législations internationales.
Ce générateur puissant et précis est capable de traiter les scénarios les plus complexes et de répondre à tous les besoins de personnalisation.
Il s’accompagne :
- d’une configuration guidée ;
- de centaines d’options de personnalisation ;
- d’un suivi de la législation ;
- d’intégrations prêtes à l’emploi avec des plateformes de commerce électronique populaires comme Shopify et WooCommerce ;
- de scénarios prédéfinis, avec des modules de texte pour place de marché, programme d’affiliation, droit d’auteur, e-commerce, mobile, et bien plus.
Cette solution est optimisée pour tous les cas de figure, des sites e-commerce, blogs et applications aux scénarios complexes tels que les places de marché et les plateformes SaaS.
Pour commencer, c’est très imple. Il vous suffit d’activer les conditions générales (avec une licence Ultra) depuis votre tableau de bord et de commencer la génération.
💡 Pour obtenir une liste complète des fonctionnalités du Générateur de Conditions Générales, cliquez ici ou lisez le guide disponible ici.
Gestion du consentement et tenue d’un registre détaillé s’y rapportant
Pour être en conformité avec les lois sur la protection de la vie privée, notamment le RGPD, les sociétés doivent conserver des preuves permettant de démontrer qu’elles ont obtenu le consentement des utilisateurs.
Le registre des consentements doit indiquer :
- le moment où le consentement a été donné ;
- la personne qui a donné le consentement ;
- les préférences de cette personne à ce moment-là ;
- la déclaration de confidentialité ou toute autre information juridique qui lui a été présentée à ce moment-là ;
- le formulaire de collecte du consentement qui lui a été présenté à ce moment-là .
La Consent Database simplifie ce processus en vous aidant à conserver facilement la preuve du consentement et à gérer le consentement et les préférences en matière de vie privée de chacun de vos utilisateurs. Notre solution vous permet de suivre tous les aspects du consentement (y compris la déclaration de confidentialité ou toute autre information juridique et le formulaire de consentement qui ont été présentés à l’utilisateur au moment du recueil de consentement) ainsi que les préférences connexes exprimées par l’utilisateur.
Pour l’utiliser, il vous suffit d’activer la Consent Database et d’en récupérer la clé API, puis de l’installer via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les mettre à jour.
💡 Pour obtenir une liste complète des fonctionnalités de la Consent Database, cliquez ici ou lisez le guide disponible ici.
Registre des activités de traitement des données
En pratique, la satisfaction des exigences du RGPD peut représenter un défi technique. Cela est d’autant plus vrai en matière de gestion de la protection de la vie privée au niveau interne. Pour être conforme, vous devez être en mesure de suivre et de décrire :
- les données que vous recueillez ;
- les finalités de leur collecte ;
- la base juridique de leur traitement ;
- la politique de conservation des données appliquée pour chaque activité de traitement ;
- les parties impliquées (au sein de votre organisation et en dehors) ;
- les mesures de sécurité ;
- les transferts de données hors de l’UE, le cas échéant ; et
- toute autre information connexe qui s’applique dans l’ensemble de votre société, y compris aux données des employés.
Notre solution vous simplifie l’enregistrement et la gestion de toutes les activités de traitement de données effectuées au sein de votre organisation pour vous permettre de vous conformer facilement aux exigences légales et de satisfaire vos obligations.
Elle vous permet de créer un registre des activités de traitement :
- ajoutez des activités de traitement en choisissant parmi plus de 1700 options prédéfinies ;
- divisez-les par domaines (des subdivisions au sein desquelles les activités de traitement des données sont identiques) ;
- affectez-leur des sous-traitants et d’autres rôles ; et
- documentez les bases juridiques et tenez tout autre registre exigé par le RGPD.
Remarque : même lorsque vos activités de traitement ne relèvent pas des situations déjà décrites dans ce guide, votre devoir d’information envers les utilisateurs (qui résulte des articles 13 et 14 du RGPD) vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous.
De plus, bien que le RGPD soit une raison courante de faire plus d’efforts en matière de gestion de la protection de la vie privée au niveau interne, notre outil n’est pas conçu exclusivement pour la mise en conformité avec le RGPD. Il peut également être utilisé à des fins générales de gestion de la protection de la vie privée au niveau interne, y compris par des sociétés qui n’ont pas d’utilisateurs ou de clients au sein de l’UE.
→ Pour obtenir des réponses à vos questions en direct et poursuivre votre découverte de la Consent Database et le Registre des activités de traitement des données, participez à l’un de nos webinars gratuits.
Veuillez noter que les lois sont susceptibles d’être modifiées ou mises à jour. Il est donc important de vous assurer que vos politiques répondent aux exigences les plus récentes. C’est pourquoi nous utilisons une méthode d’intégration, et NON de copier-coller. Avec cette méthode, vous avez l’assurance que votre politique reste à jour grâce au travail effectué à distance par notre équipe juridique.
Voir aussi
- Pour en savoir plus sur la législation internationale, consultez notre guide consacré au RGPD, notre guide sur la directive ePrivacy (la Loi cookies), notre guide sur les cookies et le droit des données de l’UE ou notre guide sur le droit des États-Unis
- Vous avez des utilisateurs canadiens ? Découvrez la future loi CPPA du Canada sur la protection de la vie privée.
- Consultez nos guides spécifiques destinés aux créateurs d’applications, de sites e-commerce, d’e-mails et newsletters, ou encore notre guide consacré aux services utilisés par des enfants
- Vous utilisez des services de Google ? Consultez nos guides sur Google Analytics, Adsense et Ads