Rédaction d'une charte RGPD

Comment rédiger une charte RGPD répondant aux exigences de la réglementation ?

Guide complet pour rédiger une charte RGPD : Étapes clés et conseils.

Le présent guide a pour objectif de vous aider à rédiger une charte RGPD qui soit conforme à la règlementation.

Qu'est-ce qu'une charte RGPD et pourquoi est-elle nécessaire ?

La charte RGPD est le document destiné à informer les personnes concernées sur les traitements de leurs données à caractère personnel.

Le terme charte RGPD n’est pas le terme officiel et le document d’information RGPD peut avoir plusieurs dénominations Ainsi, vous trouvez sur les sites internet des chartes de confidentialité, politiques de confidentialité, politiques de protection des données personnelles, Privacy policy en anglais, etc., autant d’appellations pour désigner un même document.

La charte RGPD vous permet de répondre à vos obligations de transparence prévues par le RGPD. En effet, le Règlement (UE) 2016/679 ou Règlement européen sur la protection des données personnelles (RGPD), entré en application le 25 mai 2018, édicte un ensemble de principes et d’obligations en vue de protéger la vie privée des individus dont les données sont traitées, parmi lesquels figure le principe de transparence (articles 12, 13 et 14 du RGPD). L’objectif du législateur européen est ici de renforcer la confiance des personnes concernées et le contrôle sur leurs données personnelles.

Ainsi, le principe de transparence implique :

1) que l’information relative au traitement des données soit concise, transparente et compréhensible;
2) qu’elle soit aisément accessible en des termes simples et clairs; 
3) que l’exercice des droits des personnes concernées soit facilité.

L’obligation de transparence vous incombe en qualité de responsable de traitement.

Pour se conformer à vos obligations de transparence, vous devez donc faire preuve de clarté, d’exhaustivité et d’accessibilité de l’information.

Vous devez en effet expliquer aux personnes dont les données sont traitées, comment vous entendez collecter, utiliser et partager leurs données.

Cette obligation est très importante. En effet, un manquement à l’obligation d’information est sanctionné d’une amende pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Il s’agit des sanctions les plus lourdes prévues par le RGPD.

Par ailleurs, sur les 38 sanctions prononcées par la CNIL en 2024, 14 sanctions ont retenu notamment un manquement à l’obligation d’information et/ou de transparence

Les éléments essentiels à inclure dans votre charte RGPD

Les articles 13 et 14 du RGPD prévoient une liste des informations obligatoires à communiquer aux personnes concernées.

Le texte distingue suivant que la collecte des données auprès des personnes concernées est directe (article 13) ou indirecte (article 14).

La collecte directe correspond à la situation où la personne concernée vous transmet directement ses données, par exemple, un candidat qui envoie son CV à l’adresse de recrutement de votre entreprise ou un internaute qui s’inscrit à votre newsletter par le biais du formulaire disponible sur votre site internet.

La collecte indirecte correspond au cas où vous recevez les données de la personne concernée par le biais d’une personne intermédiaire, par exemple, si vous achetez une base de données de prospects auprès d’un data broker.

Ainsi, en cas de collecte directe, vous devez fournir les informations suivantes :

1) Identité et coordonnées de l’organisme (responsable du traitement de données)

2) Finalités (à quoi vont servir les données collectées) ;

3) Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation légale, de l’exécution d’un contrat, etc.) ; si le traitement est fondé sur la base légale de l’intérêt légitime, il conviendra de préciser les intérêts légitimes poursuivis par le responsable du traitement (exemple : prévention de la fraude) ;

4) Caractère obligatoire ou facultatif du recueil des données et conséquences pour la personne en cas de non-fourniture des données. Ainsi, le cas échéant, le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;

5) Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;

6) Durées de conservation des données (ou critères permettant de les déterminer) ;

7) Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) et les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité ou le droit au retrait du consentement à tout moment, si la base légale du traitement est le consentement des personnes ;

8) Le cas échéant, l’existence de transfert(s) des données vers un pays situé en dehors de l’Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;

9) Le cas échéant, l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;

10) Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;

11) Droit d’introduire une réclamation auprès de la CNIL.
En cas de collecte indirecte, en sus des informations ci-dessus, le responsable de traitement doit indiquer :

–  La source des données (en indiquant notamment si elles sont issues de sources accessibles au public, par exemple si elles ont été collectées sur internet en cas de data scraping) ;

– Les catégories de données recueillies.

Étape par étape : Construire votre charte RGPD

La charte RGPD fait partie des documents permettant à l’entreprise de justifier de sa conformité en cas de contrôle.

Avant de se lancer dans la rédaction d’une charte RGPD, il est préférable qu’un audit RGPD ait été mené afin de vous ayez pu identifier préalablement l’ensemble des traitements de données personnelles réalisés par votre entreprise.

Etape 1 : avoir identifié l’ensemble des traitements de données à caractère personnel réalisé par votre entreprise

Etape 2 : distinguer le cas échéant les traitements pour lesquels vous êtes responsable de traitement et ceux pour lesquels vous êtes sous-traitants.

Etape 3 : rependre les différentes informations obligatoires de l’article 13 et 14 et les scinder en différents paragraphes

Etape 4 : remplir les informations communes à tous les traitements (i.e. identité du responsable de traitement, destinataires des données, le cas échéant existence de transfert en dehors de l’Union européenne, droit des personnes concernées (droits d’accès, de rectification, d’effacement et à la limitation), coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles, et droit d’introduire une réclamation auprès de la CNIL).

Etape 5 : remplir les informations propres à chaque traitement. Présenter les traitements, en raisonnant par finalité. Pour chaque finalité de traitement, indiquer les catégories de données traitées, le caractère obligatoire ou non de leur communication, les personnes concernées, la base légale du traitement et suivant celle-ci le cas échéant, le droit d’opposition, le retrait du consentement ou le droit à la portabilité, la durée de conservation des données, et le cas échéant l’existence d’une prise de décision automatisée ou d’un profilage.

Etape 6 : faire valider le document suivant vos procédures internes.

Etape 7 : publier le contenu de la charte RGPD sur votre site internet et tout autre espace de collecte de données.

Etape 8 : mettre à jour régulièrement la charte RGPD. En effet, la conformité au RGPD est un processus dynamique et doit refléter les évolutions règlementaires, techniques, et organisationnelles. Il est recommandé de procéder à une revue annuelle ou à chaque modification majeure des traitements.

Conseils pour rédiger une charte RGPD claire et conforme

Il convient de bien identifier et définir le périmètre de la charte RGPD : est-ce que vous souhaitez faire un document global couvrant l’ensemble de vos activités (de base et support) ? Est-ce que vous préférez scinder la charte RGPD en plusieurs chartes dédiées chacune à une activité déterminée ?

Pour des questions de clarté, il peut être tentant de scinder la charte RGPD en plusieurs documents. De façon répandue, les responsables de traitement éditent une charte RGPD dédiée aux ressources humaines (salariés, etc.) et une charte dédiée aux activités de base (clients, site internet, etc.). Attention cependant à bien effectuer la mise à jour de chaque document en cas de changement impactant vos traitements.

La charte RGPD doit refléter vos activités de traitement. Ainsi, il est indispensable d’être exhaustif et de couvrir l’ensemble des traitements de données personnelles réalisés par votre entreprise : vous pouvez en premier lieu recenser les directions et services de votre entreprise, et au sein de chaque direction et service, identifier l’ensemble des activités et des traitements auxquels ils procèdent.

Attention : la charte RGPD doit également être concise. Il convient donc d’être synthétique dans la présentation de vos activités de traitement.

Au stade de la rédaction, afin de faciliter l’articulation de votre charte RGPD, il est conseillé de présenter les traitements par finalité (v. Etape 5 ci-dessus).

Pour répondre à l’exigence de clarté et de lisibilité, vous avez la possibilité de présenter chaque traitement sous la forme d’un tableau.

Enfin, afin de répondre à l’exigence d’accessibilité de l’information, il est recommandé de prévoir des premiers et seconds niveaux d’information.

Si vous ne disposez pas des ressources en interne pour rédiger une telle charte, vous avez la possibilité de faire appel à un avocat en protection des données à caractère personnel, à un DPO externalisé ou un consultant RGPD. En cas de besoin, vous pouvez nous contacter.

Implémentation de la charte RGPD : intégration et suivi

Une fois celle-ci rédigée et validée en interne, la charte RGPD doit être communiquée aux personnes concernées.

À quels moments devez-vous la communiquer ?

Le RGPD distingue trois situations. L’information doit être communiquée à la personne concernée :

en cas de collecte directe : au moment du recueil des données ;

en cas de collecte indirecte : dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans le délai d’un mois (sauf exceptions) ;

– en cas de modification substantielle ou d’événement particulier.

Sur quel support intégrer la charte RGPD ?

L’information doit systématiquement être communiquée par écrit, sauf lorsque la personne concernée demande à ce qu’elle soit communiquée oralement (article 12 du RGPD).

Concernant le support écrit de communication, plusieurs options s’offrent à vous suivant les types de traitement de données personnelles.

Par exemple, si vous éditez une plateforme SaaS, la charte RGPD peut être insérée dans un onglet de votre site internet (site vitrine) et sur la page de connexion à la plateforme. Idem, pour un site marchand.

Autres exemples : si vous vendez des produits en BtoB sans passer par un site marchand, la charte RGPD peut figurer directement dans les clauses de votre contrat client. En tant qu’employeur, le contrat de travail peut contenir une clause sur les traitements de données personnelles et opérer un renvoi vers la charte RGPD salariés disponible sur l’intranet de votre entreprise.

Dans tous les cas, en cas de collecte directe de données, l’information doit être délivrée au moment de la collecte, c’est-à-dire notamment sous les formulaires de collecte de données (formulaire de contact, création de compte, questionnaire, commande, etc.). Ainsi, afin de ne pas surcharger les mentions de vos formulaires, il est préconisé d’avoir plusieurs niveaux d’information : un premier niveau d’information succincte, par exemple sous le formulaire de collecte des données, avec un renvoi à un second niveau d’information complète, la charte RGPD.

Quand mettre à jour votre charte RGPD et les mentions d’information de premier niveau ?

Vous devez mettre à jour de la charte RGPD avant chaque nouveau traitement de données réalisé ou à chaque changement substantiel dans le traitement.

Pour des questions d’opposabilité et de suivi de l’évolution de vos traitements, il est important d’indiquer la date de publication sur votre charte RGPD et d’archiver les anciennes versions datées.

Exemples pratiques et modèles de charte RGPD

Vous trouverez en cliquant sur ce lien, des exemples de mentions d’informations RGPD rédigés par la CNIL.

Ces exemples ne peuvent être reproduits tels quels et doivent être adaptés à votre situation.

Si vous souhaitez être accompagné dans la rédaction de ces mentions, vous pouvez nous contacter.

Erreurs courantes à éviter lors de la rédaction de votre charte RGPD

Les erreurs présentées ci-dessous ont été constatées dans une décision de sanction la CNIL du 18 novembre 2000 prononcée à l’encontre de la société Carrefour :

Être vague : l’enjeu est de permettre aux personnes concernées de comprendre et saisir la portée des traitements concernant leurs données. En ce sens, la CNIL a considéré que : « […] les mentions d’information doivent s’attacher, autant que faire se peut, à utiliser un vocabulaire simple, faire des phrases courtes et employer un style direct, mais aussi éviter les termes juridiques ou techniques, les termes abstraits ou ambigus et les formules telles que  » nous pourrions utiliser vos données « ,  » une possible utilisation de vos données « ,  » quelques données vous concernant sont utilisées « , etc. » ;

Ne pas ordonner et hiérarchiser les informations : la CNIL a ainsi relevé que « malgré le nombre très important d’informations communiquées, ces dernières n’étaient ni hiérarchisées, ni ordonnées. L’information prenait la forme d’une longue énumération portant sur les différents points du Règlement. » Elle a donc considéré qu’une telle présentation ne permettait pas aux personnes concernées de trouver facilement l’information qu’elles cherchaient, les contraignant à lire l’ensemble des mentions d’information, qu’en conséquence la présentation ne respectait pas l’exigence d’accessibilité » ;

Ne pas être exhaustif : la CNIL a considéré que l’utilisation « de termes tels que  » ces traitements incluent notamment « ,  » pour l’une ou plusieurs des raisons suivantes  » ou  » vos données sont susceptibles d’être utilisées  » ne permettent pas aux personnes concernées d’appréhender pleinement les traitements mis en œuvre. »

Omettre certaines mentions obligatoires : par exemple, oublier de mentionner les destinataires des données (hébergeur, prestataire de paiement etc.) ou les bases légales du traitement. Si la base légale du traitement est une notion abstraite pour les non juristes, elle reste très importante car elle conditionne l’exercice de certains droits des personnes concernées. Par exemple, le droit d’opposition n’est recevable que si le traitement est fondé sur l’intérêt légitime du responsable de traitement ou sur l’intérêt public. Omettre de mentionner les bases légales conduit donc à ne pas informer pleinement sur les droits des personnes concernées.

Mentionner une durée de conservation que pour certains traitements. Cette approche n’est pas conforme dès lors que la CNIL considère que les personnes concernées ne peuvent pas estimer, pour ces données, les durées de conservation établies par le responsable de traitement.

En Bref :

Conseils pour assurer la conformité :

La charte RGPD est un document vous permettant de vous conformer à certaines de vos obligations de transparence vis-à-vis des personnes concernées.

Sa rédaction et son implémentation peuvent s’avérer complexes.

Cependant, elles demeurent indispensables afin de renforcer la confiance de vos clients, prospects, partenaires, fournisseurs, et de leur permettre de contrôler leurs données. Aussi, vous évitez d’être sanctionné et/ou de ternir votre image !

Auteur : Maître Leben, avocat au barreau de Paris

Liens :

Lignes directrices du CEPD 4/2019 relatives à l’article 25 Protection des données dès la conception et protection des données par défaut : https://www.edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_fr.pdf

Lignes directrices du CEPD sur la transparence au sens du règlement (UE) 2016/679 du 11 avril 2018 (anciennement G29) https://www.cnil.fr/sites/cnil/files/atoms/files/wp260_guidelines-transparence-fr.pdf

Exemples de mentions d’informations publiées par la CNIL : https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation

Fiche de la CNIL sur le principe de transparence : https://www.cnil.fr/fr/informer-les-personnes

Les sanctions de la CNIL prononcées en 2024 (au 15/10/2024) :
https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil
Décision de sanction de la CNIL du 18 novembre 2000 à l’encontre de la société Carrefour : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756