À mesure que le monde devient plus dépendant des produits et services numériques, les pays et régions sont plus nombreux à faire de la protection des données l’une de leurs principales priorités. Par conséquent, de nombreuses régions ont mis en place des règles robustes et opposables en matière de données auxquelles les sociétés sont tenues de se conformer.
Dans la plupart des cas, une violation de ces règles peut engendrer non seulement d’importantes conséquences financières, mais aussi une atteinte durable et significative à la confiance du public et à la réputation de votre organisation. Il est donc important de vous assurer que votre société satisfait ses obligations légales.
En vertu de la grande majorité des législations en la matière, lorsque vous traitez des données personnelles, vous êtes généralement tenu de communiquer certaines informations sur vos activités de traitement de données par le biais d’une politique de confidentialité exhaustive, de mettre en place des mesures de sécurité efficaces pour protéger les données personnelles et de mettre en œuvre des moyens techniques pour recueillir le consentement des utilisateurs ou en permettre le retrait.
Ces informations sur la confidentialité doivent être à jour, compréhensibles, dénuées d’ambiguïté et faciles d’accès dans l’ensemble du site Web ou de l’application. Certaines exigences peuvent varier selon le type d’activité de traitement, la région, l’âge de l’utilisateur ou le type de société. Il convient donc de noter qu’en plus des obligations générales présentées ici, d’autres responsabilités pourraient vous incomber en fonction de la législation qui vous est applicable. Les sections suivantes présentent des informations relatives à des situations plus précises.
De façon générale, vous devez communiquer aux utilisateurs :
Vous pouvez également être tenu de communiquer des informations supplémentaires aux utilisateurs, aux tiers et à l’autorité de contrôle en fonction de la législation qui vous est applicable.
Prenons pour exemple la loi de la Californie sur la vie privée des consommateurs, le California Consumer Privacy Act (CCPA). En vertu de la CCPA, les utilisateurs doivent être informés, en particulier, de la possibilité que leurs données soient vendues (c’est-à-dire « partagées avec des tiers pour en retirer un bénéfice, notamment financier »). Ces informations doivent être affichées clairement sur la page d’accueil du site et inclure un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) permettant aux utilisateurs de refuser la vente de leurs données. Pour en savoir plus sur la mise en conformité avec la CCPA, cliquez ici.
Le consentement désigne ici l’accord éclairé et volontaire d’un utilisateur à un événement ou processus précis.
Pour faire simple, les utilisateurs doivent être en mesure de refuser, retirer ou donner (en fonction de la législation en vigueur dans la région concernée) leur consentement. Pour obtenir le consentement de l’utilisateur, vous pouvez employer tout moyen qui nécessite qu’il effectue un acte positif direct et vérifiable : une case à cocher, un champ de saisie de texte, un bouton à activer, un e-mail de confirmation à envoyer, etc.
En général, les lois d’une région précise s’appliquent lorsque :
Cela signifie donc que les règles d’une région peuvent vous être applicables ou s’appliquer à votre société même lorsque vous n’êtes pas établi dans cette région. C’est pourquoi il est toujours conseillé d’aborder vos activités de traitement de données en tenant compte des règles en vigueur les plus strictes. Pour en savoir plus sur les lois qui vous sont applicables, cliquez ici.
Aux États-Unis, il n’existe pas de législation nationale complète sur les données, mais de nombreuses lois au niveau des États ainsi que des directives sectorielles et des lois fédérales spécifiques. L’activité d’un site Web ou d’une application se limite rarement à un seul État, c’est pourquoi il est toujours préférable de respecter les règles en vigueur les plus strictes. Cela dit, le cadre juridique le plus robuste en matière de données est celui de l’État de Californie. La loi de la Californie sur la protection de la vie privée en ligne, le California Online Privacy Protection Act (CalOPPA), mise en œuvre en 2004, était la première loi étatique à rendre les politiques de confidentialité obligatoires. Elle s’applique à toute personne physique ou morale dont le site Web ou l’application traite les données personnelles de résidents de Californie.
En plus des informations dont la communication est généralement exigée comme nous l’avons vu ci-dessus, en vertu de la CalOPPA, vous êtes tenu de :
En ce qui concerne le consentement, le droit des États-Unis impose généralement de donner aux utilisateurs un moyen clair de retirer leur consentement (lorsqu’ils ne s’opposent pas au traitement de leurs données, c’est qu’ils y consentent). Des règles différentes s’appliquent toutefois aux « données sensibles » (p.ex. les données de santé, les rapports de solvabilité, les données des étudiants ou encore les informations personnelles des enfants de moins de 13 ans). Dans de tels cas, les utilisateurs doivent donner leur consentement par un acte positif vérifiable, comme le fait de cocher une case (lorsqu’ils ne consentent pas au traitement de leurs données, c’est qu’ils s’y opposent).
Lorsque votre service recueille, utilise ou divulgue intentionnellement les informations personnelles d’enfants de moins de 13 ans, des règles particulières s’appliquent à ces activités de traitement de données.
La loi sur la protection de la vie privée en ligne des enfants, le Children’s Online Privacy Protection Act (COPPA), est une loi fédérale des États-Unis visant à mieux protéger les données personnelles et les droits des enfants de moins de 13 ans.
En vertu de cette loi, lorsque vous exploitez un site Web ou un service en ligne qui s’adresse aux enfants de moins de 13 ans, ou lorsque vous avez conscience de recueillir des informations personnelles auprès d’enfants de moins de 13 ans, vous devez en aviser les parents et obtenir leur consentement vérifiable avant de procéder à la collecte, l’utilisation ou la divulgation de ces informations, et vous devez assurer la protection des informations recueillies.
« Vérifiable » signifie ici que vous devez obtenir ce consentement par un moyen qui ne peut pas être facilement contourné par un enfant et que vous devez être en mesure de prouver que ce consentement a de fortes chances d’avoir été donné par un adulte (p.ex. contrôler une pièce d’identité délivrée par le gouvernement en consultant une base de données pertinente).
Les « informations personnelles » des enfants désignent dans ce cadre :
💡 Plus d’informations sur les exigences légales relatives aux enfants et la loi COPPA.
Dans l’Union européenne, le Règlement général sur la protection des données (RGPD) a été promulgué afin de centraliser la protection des données des personnes se trouvant dans l’UE. Il est entré pleinement en vigueur en mai 2018. Le RGPD décrit les principes à respecter pour traiter les données personnelles en toute légalité (y compris les recueillir, les utiliser, les protéger ou interagir avec elles de façon générale).
Le RGPD s’applique lorsque :
Le RGPD s’applique donc à toutes les sociétés ou presque, ce qui signifie qu’il est susceptible de s’appliquer à votre organisation même lorsque celle-ci n’est pas établie dans l’UE.
Remarque : les mesures prévues par le RGPD couvrent également les utilisateurs qui se trouvent hors de l’UE lorsque le responsable du traitement est établi dans l’UE. Si vous êtes un responsable du traitement établi dans l’UE, vous devez donc appliquer les mesures prévues par le RGPD, par défaut, à TOUS vos utilisateurs.
Le champ d’application du RGPD est délimité par des critères matériels et territoriaux. Pour déterminer si une activité de traitement particulière échappe à son champ d’application, nous devons prendre en compte deux aspects.
Le RGPD s’applique au traitement des données à caractère personnel. Par conséquent, il ne s’applique pas aux données sur les sociétés, telles que le nom et l’adresse d’une société. Soyez tout de même prudent, car une société emploie habituellement des « personnes physiques ». Les données qui se rapportent à ces personnes sont considérées comme des données à caractère « personnel », qu’elles soient traitées dans le cadre d’une relation entre une entreprise et un consommateur (B2C) ou entre deux entreprises (B2B).
En outre, les données personnelles sont susceptibles de ne pas relever du champ d’application du RGPD dans d’autres scénarios, y compris lorsqu’elles sont traitées par une personne physique aux fins d’une activité strictement personnelle ou domestique. Pour en savoir plus, consultez notre guide dédié disponible ici.
Nous avons déjà mentionné les conditions d’application du RGPD du point de vue territorial, qui s’ajoutent aux autres conditions exposées ci-dessus. Pour qu’une activité de traitement ne soit pas concernée par le RGPD du point de vue territorial, elle doit donc remplir toutes les conditions suivantes :
Vous trouverez des exemples dans notre guide dédié disponible ici.
Regardez nos démos en direct et obtenez les réponses à vos questions en temps réel en participant à l’un de nos webinars gratuits en français. Ils comportent des cas concrets et conçus pour vous aider à comprendre et accomplir la mise en conformité de vos sites web et applications.
De façon générale, le RGPD exige :
Une base juridique. En vertu du RGPD, le traitement des données utilisateur doit avoir au moins une base juridique. Le RGPD prévoit six bases juridiques.
Un consentement vérifiable. En vertu du RGPD, le consentement fait partie des bases juridiques du traitement des données utilisateur et, en tant que tel, doit être « donné librement, spécifique, éclairé et explicite ». Cela signifie que le mécanisme d’obtention du consentement doit être dénué d’ambiguïté et impliquer un acte volontaire et clair. En particulier, le RGPD interdit l’usage de cases pré-cochées et de mécanismes similaires, qui sont activés par défaut et que l’utilisateur doit désactiver s’il ne souhaite pas donner son consentement.
Le RGPD accorde également à l’utilisateur le droit de retirer son consentement ; il doit donc être aussi facile pour l’utilisateur de retirer son consentement que de le donner. En raison de la haute importance que le RGPD accorde au consentement, il est essentiel de documenter le consentement et d’en tenir un registre clair.
Votre registre des consentements devrait au moins contenir les informations suivantes :
Le consentement n’est pas la seule base juridique sur laquelle une organisation peut traiter les données utilisateur. Les sociétés peuvent s’appuyer sur d’autres bases juridiques (prévues par le RGPD) pour effectuer une activité de traitement de données. Cela dit, il y a toujours des activités de traitement de données pour lesquelles le consentement est la seule ou la meilleure option.
De nombreuses autorités de protection des données à travers l’UE ont renforcé leurs exigences et aligné leurs règles en matière de cookies et traqueurs sur les exigences du RGPD. Plus précisément, vous devez enregistrer les préférences de vos utilisateurs et en conserver la preuve.
Le Registre des Préférences Cookies et Consentements est désormais disponible dans Privacy Controls and Cookie Solution. Cliquez ici pour plus d’informations sur la façon de l’activer dans Privacy Controls and Cookie Solution.
En vertu du RGPD, les utilisateurs disposent de certains droits à l’égard de leurs données. En tant que responsable du traitement, vous devez à la fois leur fournir des informations sur les droits dont ils disposent et leur permettre d’exercer ces droits. Ces droits incluent :
Exigences spécifiques en cas de transfert de données hors de l’EEE. Le RGPD n’autorise les transferts de données des résidents de l’UE hors de l’Espace économique européen (EEE) que lorsqu’ils sont conformes aux conditions prévues.
Protection de la vie privée dès la conception et par défaut. En vertu du RGPD, la protection des données doit être intégrée dès le début de la conception et du développement des processus et des infrastructures de l’entreprise.
Divulgation des violations de sécurité. En vertu du RGPD, vous êtes tenu d’informer l’autorité de contrôle de toute violation de données affectant les données utilisateur 72 heures au plus tard après en avoir pris connaissance. Dans de nombreux cas, vous êtes également tenu d’en informer les utilisateurs affectés.
Désignation d’un DPO (lorsque certaines conditions sont réunies). Dans certaines situations, il est possible que vous soyez tenu de désigner un délégué à la protection des données (DPO) qui sera chargé de la supervision des activités de traitement et du suivi de la conformité avec le droit applicable. La désignation d’un DPO est notamment obligatoire en cas de traitement systématique et à grande échelle de données utilisateur ou en cas de traitement de catégories de données particulières (les données sensibles).
Tenue d’un registre des activités de traitement. Comme prévu à l’article 30, le RGPD exige la tenue d’un registre à jour, « complet et approfondi » de vos activités de traitement des données. Un registre complet et approfondi des activités de traitement est explicitement exigé lorsque les activités de traitement des données ne sont pas occasionnelles, lorsqu’elles pourraient engendrer un risque pour les droits et libertés des utilisateurs, lorsqu’elles impliquent le traitement de « catégories particulières de données », ou encore lorsque votre organisation compte plus de 250 employés. Cette obligation s’applique donc à tous les responsables du traitement et sous-traitants ou presque. Toutefois, même lorsque vos activités de traitement ne relèvent pas des situations décrites ci-dessus, votre devoir d’information envers les utilisateurs vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous. Pour en savoir plus sur la façon de tenir un registre conforme en tant que responsable du traitement ou sous-traitant, consultez notre guide consacré au RGPD.
Réalisation d’une AIPD (lorsque certaines conditions sont réunies). Lorsque l’activité de traitement de données est susceptible d’engendrer un risque élevé pour les utilisateurs, le RGPD exige la réalisation d’une analyse d’impact relative à la protection des données (AIPD).
💡 Pour en savoir plus sur le RGPD, cliquez ici.
L’utilisation des cookies implique à la fois de traiter des données utilisateur et d’installer des fichiers susceptibles d’être utilisés pour suivre les utilisateurs à la trace. Il s’agit donc d’un sujet de préoccupation majeur en matière de droits des utilisateurs à la protection de leurs données. La Directive ePrivacy (également appelée Loi cookies) a été promulguée en réponse à cette inquiétude.
En vertu de la Loi cookies, les organisations qui ciblent des utilisateurs se trouvant dans l’UE doivent fournir aux utilisateurs des informations sur leurs activités de collecte de données et leur permettre de décider s’ils les autorisent ou non. Cela signifie que, lorsque votre site ou application (ou tout service tiers utilisé par votre site ou application) utilise des cookies, vous devez obtenir le consentement valable de l’utilisateur avant l’installation de ces cookies, excepté lorsque ces cookies relèvent de la catégorie des cookies exemptés.
💡 Pour en savoir plus sur les règles de l’UE en matière de consentement aux cookies qui s’appliquent dans chaque pays, consultez notre Aide-mémoire sur le consentement aux cookies.
En pratique, vous devez donc afficher un bandeau cookies lors de la première visite de l’utilisateur, mettre en place une politique relative aux cookies contenant toutes les informations requises, et donner aux utilisateurs les moyens de refuser le traitement (ou de retirer leur consentement à ce dernier) ou les informer de la marche à suivre. Vous ne devez installer aucun cookie (à l’exception des cookies exemptés) avant d’avoir obtenu leur consentement éclairé et explicite.
Comme nous l’avons mentionné plus haut, le « consentement » est l’une des six bases juridiques prévues par le RGPD. À ce titre, il doit être exprimé et documenté de façon très précise pour être jugé valable.
Mais devez-vous traiter le consentement à l’utilisation des cookies de la même façon que le consentement « classique » aux activités de traitement de données, p.ex. l’envoi d’une newsletter ?
En cas de réponse affirmative à cette question, vous devriez vous conformer à toutes les exigences relatives à la validité du consentement, même lors du dépôt des cookies. Toutefois, à l’heure actuelle, la plupart des commentateurs reconnaissent que cela serait à la fois impossible en pratique et non conforme aux intentions des législateurs de l’UE. Par conséquent, les exigences de consentement plus simples prévues par la Directive ePrivacy sont toujours considérées comme applicables au dépôt des cookies, en grande partie en raison de l’article 95 du RGPD. Toutefois, sachez que cette question fait l’objet de nombreux débats. Cette question ne sera réellement réglée que lors de l’adoption du Règlement ePrivacy, dont le développement est toujours en cours à l’heure actuelle.
Le bandeau cookies doit :
La politique relative aux cookies doit :
Conformément aux principes généraux de la législation en matière de protection de la vie privée, qui interdisent tout traitement préalable au consentement, la loi cookies interdit l’installation de cookies tant que l’utilisateur n’a pas donné son consentement. En pratique, vous devrez peut-être mettre en place un script pour bloquer les cookies jusqu’à l’obtention du consentement de l’utilisateur.
Sous réserve de la législation locale, ces actes peuvent consister à poursuivre la navigation, cliquer sur des liens ou faire défiler une page. Dans de nombreux cas, un clic sur « OK », la fermeture du bandeau cookies ou la poursuite de la navigation sur un site Web qui installe des cookies peut être considéré comme un consentement actif au dépôt de cookies, à condition que les utilisateurs aient été clairement informés à l’avance des conséquences de ces actes.
Certains cookies bénéficient d’une exemption de l’exigence de consentement et ne doivent donc pas faire l’objet d’un blocage préventif. (Toutefois, cela ne vous dispense pas de l’obligation d’informer les utilisateurs de votre utilisation des cookies, comme expliqué dans la section « Mise en garde » ci-dessous.) Les cookies exemptés sont les suivants :
* Cette exemption peut ne pas s’appliquer à toutes les régions et dépend donc des règles locales en vigueur.
Le seul cas dans lequel l’exemption de l’exigence de consentement s’applique clairement concerne les cookies techniques qui sont strictement nécessaires au fonctionnement des services explicitement demandés par l’utilisateur et qui ne suivent pas les utilisateurs à la trace.
Pour prendre un exemple réel, cette exemption peut s’appliquer à un site e-commerce qui permet à ses utilisateurs de « conserver » des articles dans leur panier tant qu’ils utilisent le site ou pendant la durée d’une session. Dans ce scénario, les cookies techniques sont à la fois nécessaires au fonctionnement du service d’achat et explicitement demandés par l’utilisateur lorsqu’il indique qu’il souhaite ajouter l’article à son panier. Notez toutefois que ces cookies techniques liés à une session ne sont pas des cookies de suivi.
Les cookies techniques incluent également les cookies de session liés à un utilisateur et utilisés pour détecter les accès frauduleux, les cookies de session d’équilibrage des charges ainsi que les cookies de session liés aux lecteurs multimédias et nécessaires à la prestation des services demandés par l’utilisateur.
Cela signifie-t-il que je n’ai pas besoin de bandeau cookies dans ces cas-là ?
Tout d’abord, il est essentiel de comprendre que lorsque cette exception à l’exigence de consentement s’applique, vous devez tout de même informer l’utilisateur de votre utilisation de cookies par le biais d’une politique relative aux cookies. Le bandeau cookies n’est pas forcément obligatoire dans ce cas précis, à condition que la politique relative aux cookies soit facile d’accès et visible depuis chaque page du site.
À l’avenir, la Directive ePrivacy sera remplacée par le Règlement ePrivacy, qui s’appliquera en plus du RGPD. Le futur règlement devrait perpétuer les mêmes valeurs que la directive.
Initialement créée en 1992, puis partiellement mise à jour en 2019, la LPD régit la confidentialité des données en Suisse. La récente révision, adoptée le 25 septembre 2020 et entrée en vigueur en septembre 2023, intègre des dispositions plus récentes ressemblant au RGPD tout en conservant ses principes suisses distincts.
💡 Vous pouvez en savoir plus sur la Loi fédérale suisse révisée sur la protection des données ici →
Bien qu’il existe de nombreuses nuances entre les deux lois, quelques différences notables comprennent :
En conclusion, les entreprises, notamment celles qui opèrent en Suisse ou avec ce pays, doivent se familiariser avec les nouvelles prescriptions de la LPD. Des plateformes comme iubenda peuvent aider à garantir la conformité, notamment en mettant en place une solide politique de confidentialité et de cookies. Alors que les réglementations internationales en matière de protection des données continuent d’évoluer, rester à jour et en conformité devient crucial pour les organisations du monde entier.
🚀 Découvrez comment respecter la LPD ici →
Ces exigences sont habituellement abordées dans des conditions générales valables et à jour, également appelées conditions générales de service, conditions générales d’utilisation (CGU) ou contrat de licence d’utilisateur final (CLUF).
En complément des obligations de communication et des exigences présentées ci-dessus (et sous réserve de la législation qui vous est applicable), lorsque vous exploitez un site Web ou une application e-commerce, vous êtes également tenu de respecter la législation commerciale en vigueur et les règles applicables à votre secteur d’activité.
En général, les entreprises qui participent à des transactions commerciales avec d’autres entreprises (relations B2B) sont tenues de respecter les règles prévues par les contrats qu’elles concluent ainsi que les directives sectorielles et nationales qui leur sont applicables. Toutefois, les échanges B2B impliquent souvent le traitement de données à caractère personnel (par exemple, celles des employés). Dans de tels cas, et lorsque le traitement relève de son champ d’application, le RGPD s’applique et prévaut sur ces règles et directives.
En vertu du droit de la consommation de la plupart des pays, lors de toute vente à un consommateur, en plus des informations sur la confidentialité dont la communication est exigée par défaut, vous devez fournir à votre client des informations sur :
Aux États-Unis, il n’existe pas de législation nationale sur les retours et les remboursements d’achats effectués en ligne ; dans la plupart des cas, ces règles sont définies par chaque État. Toutefois, en vertu de plusieurs lois étatiques, en l’absence d’informations sur les retours ou les remboursements présentées aux consommateurs avant l’achat, les consommateurs se voient automatiquement accorder des droits de retour ou de remboursement. Lorsque l’article acheté est défectueux, une garantie implicite peut s’appliquer en lieu et place d’une garantie écrite. Les garanties écrites doivent au moins respecter les normes d’équité du secteur d’activité.
Aux États-Unis, les exigences de communication d’information applicables au e-commerce dépendent encore largement de la législation de chaque État. Dans de nombreux cas, il est toutefois courant d’inclure ces informations dans les conditions générales. Par ailleurs, les informations sur les conditions de retour et de remboursement sont souvent intégrées au site Web ou à l’application, dans une zone dédiée facilement accessible depuis la page de description de chaque produit.
Le droit de la consommation de l’UE s’applique aux relations juridiques, et notamment contractuelles, entre les consommateurs (d’une part) et les professionnels et sociétés (de l’autre), soit aux relations B2C. Il ne s’applique pas aux relations B2B, c’est-à-dire entre entreprises (p.ex. lorsqu’un supermarché passe commande auprès de son fournisseur de fruits), ou C2C, soit entre consommateurs (p.ex. lorsque je vends mon vieux vélo sur eBay).
En vertu du droit de la consommation de l’UE, les consommateurs disposent notamment d’un droit de rétractation inconditionnel qui leur accorde un délai de 14 jours pour changer d’avis. Cela signifie que les consommateurs peuvent annuler ou se rétracter des contrats conclus à distance (soit les ventes réalisées en ligne, par téléphone ou par courrier) avec ou sans motif pendant 14 jours à compter de la réception du produit (lors des achats de biens).
Il convient de noter que la durée de 14 jours est la durée légale minimum ; dans certains pays, la législation nationale peut prévoir une durée plus longue, tandis que chaque prestataire peut la prolonger par contrat.
Ce droit de rétractation ne s’applique pas dans toutes les situations.
Voici certaines exemptions courantes :
Les consommateurs qui se trouvent dans l’UE bénéficient également par défaut, sans frais supplémentaires, d’une garantie légale de deux ans sur les produits achetés. À nouveau, cette durée de 2 ans est la durée légale minimum ; dans certains pays, la législation nationale peut prévoir une durée plus longue, tandis que chaque prestataire peut la prolonger par contrat.
Ces règles s’appliquent habituellement à toute société qui effectue des ventes auprès de résidents de l’UE, mais peuvent être différentes pour les vendeurs internationaux, au cas par cas. Il convient toutefois de noter que, dans des affaires récentes, des tribunaux des États-Unis ont décidé de faire appliquer le droit de l’UE en vigueur.
Quelle est donc la différence entre un retour de produit effectué en raison d’une rétractation et un autre effectué en raison d’une garantie ?
| Droit de rétractation | Garantie légale |
|---|---|
| S’applique pendant 14 jours à compter de la réception du produit ou de la signature du contrat | S’applique pendant 24 mois à compter de la réception du produit |
| Vous n’avez pas besoin de motif pour exercer ce droit ; vous pouvez changer d’avis, tout simplement | Vous ne pouvez retourner un produit en faisant valoir la garantie que lorsqu’il est défectueux ou inadapté aux finalités pour lesquelles il a été vendu et acheté |
| Les frais de retour du produit peuvent être à votre charge (à condition que cela soit indiqué) | Aucuns frais ne peuvent être à votre charge (lorsqu’un produit est défectueux, le vendeur est responsable) |
| S’applique avec quelques exceptions (dont certaines sont mentionnées ci-dessus) | S’applique toujours aux produits, mais jamais aux services |
Le droit de l’UE impose également aux vendeurs d’informer les consommateurs de l’existence de la plateforme européenne de Règlement en ligne des litiges (RLL) par un lien direct. La plateforme RLL permet aux consommateurs qui se trouvent dans l’UE de déposer facilement une plainte (au sujet d’une vente en ligne) à l’encontre d’une société établie dans l’UE. Cela signifie que les exigences relatives à la plateforme RLL s’appliquent également aux sociétés établies aux États-Unis qui ont une présence physique dans l’UE.
À noter : les entreprises et les consommateurs du Royaume-Uni ne peuvent plus accéder à la plateforme de RLL après le Brexit.
De façon générale, aucune règle supplémentaire ne s’applique aux sites Web appartenant à des personnes physiques (ou aux profils sur les réseaux sociaux, blogs, etc. également privés) dont la finalité est privée et personnelle. Toutefois, plusieurs législations de l’UE et nationales imposent aux opérateurs commerciaux de communiquer certaines informations.
Pour être considéré comme un opérateur « commercial », il n’est pas nécessaire de « vendre » quoi que ce soit. Un site Web personnel peut être considéré comme un site commercial lorsque, par exemple, il reçoit un trafic considérable et génère ainsi d’importants revenus publicitaires (p.ex. dans le cas des influenceurs). Toutefois, lorsque vous « vendez » effectivement des produits ou services, vos devoirs d’information sont plus nombreux.
Lorsque vous proposez directement des produits ou services aux consommateurs (B2C), vous avez des devoirs d’information supplémentaires, et notamment ceux listés ci-dessus. Vous devez également faire un lien vers la plateforme de règlement en ligne des litiges de l’UE, afficher des délais de livraison précis, et communiquer le prix et les taxes applicables, tel que prévu par la Directive 83/2011/UE.
Une adresse e-mail est considérée comme une donnée personnelle. Par conséquent, lorsque vous traitez des adresses e-mail, les lois sur la protection de la vie privée s’appliquent. Comme nous l’avons déjà mentionné, en vertu de la plupart des législations, vous êtes tenu de fournir des informations approfondies sur les activités de traitement et leurs finalités ainsi que les droits des utilisateurs.
En général, ces législations s’appliquent à tous les services qui ciblent les résidents de la région concernée, ce qui signifie qu’elles peuvent s’appliquer à votre société même lorsque celle-ci n’est pas établie dans cette région. Cet aspect est d’autant plus important lorsque vous utilisez une liste d’adresses e-mail que vous avez achetée, car vous ne connaissez pas toujours le pays de résidence du destinataire.
C’est pourquoi il est toujours conseillé d’aborder vos activités de traitement de données en tenant compte des règles en vigueur les plus strictes.
En vertu de la loi CAN-SPAM de la Commission fédérale du commerce (FTC), vous n’êtes pas tenu d’obtenir le consentement des utilisateurs se trouvant aux États-Unis avant de les ajouter à votre liste de distribution ou de leur envoyer des messages commerciaux. Toutefois, vous devez obligatoirement mettre à disposition des utilisateurs un moyen clair de s’opposer a posteriori à tout contact ultérieur.
Le droit de l’UE (notamment le RGPD) impose d’obtenir le consentement éclairé de l’utilisateur avant de l’inscrire à un service. En vertu des règles de l’UE, l’obtention du consentement peut être considérée comme un processus en deux étapes qui inclut l’information de l’utilisateur et l’obtention de son consentement vérifiable par un acte positif.
💡 Pour en savoir plus sur les exigences légales applicables aux newsletters et listes d’adresses e-mail, cliquez ici.
La loi sur la protection de la vie privée en ligne des enfants, le Children’s Online Privacy Protection Act (COPPA), est une loi fédérale des États-Unis qui vise à mieux protéger les données personnelles et les droits des enfants de moins de 13 ans. En vertu de la loi COPPA, les exploitants de sites Web ou de services en ligne qui s’adressent aux enfants de moins de 13 ans ou qui ont conscience de recueillir des informations personnelles auprès d’enfants de moins de 13 ans, doivent en aviser les parents et obtenir leur consentement vérifiable avant de procéder à la collecte, l’utilisation ou la divulgation de ces informations, et doivent assurer la protection des informations recueillies auprès de ces enfants.
La mise en place d’une politique de confidentialité conforme à la loi COPPA est une exigence centrale de cette loi. Les sections suivantes présentent des informations relatives à la conformité avec la loi COPPA. Pour en savoir plus sur cette loi, cliquez ici.
En vertu du RGPD de l’UE, le consentement est l’une des bases juridiques du traitement des données relatives aux enfants. Lorsque vous utilisez cette base juridique pour traiter des données relatives à des enfants de moins de 13 ans, vous devez obtenir le consentement vérifiable d’un parent ou tuteur, excepté lorsque le service que vous proposez est un service de prévention ou de conseil.
Pour en savoir plus sur les exigences légales applicables aux données relatives aux enfants, cliquez ici.
Bien qu’elles ne soient pas toujours exigées par la loi, les conditions générales de service (CGS) ou d’utilisation (CGU), également appelées contrat de licence d’utilisateur final (CLUF), sont souvent nécessaires pour des questions de commodité et de sécurité. Elles vous permettent de fixer le cadre de vos relations contractuelles avec vos utilisateurs et sont notamment essentielles à la défintion des conditions d’utilisation et à votre protection contre les situations qui pourraient engager votre responsabilité.
Les conditions générales sont un contrat juridiquement contraignant ; il est donc important d’en rédiger, mais aussi de s’assurer qu’elles sont conformes aux exigences légales.
En général, des conditions contractuelles standard s’appliquent et, en vertu de la plupart des législations, les contrats utilisés par les commerçants doivent être équitables. Cela signifie que votre document doit être tenu à jour au regard de toutes les règles en vigueur et qu’il doit être précis, visible et facile à comprendre afin que les utilisateurs puissent facilement le trouver et l’accepter.
L’acte par lequel ils signifient leur acceptation devrait être dénué d’ambiguïté. Vous pouvez par exemple afficher une case à cocher avec un lien visible vers le document avant la création d’un compte ou l’utilisation du service.
Bien que leur contenu puisse varier selon les spécificités de votre société, vos conditions générales devraient au moins inclure les informations suivantes :
Pour en savoir plus sur les conditions générales, cliquez ici. Pour savoir comment les créer, cliquez ici.
Les applications et services tiers doivent aussi respecter la loi. Tout comme les organisations qui les intègrent à leurs systèmes, leurs prestataires s’exposent à des risques considérables d’atteinte à la réputation, d’amende et de sanction en cas de manquement à leurs obligations légales. C’est pourquoi il est souvent obligatoire que tous leurs partenaires et les clients qui utilisent leurs services se conforment aux normes réglementaires.
En général, ces normes imposent aux organisations qui utilisent leurs services de mettre en place une politique de confidentialité conforme (ainsi qu’une politique relative aux cookies conforme, lorsqu’elles y ont recours) contenant des informations détaillées sur la relation et les services fournis.
Les applications et services tiers doivent aussi respecter la loi. C’est pourquoi il est souvent obligatoire que tous leurs partenaires et les clients qui utilisent leurs services se conforment aux normes réglementaires
Prenons Google pour exemple. Pour accéder à certains services et outils (par exemple, AdSense, Google Analytics et Google Play Store), Google vous impose de mettre en place une politique de confidentialité exhaustive et à jour. Voici un extrait des conditions d’utilisation de Google Analytics :
« Vous devez publier des Règles de confidentialité, ces Règles de confidentialité devant mentionner que Vous utilisez des cookies […] permettant de recueillir des données », et « Vous ne devez contourner aucune des fonctionnalités mises en place pour garantir la protection de la vie privée et faisant partie du Service (par exemple, en proposant une possibilité de désactivation) ».
Intéressons-nous à présent à l’exemple d’Amazon. Voici un extrait de leurs conditions :
Nous avons étendu l’obligation de divulguer notre relation d’affiliation à tous les moyens par lesquels vous êtes susceptible de tirer profit du contenu des Partenaires.
Les exigences des tiers sont susceptibles d’être modifiées en réponse à l’évolution des règles internes ou régionales. Il est donc nécessaire de vous assurer que vos politiques répondent aux exigences les plus récentes pour éviter une interruption du service ou des pénalités potentielles.
Pour en savoir plus sur les exigences de Google, cliquez ici, et sur celles d’Amazon, cliquez ici.
Les conséquences juridiques d’une violation peuvent être de différentes natures :
En cas de violation de la loi CalOPPA ou COPPA, des représentants du gouvernement peuvent intenter des poursuites ou solliciter une amende administrative à votre encontre. Par exemple, les propriétaires du site Imbee ont été condamnés à une amende de 130 000 dollars américains pour avoir permis à des enfants de moins de 13 ans de s’inscrire sans consentement parental, en violation de la loi COPPA.
Des amendes similaires peuvent être appliquées en vertu d’autres lois étatiques ou fédérales. Une violation des exigences du RGPD peut entraîner des amendes pouvant s’élever jusqu’à 20 millions d’euros (20 M €) ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).
Vous pouvez faire l’objet de sanctions disciplinaires en cas de violation avérée des règles en vigueur. Ces sanctions peut notamment inclure le rappel à l’ordre officiel (pour les organisations qui n’en sont qu’à leur première violation) et les audits périodiques sur la protection des données. Le RGPD accorde explicitement aux utilisateurs le droit d’introduire une réclamation auprès d’une autorité de contrôle lorsqu’ils estiment qu’un traitement de leurs données à caractère personnel a été réalisé en violation du RGPD.
Ainsi, lorsqu’un cas de violation du RGPD lui est signalé, l’autorité de contrôle peut choisir de réaliser un audit de vos opérations de traitement des données. Si cet audit révèle qu’une activité de traitement a été réalisée de façon illicite, vous pouvez vous voir non seulement imposer une amende, mais aussi interdire de poursuivre l’utilisation des données visées par le signalement. Cela signifie que, si la violation porte sur la collecte d’adresses e-mail, vous risquez de vous voir interdire d’utiliser l’intégralité de la liste d’adresses e-mail concernée.
En cas de violation du droit de la consommation ou de la concurrence (comme un acte de concurrence déloyale), les autorisés compétentes (généralement nationales) peuvent également vous imposer une amende.
L’obligation de réparation d’un préjudice injuste causé à autrui, notamment en violation d’une règle légale, est un principe général du droit civil. Comme d’autres textes, le RGPD et la loi CalOPPA accordent aux utilisateurs un droit à réparation de tout préjudice résultant d’une violation de leurs droits. La même logique se retrouve dans tout autre texte en vigueur, comme les dispositions de l’UE en matière de protection des consommateurs.
N’oubliez pas que la responsabilité en cas de préjudice causé à autrui s’applique à toutes les relations. Ainsi, un partenaire d’affaires pourrait avoir droit à réparation en cas de violation d’une disposition légale de votre part. Par exemple, en cas de vente de contrefaçons par le biais d’une plateforme partenaire comme Amazon, celle-ci peut intenter une action en justice à votre encontre, tout comme les clients qui vous ont acheté ces contrefaçons.
Certains services tiers (y compris des places de marché et boutiques d’applications) peuvent intégrer la conformité avec des règles précises à leurs conditions d’utilisation ; la violation de ces conditions peut alors entraîner la résiliation du service, voire un bannissement permanent.
Voici un exemple issu des conditions générales du réseau des partenaires Amazon Web Services portant sur le consentement :
Concernant les Données de tiers que vous êtes susceptible de fournir à AWS, vous déclarez et garantissez que vous avez reçu tous les consentements nécessaires pour (a) partager les Données de tiers avec AWS et ses sociétés affiliées, et (b) permettre à AWS et à ses filiales d’utiliser les Données de tiers pour contacter les personnes concernées aux fins de la commercialisation de nos biens et services et du Programme.
Dernier point, mais non le moindre, lorsque certaines conditions sont réunies, vous pouvez être exposé aux conséquences prévues par le droit pénal. Par exemple, une violation ou omission intentionnelle des dispositions en matière de protection des données à des fins commerciales (p.ex. la vente de données personnelles de vos utilisateurs sans information préalable) peut avoir de lourdes conséquences. Toutefois, le droit pénal est majoritairement national : les conditions et les conséquences doivent être vérifiées au cas par cas.
Nous croyons en l’importance d’une approche complète de la conformité avec le droit des données. C’est pourquoi nous assurons une veille des principales législations, concevons nos solutions en tenant compte des règles les plus strictes et mettons à votre disposition de nombreuses options de personnalisation de vos documents.
De cette façon, vous avez l’assurance de respecter vos obligations légales (où que se trouvent vos clients), de protéger vos clients – en instaurant un climat de confiance et en renforçant votre crédibilité – et, ainsi, de réduire le risque de litige.
Nous assurons une veille des principales législations et concevons nos solutions en tenant compte des règles les plus strictes
Voici ce dont vous avez besoin pour débuter votre mise en conformité complète :
Comme nous l’avons mentionné plus haut, vous devez fournir aux utilisateurs des informations sur la façon dont vous utilisez leurs données personnelles. C’est pourquoi la plupart des législations à travers le monde exigent une politique de confidentialité. Ce document juridique doit indiquer de quelle façon votre site Web ou application recueille, traite, conserve, partage et protège les données utilisateur, quelles sont les finalités de ces traitements, et de quels droits disposent les utilisateurs à cet égard.
Notre Générateur de Politique de Confidentialité vous permet de créer un document à un prix abordable, disponible en plusieurs langues, conçu avec soin par un avocat, personnalisable et tenu à jour automatiquement (grâce au suivi effectué à distance par nos avocats). Vous pouvez facilement créer une politique de confidentialité précise et visuellement agréable qui s’intègre de façon harmonieuse à votre site Web ou application. Il vous suffit de cliquer sur un bouton pour ajouter l’une des nombreuses clauses pré-existantes ou de rédiger vos propres clauses personnalisées.
La politique de confidentialité présente également une option qui vous permet d’y inclure une politique relative aux cookies. (Celle-ci est nécessaire lorsque votre site Web ou application utilise des cookies.) Ces politiques sont personnalisables selon vos besoins et sont tenues à jour à distance par une équipe juridique.
Pour plus d’informations sur la façon de générer votre politique de confidentialité, cliquez ici
L’utilisation des cookies implique à la fois de traiter des données utilisateur et d’installer des fichiers utilisés pour suivre les utilisateurs à la trace. Il s’agit donc d’un sujet de préoccupation majeur en matière de droits des utilisateurs à la protection de leurs données. Lorsque vous êtes établi dans l’UE ou avez potentiellement des utilisateurs qui se trouvent dans l’UE, vous devez donc vous mettre en conformité avec la Loi cookies.
Cette mise en conformité s’appuie sur 4 piliers :
Notre produit Privacy Controls and Cookie Solution est conforme aux dispositions de la Directive ePrivacy (la Loi cookies). En plus de faciliter l’information des utilisateurs et l’obtention de leur consentement, elle inclut une option de blocage préventif des scripts qui installent des cookies jusqu’à l’obtention du consentement de l’utilisateur (un blocage exigé dans de nombreux pays de l’UE). Elle est facile à utiliser, rapide et ne demande pas d’investissement important.
→ Pour obtenir des réponses à vos questions en direct et poursuivre votre découverte de l’outil Privacy Controls and Cookie Solution et du Générateur de Politique de Confidentialité et de Cookies, participez à l’un de nos webinars gratuits.
Pour plus d’informations sur Privacy Controls and Cookie Solution, cliquez ici.
Bien qu’elles ne soient pas toujours exigées par la loi, les conditions générales sont nécessaires en pratique. Elles régissent vos relations contractuelles avec vos utilisateurs et définissent les conditions d’utilisation de votre produit, service ou contenu, de façon juridiquement contraignante.
Il est donc essentiel que ce contrat soit précis et à jour au regard de toutes les règles en vigueur. Vous devriez y décrire les conditions générales d’utilisation de votre service en prêtant une attention particulière aux clauses de limitation de responsabilité et de dégagement de responsabilité.
Notre Générateur de Conditions Générales vous permet de générer et de gérer facilement des conditions générales professionnelles, personnalisables à partir de plus de 100 clauses, disponibles en 8 langues, rédigées par une équipe juridique internationale et à jour au regard des principales législations internationales.
Ce générateur puissant et précis est capable de traiter les scénarios les plus complexes et de répondre à tous les besoins de personnalisation.
Il s’accompagne :
Cette solution est optimisée pour tous les cas de figure, des sites e-commerce, blogs et applications aux scénarios complexes tels que les places de marché et les plateformes SaaS.
Pour commencer, c’est très imple. Il vous suffit d’activer les conditions générales (avec une licence Ultra) depuis votre tableau de bord et de commencer la génération.
💡 Pour obtenir une liste complète des fonctionnalités du Générateur de Conditions Générales, cliquez ici ou lisez le guide disponible ici.
Pour être en conformité avec les lois sur la protection de la vie privée, notamment le RGPD, les sociétés doivent conserver des preuves permettant de démontrer qu’elles ont obtenu le consentement des utilisateurs.
Le registre des consentements doit indiquer :
La Consent Database simplifie ce processus en vous aidant à conserver facilement la preuve du consentement et à gérer le consentement et les préférences en matière de vie privée de chacun de vos utilisateurs. Notre solution vous permet de suivre tous les aspects du consentement (y compris la déclaration de confidentialité ou toute autre information juridique et le formulaire de consentement qui ont été présentés à l’utilisateur au moment du recueil de consentement) ainsi que les préférences connexes exprimées par l’utilisateur.
Pour l’utiliser, il vous suffit d’activer la Consent Database et d’en récupérer la clé API, puis de l’installer via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les mettre à jour.
💡 Pour obtenir une liste complète des fonctionnalités de la Consent Database, cliquez ici ou lisez le guide disponible ici.
En pratique, la satisfaction des exigences du RGPD peut représenter un défi technique. Cela est d’autant plus vrai en matière de gestion de la protection de la vie privée au niveau interne. Pour être conforme, vous devez être en mesure de suivre et de décrire :
Notre solution vous simplifie l’enregistrement et la gestion de toutes les activités de traitement de données effectuées au sein de votre organisation pour vous permettre de vous conformer facilement aux exigences légales et de satisfaire vos obligations.
Elle vous permet de créer un registre des activités de traitement :
Remarque : même lorsque vos activités de traitement ne relèvent pas des situations déjà décrites dans ce guide, votre devoir d’information envers les utilisateurs (qui résulte des articles 13 et 14 du RGPD) vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous.
De plus, bien que le RGPD soit une raison courante de faire plus d’efforts en matière de gestion de la protection de la vie privée au niveau interne, notre outil n’est pas conçu exclusivement pour la mise en conformité avec le RGPD. Il peut également être utilisé à des fins générales de gestion de la protection de la vie privée au niveau interne, y compris par des sociétés qui n’ont pas d’utilisateurs ou de clients au sein de l’UE.
→ Pour obtenir des réponses à vos questions en direct et poursuivre votre découverte de la Consent Database et le Registre des activités de traitement des données, participez à l’un de nos webinars gratuits.
Veuillez noter que les lois sont susceptibles d’être modifiées ou mises à jour. Il est donc important de vous assurer que vos politiques répondent aux exigences les plus récentes. C’est pourquoi nous utilisons une méthode d’intégration, et NON de copier-coller. Avec cette méthode, vous avez l’assurance que votre politique reste à jour grâce au travail effectué à distance par notre équipe juridique.
