Mentions légales conformes au RGPD
Dernière mise à jour le 24/01/2022
Les mentions légales de chaque entreprise ou organisme doivent être conformes au RGPD. En effet, celles-ci permettent d’informer chaque client ou utilisateur du traitement et de l’utilisation de ses données personnelles.
Elles sont obligatoires et doivent répondre à plusieurs conditions au risque de s’exposer à des sanctions.
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est une directive européenne qui a pour but de fixer les conditions dans lesquelles sont collectées, conservées et exploitées des données à caractère personnel au sein de l’Union européenne. Il a été adopté en 2016 et trouve son application en France depuis 2018 dans la loi Informatique et Libertés.
Les personnes concernées par le RGPD
Tous les organismes, public ou privé, qui collectent ou traitent des données à caractère personnel sont concernés par le RGPD. Ainsi, tel est le cas des TPE ou des associations. Ainsi, toute organisation établie sur le territoire européen procédant à un traitement des données à caractère personnel est soumise au RGPD. Il en est de même pour les organismes qui ne sont pas présents au niveau de l’Union européenne, mais ayant pour cible directe des résidents européens.
Les données à caractère personnel
On considère que les données sont à caractère personnel lorsqu’elles permettent d’identifier une personne :
- directement : en collectant par exemple un nom, prénom, email, etc…
- indirectement : par la collecte d’un pseudonyme, numéro client, etc…
Comment mettre en conformité ses mentions légales avec le RGPD ?
Le RGPD impose plusieurs obligations aux organismes collectant des données, la première étant une obligation d’information et de transparence à l’égard de ses clients et utilisateurs. C’est pourquoi, les sociétés doivent intégrer au sein de leurs mentions légales une partie portant sur le traitement et l’utilisation des données personnelles.
Les obligations générales pour des mentions légales conformes au RGPD
Les entreprises doivent tout d’abord respecter des obligations générales. Celles-ci portent principalement sur l’accessibilité et la clarté des informations sur le traitement des données personnelles des clients. Ainsi, ces informations doivent être :
- Claires, précises et concises
- Accessibles facilement par les clients
- Formulées de façon à donner une vision globale du traitement des données
Les mentions obligatoires
Outre ces obligations générales, l’organisme collecteur doit obligatoirement fournir certaines informations concernant la collecte et le traitement des données personnelles. Il doit ainsi préciser au sein de ses CGU les informations suivantes :
- L’identité et les coordonnées du responsable de traitement des données • La finalité et la base juridique du traitement des données
- Le caractère ou non obligatoire de la collecte des données
- Le destinataire des données
- La durée de conservation des données
- Les droits des clients sur les données collectées et traitées
- Le droit du client d’introduire une réclamation
En cas de défaut de ces mentions dans les CGU, l’entreprise peut être soumise à des sanctions de la CNIL dont le paiement d’une amende.
Les droits des clients et utilisateurs
Le RGPD octroie de nombreux droits aux personnes dont les données sont collectées et traitées. Il appartient à l’organisme collecteur de les informer sur ces droits. Ainsi, les mentions légales doivent impérativement informer les clients sur leurs droits :
- d’accès aux données
- de rectification : chaque client peut corriger ou compléter ses données
- d’opposition : chaque client peut refuser le traitement de ses données (et ce à tout moment)
- à l’effacement des données
- à la portabilité des données : chaque client peut récupérer les données qu’il a fournies à l’organisme collecteur
- de limitation du traitement : chaque client peut demander sous certaines conditions le gel de l’utilisation de ses données
Quelles sanctions en cas de non-conformité des mentions légales au RGPD ?
En cas de non-respect du RGPD constaté par la CNIL, l’entreprise s’expose à des sanctions pénales et administratives.
Ainsi, la CNIL peut adresser un avertissement et obliger la société à se mettre en conformité dans les plus brefs délais. Dans ce cas, l’entreprise concernée peut recevoir une mise en demeure. Si la situation perdure, des sanctions peuvent alors être prononcées.
En fonction de la gravité de la violation du RGPD, l’organisme en question peut être obligé à payer une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Dans le cas où une personne dont les données personnelles sont collectées est affectée par une des violations de ce règlement, des demandes de dommages et intérêts peuvent être ajoutées à ces amendes administratives.
Outre le défaut d’informations via les mentions légales conformes au RGPD, d’autres faits peuvent être répréhensibles, notamment :
- Le défaut de consentement ;
- Le non-respect des droits des personnes ;
- Les traitements illicites de données ;
- Le défaut d’étude d’impact ;
- Le manque de prudence lors des transferts transfrontaliers de données ;
- Le défaut d’information à la CNIL et aux personnes concernées en cas de fuite de données ;
Outre l’impact financier pouvant être causé par un manquement au respect du RGPD, les conséquences peuvent porter sur la réputation de l’entreprise ainsi que sur le capital confiance vis-à-vis de ses clients et autres interlocuteurs.
FAQ
Qui est concerné par le RGPD ?
Tous les organismes, public ou privé, qui collectent des données à caractère personnel sont concernés par le RGPD. Les personnes dont les données sont collectées se trouvent elles aussi concernées car de nombreux droits leur sont attribués par le RGPD.
Quelles sont les obligations à respecter dans les mentions légales ?
Les organismes collecteurs doivent veiller à ce que les informations concernant la collecte et le traitement des données soient accessibles facilement par leurs clients. Elles doivent également être précises, concises et claires. Ils doivent par ailleurs respecter la mention obligatoire de certaines informations à l’égard de leurs clients.
De quels droits disposent les utilisateurs sur le traitement de leurs données ?
Les utilisateurs disposent de plusieurs droits à l’égard des organismes collecteurs tels que le droit d’accès, de rectification ou d’effacement de leurs données. Ils peuvent également s’opposer à l’utilisation de leurs données et introduire une réclamation auprès de l’organisme collecteur.
Dernière mise à jour le 24/01/2022