La protection des données à caractère personnel est garantie en France par un texte de loi, la loi 78-17 du 6 janvier 1978 modifiée appelée « Loi informatique et libertés » Au niveau européen, elle est garantie par la Directive 95/46/CE sur la protection des données à caractère personnel. Afin de se mettre en conformité avec la réglementation en vigueur, et de témoigner de leurs engagements, les organismes deviennent de plus en plus nombreux à mettre en place une politique interne de protection des données à caractère personnel.
Un engagement citoyen et un argument commercial de différenciation
Si la loi informatique et libertés prévoit plusieurs obligations quant aux modalités de traitement, de collecte et de conservation des données à caractère personnel des individus, les entreprises y ont décelé un argument commercial de différenciation sur le marché à mettre en avant depuis l’affaire Prism et les révélations d’Edward Snowden qui ont égratigné la confiance des consommateurs vis-à-vis des acteurs économiques.
La problématique de la confidentialité des données personnelles est depuis devenue un véritable débat public. Les utilisateurs réclament plus de transparence et souhaitent reprendre le contrôle sur leurs données. Conséquence, certaines entreprises sont scrutées et de plus en plus décriées par leurs utilisateurs du fait de leurs business models exclusivement fondés sur la monétisation des données personnelles.
Un outil pour renouer confiance avec ses utilisateurs
Ainsi, pour se démarquer de leurs concurrents présents sur le marché, certains organismes n’hésitent plus à donne une image « exemplaire » et à revendiquer une démarche de protection des données personnelles de leurs consommateurs se manifestant par des engagements concrets contenus dans leur politique de protection des données.
Cette dernière constitue un outil qui permet à un organisme de communiquer sur leur attachement au respect de la vie privée et des données personnelles de leurs utilisateurs. Il permet ainsi à l’entité de nouer un lien de confiance durable avec ses utilisateurs. En effet, elle contient les principes de traitement des données et décrit la manière dont les données à caractère personnel de leurs utilisateurs sont protégées et rendues confidentiels par l’entité.
Un outil de communication
On peut trouver plusieurs rubriques dans une politique de protection des données personnelles. Certaines sont obligatoires conformément à la réglementation en vigueur, et d’autres relèvent de l’engagement de l’organisme.
En général, la politique de protection des données personnelles d’une entité est accessible sur le site de cette dernière.
Elle informe sur :
- l’identité du responsable de traitement et les finalités du traitement des données personnel ;
- les données qui sont collectées par l’entreprise ;
- les modalités d’exercice des droits des individus sur leurs données personnelles (droit d’accès, de rectification, d’opposition) ;
- les éventuels transferts ou communication des données collectées à des entités tierces ;
- les modalités de conservation des données collectées ;
- les garanties relatives à la sécurisation et à la confidentialité des données collectées ;
- la présence de cookies ou balises sur leurs sites internet et les modalités pour les désactiver.
Outre la mise en place d’une politique de protection des données personnelles, certaines entités ont nommé un Correspondant informatique et libertés (CIL) même si cette démarche est facultative en France. Ce dernier est chargé de veiller au respect de la loi Informatique et Libertés au sein de l’entreprise, du groupe, de l’association ou de l’administration qui l’a désigné. Il est également chargé de diffuser auprès de l’ensemble des salariés de l’organisme, la politique de protection des données personnelles qui a été mise en place. Même si la nomination d’un CIL permet à une entité de bénéficier de la simplification de certaines formalités administratives à effectuer auprès de la Commission Nationale de l’Informatique et des Libertés (C.N.I.L), sa désignation témoigne de l’engagement de l’entité en faveur de la protection des données personnelles de ses utilisateurs.