Comment la rédiger ?

1. Rappels des principes de la réglementation

• Traiter les données personnelles comme des attributs de la personne physique. Quand vous développez un traitement de données personnelles, posez-vous toujours la question : est-ce que je respecte la personne concernée par ces informations ? Est-ce que je veille bien à en préserver au mieux la confidentialité et la sécurité ? Est-ce que j’ai prevu une méthode pour supprimer les données qui ne me servent plus a rien ?
• La personne concernée doit être en mesure de savoir ce que vous faites de ses données personnelles. En gros, il faudra au moins une page de “mentions légales” qui décrit un peu ce que vous faites des données. Cette page devra être accessible a tout moment par vous utilisateurs. Le footer ou le pied de page du site peut donc être un bon endroit pour mettre un lien vers cette page.

2. La structure du texte.

Votre texte va devoir contenir certaines informations obligatoires. Certaines sont plus ou moins communes a tous les traitements, donc vous pouvez les réutiliser facilement. Mais d’autres nécessiteront un peu de personnalisation.

Vos mentions vont devoir répondre à quelques questions :

• Qui êtes-vous et pourquoi mettez-vous en place ce traitement ?
• Quelles sont les données que vous collectez et traitez ?
• Où sont-elles hébergées et à qui les partagez-vous ?
• Quels sont les droits de l’utilisateur ou de l’utilisatrice ?
• Comment exercer ces droits ?

3. Cas d’étude.

Prenons les mentions légales associée à la billetterie en ligne du Centre Pompidou, accessibles ici. Elles sont complètes et assez simples à réutiliser.

On constate qu’elles reprennent peu ou prou les questions évoquées plus haut.

• Le premier bloc rouge correspond principalement à la description de qui vous êtes, en tant qu’organisme. Il doit au moins y avoir un nom de personne morale ou physique qu’on pourrait retrouver en cas de procédures légales. Ce bloc se finit par une phrase qui donne brièvement le but du service mis en place (la « finalité »). Dans notre cas, c’est le service de billetterie en ligne.
• Les blocs orange sont spécifiques au traitement mis en place. Ils précisent quelques critères de conception de notre service, comme :
  • les données qui sont collectées et traitées. Pourquoi demande-t-on telle ou telle information à l’utilisateur et que compte-t-on en faire ?
  • Où est-ce qu’elles seront hébergées ? En Europe, aux USA ? Par qui ? OVH, Amazon, Scaleway ?
  • Qui y aura accès ? Il faut au moins préciser la liste de vos partenaires, et vous pouvez même préciser les directions ou les services dans votre entreprise, en charge de traiter ces données.