Exigences RGPD en matière d'avis de confidentialité pour les entreprises SaaS

Votre avis de confidentialité est l’artefact le plus visible de votre programme de conformité RGPD. C’est le document que vos utilisateurs, clients et employés lisent réellement (ou du moins parcourent). C’est ce que les régulateurs vérifient en premier. Et c’est là que l’écart entre ce que vous dites faire et ce que vous faites réellement devient inconfortablement visible.

Le principe de transparence du RGPD — consacré par les articles 12, 13 et 14 — exige que vous informiez les personnes de manière claire, concise et en langage simple de ce que vous faites avec leurs données personnelles. Un avis de confidentialité n’est pas une formalité juridique que l’on rédige une fois pour l’oublier. C’est un document vivant qui doit refléter fidèlement vos activités de traitement actuelles, mis à jour chaque fois que ces activités changent.

Pour les entreprises SaaS, les avis de confidentialité sont particulièrement nuancés. Vous avez probablement plusieurs audiences (visiteurs du site web, utilisateurs en essai gratuit, clients payants, clients entreprise, employés) et plusieurs types de traitement en cours simultanément. Ce guide parcourt les éléments obligatoires, les bonnes pratiques pour le SaaS et comment maintenir votre avis exact à mesure que votre produit évolue.

Avis de confidentialité vs. politique de confidentialité

Ces termes sont souvent utilisés de manière interchangeable, mais ils signifient des choses différentes :

Avis de confidentialité (tourné vers l’extérieur) : L’information que vous fournissez aux personnes concernées sur la manière dont vous traitez leurs données personnelles. C’est ce que le RGPD réglemente dans les articles 13 et 14. Il est tourné vers l’extérieur — il est destiné aux personnes dont vous traitez les données.
Politique de confidentialité (tournée vers l’intérieur) : Les règles et procédures internes de votre organisation pour le traitement des données personnelles. C’est un document opérationnel pour votre équipe — il régit la manière dont les employés doivent collecter, stocker, partager et supprimer les données personnelles.

Le RGPD exige spécifiquement l’avis, pas la politique. Lorsque nous parlons de « ce qui doit figurer sur votre site web », nous parlons de l’avis de confidentialité. La politique interne le soutient mais n’est pas ce qui est publié.

Que doit contenir un avis de confidentialité ?

Lorsque vous collectez directement les données — Article 13

Lorsque vous collectez des données personnelles directement auprès de la personne concernée (formulaires d’inscription, formulaires de contact, consentement aux cookies, création de compte), votre avis de confidentialité doit inclure tous les éléments suivants au moment de la collecte :

1. Identité et coordonnées du responsable du traitement. Le nom de votre entreprise, l’adresse du siège social et un moyen de vous contacter pour les questions de protection des données. Si vous faites partie d’un groupe d’entreprises, précisez quelle entité est le responsable du traitement.

2. Coordonnées du DPD. Si vous avez désigné un Délégué à la Protection des Données, fournissez ses coordonnées. Il peut s’agir d’une adresse email générique (dpd@entreprise.com) plutôt que d’une personne nommée.

3. Finalités et base juridique du traitement. Pour chaque catégorie de traitement, indiquez ce que vous faites avec les données et sur quelle base juridique vous vous appuyez. Ne regroupez pas tout sous une seule finalité vague — soyez précis. « Pour fournir le service que vous avez demandé » est une finalité. « Pour vous envoyer des emails marketing » est une finalité différente avec potentiellement une base juridique différente.

4. Intérêts légitimes (le cas échéant). Si vous vous appuyez sur l’intérêt légitime comme base juridique pour une activité de traitement, vous devez décrire quel est cet intérêt légitime. « Amélioration du produit » n’est pas assez précis. « Analyser les schémas d’utilisation agrégés pour identifier et corriger les problèmes d’ergonomie » est mieux.

5. Destinataires ou catégories de destinataires. Avec qui partagez-vous les données personnelles ? Nommez des catégories spécifiques : fournisseurs d’hébergement cloud, processeurs de paiement, plateformes d’email marketing, services d’analyse, outils de support client. Vous n’avez pas nécessairement besoin de nommer chaque fournisseur, mais les catégories doivent être significatives — « tiers » seul est trop vague.

6. Transferts internationaux et garanties. Si des données personnelles sont transférées en dehors de l’EEE, indiquez quels pays et quelles garanties sont en place. Faites référence au mécanisme spécifique : décision d’adéquation, Clauses Contractuelles Types, Cadre de protection des données UE-États-Unis. Consultez notre guide sur les transferts internationaux de données pour plus de détails.

7. Durées de conservation. Combien de temps conservez-vous chaque catégorie de données ? Fournissez des durées spécifiques ou les critères utilisés pour les déterminer. « Aussi longtemps que nécessaire » ne satisfait pas le test de transparence. « Pour la durée de votre compte plus 30 jours » est transparent. Notre guide sur la conservation des données vous aide à définir ces durées.

8. Droits des personnes concernées. Informez les personnes de leurs droits en vertu du RGPD : accès, rectification, effacement, limitation du traitement, portabilité des données et opposition. Expliquez comment elles peuvent exercer ces droits (adresse email, paramètres intégrés à l’application, formulaire de demande dédié).

9. Droit de retirer le consentement. Si un traitement est basé sur le consentement, vous devez informer les personnes qu’elles peuvent retirer leur consentement à tout moment sans affecter la licéité du traitement effectué avant le retrait. Indiquez-leur comment retirer (lien de désabonnement, paramètres du compte, en vous contactant).

10. Droit de déposer une plainte. Les personnes concernées ont le droit de déposer une plainte auprès d’une autorité de contrôle. Vous devez nommer l’autorité compétente (ou les autorités, si vous opérez dans plusieurs États membres de l’UE) et fournir leurs coordonnées ou leur site web.

11. Exigence légale ou contractuelle. Indiquez si la fourniture de données personnelles est une exigence légale ou contractuelle, si la personne concernée est obligée de fournir les données et les conséquences du refus de les fournir. Pour une inscription SaaS, cela pourrait être : « La fourniture de votre adresse email est nécessaire pour créer un compte. Sans elle, nous ne pouvons pas fournir le service. »

12. Prise de décision automatisée et profilage. Si vous prenez des décisions fondées uniquement sur un traitement automatisé (y compris le profilage) qui produisent des effets juridiques ou similairement significatifs, vous devez informer les personnes concernées de ce fait, de la logique sous-jacente et de l’importance et des conséquences envisagées. Pour la plupart des entreprises SaaS, cela s’applique si vous utilisez la notation de crédit automatisée, la détection de fraude qui bloque l’accès ou la modération de contenu algorithmique.

Lorsque les données ne sont pas collectées directement — Article 14

Lorsque vous obtenez des données personnelles d’une source autre que la personne concernée — d’un partenaire commercial, d’un courtier en données, d’une source publique ou de votre client (en tant que sous-traitant invité à fournir une transparence au niveau du responsable du traitement) — l’article 14 ajoute :

La source des données — D’où les avez-vous obtenues ? Nommez la source spécifique ou la catégorie de source.
Les catégories de données personnelles — Puisque vous ne les avez pas collectées directement auprès de la personne, elle peut ne pas savoir quelles données vous détenez. Soyez explicite.

Les informations de l’article 14 doivent être fournies dans un délai raisonnable après l’obtention des données, et au plus tard un mois. Si vous prévoyez d’utiliser les données pour communiquer avec la personne, fournissez l’avis au plus tard lors de la première communication.

Bonnes pratiques d’avis de confidentialité pour le SaaS

Utilisez des avis par couches

Un avis de confidentialité unique et monolithique couvrant chaque activité de traitement en prose juridique dense est techniquement conforme mais pratiquement inutile. Personne ne le lit, ce qui va à l’encontre de l’objectif de transparence.

Les avis par couches résolvent ce problème. L’approche :

Couche 1 : Avis court. Un bref résumé mettant en avant les informations les plus importantes — qui vous êtes, ce que vous collectez, pourquoi et comment vous contacter. Celui-ci apparaît au point de collecte des données (page d’inscription, bannière de cookies).
Couche 2 : Avis complet. L’avis de confidentialité complet avec tous les éléments des articles 13/14. Lié depuis l’avis court pour quiconque souhaite les détails.
Couche 3 : Avis contextuels. Des avis contextuels qui apparaissent lorsqu’un traitement spécifique se produit — par exemple, lors de l’activation d’une nouvelle fonctionnalité utilisant des données de localisation, lors de l’activation d’une intégration, ou lorsqu’un utilisateur rencontre le suivi analytique pour la première fois.

Rédigez en langage simple

L’article 12 exige que les informations relatives à la vie privée soient fournies « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Ce n’est pas une aspiration — c’est obligatoire.

Recommandations :

Utilisez des phrases courtes. Visez un niveau de lecture accessible au grand public.
Évitez le jargon juridique. « Nous » et « vous » sont préférables à « le responsable du traitement » et « la personne concernée ».
Expliquez les concepts techniques. Si vous mentionnez les « Clauses Contractuelles Types », expliquez brièvement ce que c’est.
Utilisez des titres et des listes à puces. Rendez l’avis facilement parcourable.
Testez la lisibilité. Des outils comme le test de lisibilité de Flesch-Kincaid vous donnent une mesure objective.

Fournissez des avis contextuels aux points de collecte

Ne vous fiez pas uniquement à une page d’avis de confidentialité cachée dans le pied de page de votre site web. Lorsque vous collectez des données, informez les personnes sur place :

Formulaires d’inscription : Texte bref expliquant ce que vous ferez avec leur email et lien vers l’avis complet.
Consentement aux cookies : Explication claire des cookies que vous utilisez et pourquoi, avec des contrôles granulaires.
Activation de fonctionnalités : Lorsqu’un utilisateur active une fonctionnalité introduisant un nouveau traitement de données (ex. : connexion d’une intégration tierce), expliquez quelles données seront partagées et avec qui.
Interactions de support : Si vous enregistrez les appels de support ou conservez les transcriptions de chat, informez les utilisateurs dès le début.

Gérez les avis multi-produits de manière réfléchie

Si votre entreprise propose plusieurs produits ou services, décidez si vous devez :

Maintenir un avis unique couvrant tout (plus simple à maintenir mais potentiellement accablant)
Créer des avis spécifiques par produit (plus pertinents pour chaque utilisateur mais plus à gérer)
Utiliser une approche modulaire (un avis de base commun avec des avenants spécifiques par produit)

La bonne approche dépend de la différence de traitement de données entre vos produits. S’ils partagent l’infrastructure et les fournisseurs, un avis unique avec des sections spécifiques par produit fonctionne généralement. S’ils sont fondamentalement différents, des avis séparés peuvent être plus clairs.

Versionnez et communiquez les changements

Lorsque votre avis de confidentialité change, le RGPD ne spécifie pas de procédure de notification exacte, mais les bonnes pratiques comprennent :

Maintenir un historique des versions avec les dates et un résumé des changements
Notifier les utilisateurs des changements importants par email ou notification intégrée
Donner aux utilisateurs un délai raisonnable pour examiner les changements avant qu’ils ne prennent effet
Conserver les versions précédentes accessibles pour référence

Erreurs courantes dans les avis de confidentialité

Copier-coller depuis une autre entreprise. C’est d’une fréquence alarmante — et cela garantit l’inexactitude. Votre avis de confidentialité doit refléter votre traitement, pas celui de quelqu’un d’autre. Si votre avis mentionne des activités de traitement que vous n’effectuez pas, ou omet celles que vous effectuez, il échoue au test d’exactitude.

Ne pas mettre à jour quand le traitement change. Vous lancez une nouvelle fonctionnalité qui collecte des données de géolocalisation. Vous changez de fournisseur d’analyse. Vous vous développez sur un nouveau marché. Chacun de ces éléments devrait déclencher une révision de l’avis de confidentialité. L’avis qui était exact il y a six mois peut ne plus l’être aujourd’hui.

Informations requises manquantes. Les éléments les plus fréquemment omis : les durées de conservation, les bases juridiques spécifiques pour chaque finalité, les descriptions d’intérêt légitime, les mécanismes de transfert international et les divulgations sur la prise de décision automatisée. Vérifiez chaque élément obligatoire par rapport à votre avis.

Enterrer l’avis derrière plusieurs clics. Votre avis de confidentialité doit être accessible depuis n’importe quelle page de votre site web — généralement via un lien en pied de page. Si les utilisateurs doivent naviguer à travers plusieurs pages pour le trouver, vous ne remplissez pas l’exigence d’être « aisément accessible ».

Utiliser un langage vague et fourre-tout. « Nous pouvons partager vos données avec des tiers à des fins commerciales » ne dit rien au lecteur. Qui sont ces tiers ? Quelles fins commerciales ? Plus votre avis est précis, plus vous êtes transparent — et plus vous inspirez confiance.

Ne pas couvrir toutes les sources de données. Votre site web collecte des données. Votre produit collecte des données. Vos campagnes marketing collectent des données. Votre équipe commerciale collecte des données. Votre service RH collecte des données. Votre avis de confidentialité doit aborder tous ces éléments — ou vous avez besoin d’avis séparés pour des audiences distinctes (employés, clients, visiteurs du site web).

Maintenir votre avis de confidentialité à jour

Déclencheurs de révision

Mettez en place un processus pour que les révisions de l’avis de confidentialité se déclenchent automatiquement lorsque :

Un nouveau fournisseur traitant des données personnelles est intégré
Une nouvelle fonctionnalité produit collecte ou traite de nouveaux types de données
Vous entrez sur un nouveau marché géographique
Un processus relatif aux droits des personnes concernées change
Votre base juridique pour une activité de traitement change
Une autorité de contrôle publie des orientations pertinentes
Votre entreprise fait l’objet d’une fusion, acquisition ou restructuration

Cadence de révision

Au-delà des révisions déclenchées par des événements, programmez des vérifications régulières :

Trimestrielle : Vérification rapide de l’exactitude par rapport au traitement actuel
Annuelle : Révision approfondie avec la contribution des équipes produit, ingénierie, marketing et juridique

Documentation

Conservez un enregistrement de chaque version de l’avis de confidentialité, des modifications apportées, de la raison des modifications et de la date de publication de la mise à jour. Cela démontre la responsabilité et vous aide à suivre l’évolution de votre traitement dans le temps.

Comment GRCTrail surveille les avis de confidentialité

GRCTrail vous aide à maintenir votre avis de confidentialité aligné avec votre traitement réel :

Surveillance de l’avis de confidentialité. Suivez votre avis de confidentialité publié par rapport à votre RAT et vos activités de traitement. Lorsque votre traitement change, GRCTrail signale les incohérences potentielles nécessitant une mise à jour de l’avis.

Alertes de détection de changements. Recevez des notifications lorsque votre avis de confidentialité nécessite attention — que ce soit en raison d’un nouveau fournisseur, d’un nouveau type de données ou d’un changement de base juridique.

Connecté à votre RAT. Votre avis de confidentialité et votre Registre des Activités de Traitement doivent raconter la même histoire. GRCTrail les maintient liés pour que les écarts soient immédiatement visibles.

Ne manquez jamais une mise à jour d’avis de confidentialité →

Guides connexes

Checklist de conformité RGPD — Le cadre de conformité complet
Gestion du consentement — Quand et comment collecter le consentement
Registre des Activités de Traitement (RAT) — Documenter votre traitement
Les six bases juridiques — Choisir le bon fondement juridique
Rôle et exigences du DPD — Quand vous avez besoin d’un Délégué à la Protection des Données

Commencez avec GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours