La politique de confidentialite est le document central de la conformite LGPD (loi n° 13.709/2018). Elle materialise le principe de transparence (article 6, VI) et constitue l’instrument principal par lequel votre entreprise informe les titulaires de donnees sur la maniere dont leurs donnees personnelles sont collectees, utilisees, stockees et partagees. Une politique de confidentialite inadequate n’est pas simplement une lacune documentaire — c’est une violation de la loi qui peut entrainer des sanctions administratives, des poursuites judiciaires et des dommages reputationnels. Ce guide detaille les elements obligatoires, les erreurs courantes et les bonnes pratiques pour creer une politique de confidentialite conforme a la LGPD, avec un eclairage sur les paralleles avec le RGPD et les recommandations de la CNIL.
Pourquoi une politique de confidentialite est obligatoire
La LGPD n’utilise pas litteralement l’expression « politique de confidentialite », mais les articles 6 (principes), 9 (droit a l’information) et 18 (droits des titulaires) rendent ce document implicitement obligatoire. L’article 9 determine que les titulaires de donnees ont droit a un acces facilite aux informations sur le traitement de leurs donnees, lesquelles doivent etre mises a disposition de maniere claire, adequate et visible.
En pratique, l’ANPD et les tribunaux bresiliens attendent de toute organisation qui traite des donnees personnelles qu’elle rende une politique de confidentialite accessible sur son site web. L’absence de ce document ou son insuffisance constitue une violation des principes de transparence et de libre acces, exposant l’entreprise aux sanctions de l’article 52. Cette exigence est parallele a celle du RGPD (articles 12 a 14), que la CNIL applique en France.
Elements obligatoires d’une politique de confidentialite LGPD
Sur la base des articles 6, 9, 10 et 18 de la LGPD, votre politique de confidentialite doit contenir les elements suivants :
1. Identification du responsable et du DPO
Indiquez le nom complet et les coordonnees du responsable du traitement (votre entreprise) et du delegue a la protection des donnees (encarregado). L’article 41 exige la designation d’un DPO, et l’article 41, paragraphe 1, exige que son identite et ses coordonnees soient divulguees publiquement, de preference sur le site web du responsable. En France, la CNIL exige une declaration similaire du DPO.
2. Donnees personnelles collectees
Listez clairement et specifiquement les types de donnees personnelles que vous collectez. N’utilisez pas de termes vagues comme « diverses informations personnelles ». Soyez explicite :
- Donnees d’identification : nom, CPF (identifiant fiscal), numero d’identite, date de naissance
- Donnees de contact : email, telephone, adresse
- Donnees financieres : coordonnees bancaires, historique de transactions
- Donnees de navigation : adresse IP, cookies, historique de navigation, informations sur l’appareil
- Donnees sensibles (le cas echeant) : donnees de sante, donnees biometriques, origine raciale ou ethnique
3. Finalites du traitement
Pour chaque categorie de donnees collectees, decrivez la finalite specifique du traitement (article 6, I). Exemples :
- « Les donnees de contact sont collectees pour l’envoi de confirmations de commande et de communications de service »
- « Les donnees de navigation sont collectees pour l’analyse des performances du site et l’amelioration de l’experience utilisateur »
- « Les donnees financieres sont collectees pour le traitement des paiements »
Des finalites generiques comme « pour ameliorer nos services » sont insuffisantes. La CNIL a egalement souligne cette exigence de specificite dans ses recommandations sur le RGPD.
4. Bases legales utilisees
Indiquez la base legale (article 7) qui soutient chaque activite de traitement :
- Consentement (article 7, I) — pour le marketing, newsletters, cookies non essentiels
- Execution d’un contrat (article 7, V) — pour le traitement des commandes, la fourniture de services
- Obligation legale (article 7, II) — pour la conservation des donnees fiscales, la conformite au droit du travail
- Interet legitime (article 7, IX) — pour la prevention de la fraude, la securite
5. Partage avec des tiers
Identifiez les categories de tiers avec lesquels vous partagez des donnees personnelles et les finalites de ce partage :
- Processeurs de paiement
- Fournisseurs d’hebergement et d’infrastructure
- Outils d’analyse et de marketing
- Autorites publiques (lorsque la loi l’exige)
6. Transferts internationaux
Si vous transferez des donnees personnelles en dehors du Bresil, divulguez :
- Les pays ou organisations vers lesquels les donnees sont transferees
- La base legale du transfert (article 33)
- Les garanties adoptees pour proteger les donnees
7. Durees de conservation
Indiquez combien de temps chaque categorie de donnees sera conservee et les criteres determinant cette duree (article 15). Exemple : « Les donnees de transaction sont conservees pendant 5 ans apres la fin du service, conformement aux exigences fiscales. »
8. Droits des titulaires de donnees
Decrivez les droits que les titulaires peuvent exercer en vertu de l’article 18 :
- Confirmation et acces
- Correction
- Anonymisation, blocage ou suppression
- Portabilite
- Suppression des donnees traitees sur la base du consentement
- Information sur le partage
- Revocation du consentement
Indiquez clairement comment exercer ces droits : canal de contact (email, formulaire), delai de reponse et procedure.
9. Mesures de securite
Decrivez, en termes generaux, les mesures techniques et administratives adoptees pour proteger les donnees personnelles (article 46). Ne revelez pas de details qui pourraient compromettre la securite, mais demontrez que des mesures raisonnables sont en place : chiffrement, controle d’acces, surveillance, sauvegardes.
10. Cookies et technologies de suivi
Si votre site web utilise des cookies, des pixels de suivi ou des technologies similaires, decrivez :
- Les types de cookies utilises (essentiels, analytiques, marketing)
- Les finalites de chaque type
- Comment les utilisateurs peuvent gerer leurs preferences en matiere de cookies
Pour gerer le consentement aux cookies de maniere conforme, vous pouvez utiliser une banniere cookies gratuite et conforme au RGPD.
Erreurs courantes des politiques de confidentialite
1. Copier un autre site web. Une politique de confidentialite qui ne reflete pas vos pratiques reelles de traitement viole le principe de transparence. L’ANPD attend que votre politique soit specifique a votre organisation. La CNIL a egalement sanctionne des entreprises en France pour des politiques de confidentialite generiques.
2. Utiliser le consentement comme seule base legale. De nombreuses entreprises declarent que tout traitement est fonde sur le consentement alors qu’elles s’appuient en realite sur l’execution d’un contrat ou une obligation legale. Cela cree des problemes lorsqu’un titulaire revoque son consentement pour un traitement qui n’en dependait pas.
3. Omettre le DPO. La LGPD exige la designation d’un DPO (article 41). L’omission de cette information dans votre politique de confidentialite est une violation manifeste.
4. Ne pas mentionner les transferts internationaux. Si vous utilisez des services comme Google Analytics, AWS, Stripe ou Mailchimp, vos donnees sont transferees en dehors du Bresil. Ces transferts doivent etre divulgues.
5. Langage inaccessible. La LGPD exige que les informations soient mises a disposition de maniere claire et adequate (article 9). Un jargon juridique excessif viole cette exigence. La CNIL recommande egalement un langage clair et simple dans le cadre du RGPD.
6. Ne pas mettre a jour regulierement. Vos pratiques de traitement evoluent : nouveaux fournisseurs, nouvelles fonctionnalites, nouveaux types de donnees. Votre politique doit suivre ces changements.
Difference entre politique de confidentialite et conditions d’utilisation
Ce sont des documents distincts aux objectifs differents :
Politique de confidentialite : Explique comment vous collectez, utilisez et protegez les donnees personnelles. Fondee sur la LGPD. Obligatoire pour tout site web qui collecte des donnees.
Conditions d’utilisation : Etablissent les regles d’utilisation de votre site web ou service. Fondees sur le Code civil et le Code de protection du consommateur. Definissent les responsabilites, restrictions d’utilisation et propriete intellectuelle.
Les deux documents sont necessaires et doivent etre complementaires, avec des renvois croises le cas echeant.
Quatre approches pour creer votre politique de confidentialite
Faire appel a un avocat specialise
Cout : 5 000 a 15 000 BRL. Delai : 2 a 4 semaines.
Un avocat specialise en protection des donnees analyse vos flux de donnees, identifie les bases legales applicables et redige une politique sur mesure. Recommande pour les entreprises avec un traitement complexe de donnees sensibles ou des transferts internationaux importants.
Utiliser un outil d’IA generique
Cout apparent : 0 BRL. Cout reel : une politique qui semble complete mais omet des elements obligatoires.
Les outils d’IA generiques n’auditent pas vos flux de donnees reels et produisent frequemment des politiques qui melangent les exigences du RGPD et de la LGPD sans adaptation appropriee au contexte bresilien.
Copier un modele gratuit
Cout : 0 BRL. Risque : eleve.
Les modeles gratuits sont generiques et jamais adaptes a votre activite specifique. L’ANPD attend de chaque politique qu’elle reflete les pratiques reelles de l’organisation, pas un texte standard.
Utiliser un generateur de documents juridiques specialise
Cout : 19,90 € à 49,90 €. Delai : moins de 10 minutes.
Un generateur specialise pose des questions sur votre entreprise, vos donnees, vos fournisseurs et vos pratiques, et produit une politique de confidentialite adaptee aux exigences de la LGPD. Il inclut les bases legales, les droits des titulaires, les informations sur le DPO et les divulgations de transferts internationaux.
Pour verifier rapidement la conformite de votre site, utilisez notre scanner de conformite gratuit. Consultez egalement notre guide complet de la LGPD et notre comparaison LGPD vs RGPD.
Conclusion
Une politique de confidentialite est plus qu’un document juridique — c’est l’expression concrete de l’engagement de votre entreprise envers la protection des donnees personnelles de vos clients et utilisateurs. En vertu de la LGPD, elle doit etre specifique, transparente, accessible et a jour. Avec l’ANPD qui applique activement la loi et les tribunaux bresiliens de plus en plus sensibles aux questions de confidentialite, investir dans une politique de confidentialite adequate est l’une des actions de conformite au meilleur rapport qualite-prix que vous puissiez entreprendre. Pour les entreprises francaises soumises egalement au RGPD et aux recommandations de la CNIL, une approche coordonnee garantit la conformite dans les deux juridictions. N’attendez pas une notification ou un proces pour agir — protegez vos clients et votre entreprise maintenant.