Grand logo de l'Académie Europe
  • 18 avril 2024
  • Dernière mise à jour le 7 mai 2023 à 10 h 40
  • Hannover

Conformité GDPR

Accueil - Conformité GDPR

Academy Europe confirme appliquer la conformité GDPR en vertu du droit de l'Union européenne :

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

Le Règlement général sur la protection des données (RGPD) est la loi sur la confidentialité et la sécurité la plus stricte au monde. Bien qu'il ait été rédigé et adopté par l'Union européenne (UE), il impose des obligations aux organisations partout, tant qu'elles ciblent ou collectent des données relatives aux personnes dans l'UE. Le règlement est entré en vigueur le 25 mai 2018. Le GDPR imposera des amendes sévères à ceux qui enfreignent ses normes de confidentialité et de sécurité, avec des sanctions pouvant atteindre des dizaines de millions d'euros.

GDPR.eu vous est fourni en tant que ressource utile pour trouver rapidement les 99 articles et 173 considérants du règlement, ainsi que des guides et des listes de contrôle utiles qui vous expliquent comment le règlement peut s'appliquer à vous.

https://gdpr.eu/tag/gdpr/

La transparence et l'information du public sur l'utilisation de ses données sont deux objectifs fondamentaux du RGPD. Cet article explique ce qu'est un avis de confidentialité et propose un modèle d'avis de confidentialité pour vous aider à vous conformer à la loi.

Le règlement général de l'UE sur la protection des données (RGPD) est une première étape pour donner aux citoyens et résidents de l'UE plus de contrôle sur la manière dont leurs données sont utilisées par les organisations. Si votre entreprise traite les informations personnelles de personnes dans l'UE, vous devez vous conformer au RGPD, où que vous soyez dans le monde. Les amendes pour violation des nouveaux droits à la vie privée des personnes peuvent représenter jusqu'à 4 % de votre chiffre d'affaires global ou 20 millions d'euros, selon le montant le plus élevé.

Un avis de confidentialité RGPD est un moyen important d'aider vos clients à prendre des décisions éclairées concernant les données que vous collectez et utilisez. Nous avons rassemblé des informations tirées de la loi elle-même et des documents d'orientation de l'UE pour vous aider à comprendre les éléments d'un bon avis de confidentialité. Et en bas, nous avons inclus un modèle d'avis de confidentialité que vous pouvez adapter à votre propre organisation.

Qu'est-ce qu'un avis de confidentialité ?

Un avis de confidentialité est un document public d'une organisation qui explique comment cette organisation traite les données personnelles et comment elle applique les principes de protection des données. Articles 12 XNUMX13et 14 du GDPR fournissent des instructions détaillées sur la façon de créer un avis de confidentialité, en mettant l'accent sur le fait de les rendre faciles à comprendre et accessibles. Si vous collectez des données directement auprès de quelqu'un, vous devez lui fournir votre avis de confidentialité au moment où vous le faites.

Notez que les termes « avis de confidentialité » et « politique de confidentialité » n'apparaissent pas réellement dans le texte du RGPD et sont essentiellement interchangeables. Les directives expliquées dans cet article s'appliquent à tous les documents publics dans lesquels votre organisation décrit ses activités de traitement de données aux clients et au public.

Selon le GDPR, les organisations doivent fournir aux personnes un avis de confidentialité qui est :

  • Sous une forme concise, transparente, intelligible et facilement accessible
  • Rédigé dans un langage clair et simple, notamment pour toute information s'adressant spécifiquement à un enfant
  • Livré dans les délais
  • Fourni gratuitement

Le GDPR stipule également quelles informations une organisation doit partager dans un avis de confidentialité. Il existe une légère variation dans les exigences selon qu'une organisation collecte ses données directement auprès d'un individu ou les reçoit en tant que tiers.

Si une organisation recueille directement des informations auprès d'un individu, elle doit inclure les informations suivantes dans son avis de confidentialité :

  • L'identité et les coordonnées de l'organisme, de son représentant et de son délégué à la protection des données
  • Le but pour l'organisation de traiter les données personnelles d'un individu et sa base juridique
  • Les intérêts légitimes de l'organisation (ou d'un tiers, le cas échéant)
  • Tout destinataire ou catégories de destinataires des données d'un individu
  • Les détails concernant tout transfert de données personnelles vers un pays tiers et les garanties prises
  • La durée de conservation ou les critères utilisés pour déterminer la durée de conservation des données
  • L'existence des droits de chaque personne concernée
  • Le droit de retirer son consentement à tout moment (le cas échéant)
  • Le droit d'introduire une réclamation auprès d'une autorité de contrôle
  • Si la fourniture de données personnelles fait partie d'une exigence ou d'une obligation légale ou contractuelle et les conséquences possibles de la non-fourniture des données personnelles
  • L'existence d'un système automatisé de prise de décision, y compris le profilage, et des informations sur la façon dont ce système a été mis en place, l'importance et les conséquences

Si une organisation obtient vos données indirectement (via une autre organisation), sa politique de confidentialité doit fournir toutes les mêmes informations, à l'exception des:

  • Si la fourniture de données personnelles fait partie d'une exigence ou d'une obligation légale ou contractuelle et les conséquences possibles de la non-fourniture des données personnelles

Et au lieu de cela doit ajouter:

  • Les catégories de données personnelles obtenues

Conformément à l'article 14, paragraphe 3, si vous obtenez des données à caractère personnel d'un tiers, vous devez communiquer les informations ci-dessus à la personne concernée soit : au plus tard un mois après avoir obtenu les données, au moment où vous communiquez pour la première fois avec les données sujet, ou avant de partager les données avec une autre organisation.

Généralement, un avis de confidentialité sera fourni par écrit et, le cas échéant, fourni par voie électronique. Chaque organisation qui gère un site Web doit y publier son avis de confidentialité, sous le titre «Politique de confidentialité», et il doit être accessible via un lien direct à partir de chaque page Web. Si un site Web collecte des données personnelles en ligne, l'avis de confidentialité ou un lien vers celui-ci doit être fourni sur la même page où la collecte de données a lieu. Le GDPR stipule également que les avis de confidentialité doivent être disponibles oralement sur demande pour assurer la compréhension et aider les malvoyants.

Bonnes pratiques concernant l'avis de confidentialité du RGPD

Les avis de confidentialité doivent éviter d'utiliser des qualificatifs tels que "peut", "pourrait", "certains", "souvent", etc., car ils sont délibérément vagues. L'écriture doit être au temps actif et les phrases et les paragraphes doivent être bien structurés, en utilisant des puces pour mettre en évidence les points spécifiques à noter. Évitez les termes inutilement légalistes et techniques.

Selon la Commission européenne Directives GDPR, les phrases ci-dessous ne sont pas suffisamment claires quant aux finalités du traitement. (Nous avons pris ces exemples directement du document.)

  • "Nous pouvons utiliser vos données personnelles pour développer de nouveaux services" (car il n'est pas clair ce que sont les "services" ou comment les données aideront à les développer)
  • "Nous pouvons utiliser vos données personnelles à des fins de recherche" (car il n'est pas clair à quel type de "recherche" cela fait référence)
  • "Nous pouvons utiliser vos données personnelles pour offrir des services personnalisés" (car il n'est pas clair ce que la "personnalisation" implique)
  • Par contre, ce genre de phrases est bien meilleure :
    "Nous conserverons votre historique d'achat et utiliserons les détails des produits que vous avez achetés précédemment pour vous faire des suggestions d'autres produits qui, selon nous, vous intéresseront également" (il est clair que les types de données seront traités, que le la personne concernée fera l'objet de publicités ciblées pour des produits et que ses données seront utilisées à cette fin)
  • "Nous conserverons et évaluerons les informations sur vos visites récentes sur notre site Web et sur la façon dont vous vous déplacez dans les différentes sections de notre site Web à des fins d'analyse pour comprendre comment les gens utilisent notre site Web afin que nous puissions le rendre plus intuitif" (il est clair quel type de les données seront traitées et le type d'analyse que le responsable du traitement va entreprendre)
  • "Nous conserverons un enregistrement des articles sur notre site Web sur lesquels vous avez cliqué et utiliserons ces informations pour vous cibler sur ce site Web des publicités pertinentes pour vos intérêts, que nous avons identifiées sur la base des articles que vous avez lus" (il est clairement ce que la personnalisation implique et comment les intérêts attribués à la personne concernée ont été identifiés)