Avec la nouvelle réglementation sur la protection des données applicable à compter de mai 2018 (GDPR), le contenu des politiques de confidentialité (c’est-à-dire la notice expliquant aux personnes concernées comment leurs données personnelles sont utilisées) devra être actualisée tant dans leur forme que dans leur contenu du fait des nouvelles exigences légales (les nouvelles obligations sont indiquées en caractère gras).
Le contenu de la notice d’information est légèrement différent selon que les données sont collectées directement ou non auprès de la personne concernée.
 1.Le format des politiques de confidentialité

la Commission européenne devrait proposer des icônes standardisées à utiliser dans les politiques de confidentialité. Elles aideront les individus (clients, utilisateurs, etc.) à comprendre facilement la politique de confidentialité. La Commission européenne n’a pas encore publié ce document qui devrait être publié avant mai 2018.

 2.Le contenu des politiques de confidentialité

2.1. Contenu commun à tout type de collecte de données (direct ou indirecte)

Les futures politiques de confidentialité seront plus détaillées mais devront rester facile à lire et à comprendre. La présentation par niveau est donc encouragée (par exemple: une politique de confidentialité simplifiée qui renvoie à un document plus détaillé en fonction de la complexité du traitement de données décrit).

Voici ci-dessous une liste des informations requises dans les futures politiques de confidentialité et en caractère gras ce qui est nouveau par rapport à la législation actuelle (toujours applicable jusqu’en mai 2018) :

L’ identité et coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données

– Les finalités des traitements (pourquoi avez-vous besoin des données personnelles des individus?) ainsi que l’existence du profilage, de décisions automatiques (incluant la logique sous-jacente) et ses conséquences.

– La base légale des traitements de données et, le cas échéant, la description de l’intérêt légitime poursuivi.

– Les destinataires ou catégories de destinataires des données personnelles que vous traitez (au vue de la définition de « destinataire » cela devrait couvrir à la fois les autres responsables de traitements et les sous-traitants).

– Le cas échéant, les informations relatives aux transferts de données hors de l’UE: la base juridique de ces transferts (c’est-à-dire les garanties mises en œuvre: BCR, clauses types de l’UE, etc.) et les moyens d’obtenir une copie du document.

– La durée de conservation des données ou critères de détermination des durées de conservation

Les droits des personnes concernées (par exemple, le droit d’accès, le droit de déposer une plainte auprès de l’autorité, etc.): ce n’est pas une nouvelle obligation, mais les personnes concernées bénéficient de nouveaux droits en vertu du GDPR comme le droit à la portabilité et à l’effacement de leurs données. Le niveau d’information est plus ou mois détaillés selon les droits (voir ici pour le droit à la portabilité). Si la collecte de données personnelles est basée sur le consentement, il est également nécessaire de rappeler aux utilisateurs / personnes leur droit de retirer leur consentement à tout moment.

2.2. Lorsque les données sont collectées auprès de la personne concernée, il est nécessaire d’indiquer:

– si les données sont obligatoires ou non, ainsi que les conséquences si les données ne sont pas fournies.

si la fourniture de données à caractère personnel a un caractère contractuel ou légal ou sont nécessaire en vue de la conclusion d’un contrat. 

Ces points peuvent être liés à la base juridique du traitement de données et il semblerait plus pratique d’indiquer ces informations directement sur le formulaire à remplir.

2.3. Lorsque les données ne sont pas collectées auprès de la personne concernée

Si les données ne sont pas collectées directement auprès de la personne concernée, les catégories de données ainsi que les sources et si celles-ci sont des sources publiques doivent être indiquées.

3.Autres dispositions

Lorsqu’un traitement est basé sur le consentement de la personne concernée ou sur l’intérêt légitime du responsable de traitement, il est nécessaire de prendre les précautions suivantes :

  • Quant au consentement, les règles sont énoncées dans le GDPR (voir ici pour plus de détails)
  • Quant à l’intérêt légitime, un équilibre doit être trouvé entre l’ intérêt légitime du responsable de traitement et l’intérêt légitime, les droits et libertés des individus dont les données sont collectées. Cela pourrait signifier qu’une possibilité de retrait doit être mise en œuvre, mais c’est une décision à prendre au cas par cas.

Lorsque les données ne sont pas collectées directement auprès de la personne concernée, les modalités d’information sont différentes si les informations n’était pas directement contenu dans la politique de confidentialité originale:

Dans ce cas, l’information peut être donnée dans un délai raisonnable après avoir obtenu les données personnelles (sans excéder un mois) à moins que les données soient utilisées à des fins de communications avec la personne concernée, dans ce cas, l’information doit être fournie avant la première communication.

S’il est envisagé de communiquer les informations à un autre destinataire, l’information doit être fournies avant la première communication des données à ce destinataire.

Des exceptions à l’obligation d’information qui peuvent être spécifiques à chaque Etat Membre sont également applicables (ex: effort disproportionnée, compromission de l’objectif du traitement de données, secret professionnel ou loi d’un Etat Membre).

Partage

GDPR : mise à jour des politiques de confidentialité
Étiqueté avec :        

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *