Ce qui suit fournit un format simple pour un avis de confidentialité des données. Il est destiné à un usage professionnel et sert uniquement de point de départ.
Pour vous conformer aux exigences du Règlement général sur la protection des données (RGPD), vous devez personnaliser ce document en fonction de vos exigences spécifiques et de vos pratiques commerciales en matière de confidentialité et de traitement des données.
Avis de non-responsabilité : cet exemple d’avis de confidentialité ne constitue pas un avis juridique. Le contenu est uniquement destiné à des fins d’information générale. Il est fourni sans aucune représentation ou garantie, expresse ou implicite. Si nécessaire, consultez un conseiller juridique approprié en relation avec le RGPD ou votre situation spécifique.
Pour obtenir des conseils juridiques définitifs sur la fourniture d’informations sur la confidentialité dans le cadre du RGPD, consultez le Guide du Bureau du commissaire à l’information sur la vie privée avis.
Avis de confidentialité – format
Présentation
Commencez par une brève déclaration générale sur :
- pourquoi la confidentialité est importante pour vous
- les informations contenues dans l’avis de confidentialité (c’est-à-dire un résumé clair et concis)
- à quels services l’avis s’applique (par exemple, site Web, logiciels, achats, abonnement, etc.)
Vous pouvez inclure un encouragement pour que l’utilisateur lise attentivement la politique et vous contacte pour toute question ou préoccupation concernant vos pratiques de confidentialité.
Qui sommes-nous ?
Indiquez le nom et les coordonnées du responsable du traitement des données. Il s’agira généralement de votre entreprise ou de vous, si vous êtes un entrepreneur individuel. Le cas échéant, vous devez inclure l’identité et les coordonnées du représentant du responsable du traitement et/ou du délégué à la protection des données.
Quelles informations collectons-nous ?
Précisez les types d’informations personnelles que vous collectez, par exemple les noms, adresses, noms d’utilisateur, etc. Vous devez inclure des détails spécifiques sur :
- comment vous collectez des données (par exemple, lorsqu’un utilisateur s’inscrit, achète ou utilise vos services, remplit un formulaire de contact, s’inscrit à une newsletter, etc.)
- quelles données spécifiques vous collectez via chacune des méthodes de collecte de données
- si vous collectez des données auprès de tiers, vous devez spécifier les catégories de données et la source
- si vous traitez des données personnelles ou des informations financières sensibles, et comment vous gérez cela </span >
Vous souhaiterez peut-être fournir à l’utilisateur des définitions pertinentes concernant les données personnelles et les données personnelles sensibles.
Comment utilisons-nous les informations personnelles ?
Décrivez en détail toutes les finalités liées aux services et aux activités pour lesquelles vous traiterez les données. Par exemple, cela peut inclure des éléments tels que :
- personnalisation du contenu, des informations commerciales ou de l’expérience utilisateur
- création et administration du compte
- assurer la communication marketing et événementielle
- réaliser des sondages et des enquêtes
- à des fins de recherche et développement internes
- fournir des biens et des services
- obligations légales (par exemple, prévention de la fraude)
- répondre aux exigences d’audit interne
Veuillez noter que cette liste n’est pas exhaustive. Vous devrez enregistrer toutes les finalités pour lesquelles vous traitez des données personnelles.
De quelle base juridique disposons-nous pour traiter vos données personnelles ?
Décrivez les conditions de traitement pertinentes contenues dans le RGPD. Il existe six fondements juridiques possibles :
- consentement
- contrat
- intérêts légitimes
- intérêts vitaux
- tâche publique
- obligation légale
Fournissez des informations détaillées sur tous les motifs qui s’appliquent à votre traitement et pourquoi. Si vous comptez sur le consentement, expliquez comment les individus peuvent retirer et gérer leur consentement. Si vous comptez sur des intérêts légitimes, expliquez clairement de quoi il s’agit.
Si vous traitez des données personnelles de catégorie spéciale, vous devrez satisfaire à au moins une des six conditions de traitement, ainsi qu’à des exigences supplémentaires en matière de traitement en vertu du RGPD. Fournissez des informations sur tous les motifs supplémentaires applicables.
Quand partageons-nous des données personnelles ?
Expliquez que vous traiterez les données personnelles de manière confidentielle et décrivez les circonstances dans lesquelles vous pourriez les divulguer ou les partager. Par exemple, lorsque cela est nécessaire pour fournir vos services ou mener vos opérations commerciales, comme indiqué dans vos finalités de traitement. Vous devez fournir des informations sur :
- comment partagerez-vous les données
- quelles garanties mettrez-vous en place
- avec quelles parties vous pouvez partager les données et pourquoi
Où stockons-nous et traitons-nous les données personnelles ?
Le cas échéant, expliquez si vous avez l’intention de stocker et de traiter des données en dehors du pays d’origine de la personne concernée. Décrivez les mesures que vous prendrez pour garantir que les données sont traitées conformément à votre politique de confidentialité et à la loi applicable du pays où les données se trouvent.
Si vous transférez des données en dehors de l’Espace économique européen, décrivez les mesures que vous mettrez en place pour fournir un niveau approprié de protection de la confidentialité des données. Par exemple, clauses contractuelles, accords de transfert de données, etc.
Comment sécurisons-nous les données personnelles ?
Décrivez votre approche en matière de sécurité des données ainsi que les technologies et procédures que vous utilisez pour protéger les informations personnelles. Il peut s’agir par exemple de mesures :
- pour protéger les données contre toute perte accidentelle
- pour empêcher tout accès, utilisation, destruction ou divulgation non autorisés
- pour assurer la continuité des activités et la reprise après sinistre
- pour restreindre l’accès aux informations personnelles
- pour effectuer des évaluations des facteurs relatifs à la vie privée conformément à la loi et aux politiques de votre entreprise
- pour former le personnel et les sous-traitants à la sécurité des données
- pour gérer les risques liés aux tiers, grâce à l’utilisation de contrats et d’examens de sécurité
Veuillez noter que cette liste n’est pas exhaustive. Vous devez enregistrer tous les mécanismes sur lesquels vous comptez pour protéger les données personnelles. Vous devez également indiquer si votre organisation adhère à certaines normes acceptées ou exigences réglementaires.
Combien de temps conservons-nous vos données personnelles ?
Fournissez des informations spécifiques sur la durée pendant laquelle vous conserverez les informations en relation avec chaque finalité de traitement. Le RGPD vous oblige à conserver les données pas plus longtemps que raisonnablement nécessaire. Incluez des détails sur les calendriers de conservation de vos données ou de vos enregistrements, ou créez un lien vers des ressources supplémentaires là où celles-ci sont publiées.
Si vous ne pouvez pas indiquer de période spécifique, vous devez définir les critères que vous appliquerez pour déterminer la durée de conservation des données (par exemple, lois locales, obligations contractuelles, etc.).
Vous devez également expliquer comment vous supprimez en toute sécurité les données une fois que vous n’en avez plus besoin.
Vos droits relatifs aux données personnelles
En vertu du RGPD, vous devez respecter le droit des personnes concernées d’accéder et de contrôler leurs données personnelles. Dans votre avis de confidentialité, vous devez décrire leurs droits concernant :
- accès aux informations personnelles
- correction et suppression
- retrait du consentement (si traitement des données sous condition de consentement)
- portabilité des données
- restriction du traitement et objection
- déposer une plainte auprès du Bureau du commissaire à l’information
Vous devez expliquer comment les individus peuvent exercer leurs droits et comment vous envisagez de répondre aux demandes de données des sujets. Indiquez si des exemptions pertinentes peuvent s’appliquer et indiquez les procédures de vérification d’identité sur lesquelles vous pouvez compter.
Incluez des détails sur les circonstances dans lesquelles les droits de la personne concernée peuvent être limités, par exemple si répondre à la demande de la personne concernée peut exposer des données personnelles sur une autre personne, ou si vous êtes invité à supprimer des données que vous êtes tenu de conserver par la loi.
Utilisation de la prise de décision et du profilage automatisés
Lorsque vous utilisez le profilage ou toute autre prise de décision automatisée, vous devez le divulguer dans votre politique de confidentialité. Dans de tels cas, vous devez fournir des détails sur l’existence de toute prise de décision automatisée, ainsi que des informations sur la logique impliquée, ainsi que sur l’importance et les conséquences probables du traitement de la personne.
Comment nous contacter ?
Expliquez comment la personne concernée peut vous contacter si elle a des questions ou des préoccupations concernant vos pratiques de confidentialité, ses informations personnelles, ou si elle souhaite déposer une plainte. Décrivez tous les moyens par lesquels ils peuvent vous contacter – par exemple en ligne, par courrier électronique ou postal.
Le cas échéant, vous pouvez également inclure des informations sur :
Utilisation de cookies et d’autres technologies
Vous pouvez inclure un lien vers des informations supplémentaires ou décrire dans la politique si vous avez l’intention de définir et d’utiliser des cookies, des technologies de suivi et similaires pour stocker et gérer les préférences des utilisateurs sur votre site Web, faire de la publicité, activer du contenu ou analyser de toute autre manière les données d’utilisateur et d’utilisation. Fournissez des informations sur les types de cookies et de technologies que vous utilisez, pourquoi vous les utilisez et comment une personne peut les contrôler et les gérer.
Liens vers d’autres sites Web / contenus tiers
Si vous créez un lien vers des sites et des ressources externes à partir de votre site Web, précisez si cela constitue une approbation et si vous assumez une quelconque responsabilité quant au contenu (ou aux informations contenues dans) de tout site Web lié.
Vous souhaiterez peut-être envisager d’ajouter d’autres clauses facultatives à votre politique de confidentialité, en fonction de la situation de votre entreprise.