Le RGPD exige que chaque organisation mette en œuvre des dispositions de confidentialité appropriées et qu’elle puisse informer toutes les parties concernées de ces accords en publiant une déclaration ou une politique de confidentialité. Votre devoir d’informer de manière proactive et de fournir la transparence sur les données personnelles que vous utilisez et votre position en matière de confidentialité est l’une des exigences clés du RGPD. Ce n’est que lorsque les personnes qui interagissent avec votre entreprise sont dûment informées qu’elles peuvent prendre une décision éclairée quant à leur volonté ou non de conclure des affaires avec vous.

En bref, sans politique de confidentialité publiée, vous n’êtes certainement pas conforme au RGPD et vous risquez de relever des défis de la part des clients, du personnel, des fournisseurs et du régulateur. Le simple fait de copier et de coller une déclaration de confidentialité sur Internet est susceptible de causer plus de tort que de bien. Le RGPD exige que vos communications soient spécifiques au mode de fonctionnement de votre entreprise. Les déclarations récapitulatives, le jargon juridique vague ou trop complexe sont explicitement déclarés non conformes dans le règlement RGPD.

De nos jours, vous voulez sûrement donner à la vie privée l’attention qu’elle mérite et le faire correctement. Ce n’est pas si difficile, et chez GDPRWise, nous pouvons certainement vous aider. Si vous avez déjà une politique de confidentialité, vous pouvez la contrôler en utilisant notre vérificateur de politique en ligne gratuit. Vous pouvez rejoindre GDPRWise afin que nous puissions vous aider à créer une politique de confidentialité conforme en un rien de temps.

Si vous souhaitez créer une politique de confidentialité à partir de zéro, vous voulez vous assurer que votre politique de confidentialité couvre au minimum les éléments ci-dessous:

  1. Énoncé clair des responsabilités

    2. Clarifier les responsabilités est généralement une bonne chose pour assurer la transparence. Le RGPD a décrit quelques responsabilités clés que vous devez clarifier dans votre politique de confidentialité: qui est votre contact clé pour le RGPD; et pour chaque activité de traitement, qui est le responsable du traitement et qui est le sous-traitant.

    Les organisations de PME ne sont généralement pas tenues d’avoir un délégué à la protection des données (DPD) officiel, sauf si elles sont impliquées dans le traitement de données personnelles à grande échelle. Il est cependant conseillé à toutes les organisations de PME d’avoir quelqu’un sur le point pour la protection de la vie privée, par ex. un coordinateur RGPD. En établissant un coordinateur RGPD, vous pouvez concentrer votre effort sur la confidentialité et vous assurer qu’il y a une personne bien informée qui peut agir en tant que point de contact unique pour toute question ou défi.

    Pour chacune des activités dans lesquelles vous traitez des données personnelles, par ex. prise de rendez-vous avec les clients, facturation et comptabilité, envoi d’une newsletter, etc., vous devez indiquer qui est le responsable du traitement et qui est le sous-traitant. Le responsable du traitement est la partie qui fixe la finalité et les moyens du traitement. Le sous-traitant est la partie qui traite les données conformément aux instructions définies par le responsable du traitement. Pour les activités de traitement que vous gérez en interne, vous êtes susceptible d’être à la fois le responsable du traitement et le sous-traitant. Dans d’autres processus, vous pouvez détenir l’un ou l’autre rôle. Pour plus d’informations et d’exemples sur les rôles de contrôleur de données et de processeur de données, consultez notre élément de base de connaissances sur le sujet.

  2. Répertorier les procédés utilisant des données personnelles

    3. Un aspect essentiel de la transparence consiste à décrire le traitement que vous entreprenez qui implique des données personnelles. Vous n’avez peut-être pas réfléchi à cet aspect auparavant, mais une fois que vous le faites, il existe quelques processus dans lesquels vous utilisez les données personnelles de vos clients, employés ou fournisseurs, par exemple accueil des clients, correspondance avec les clients, facturation, rémunération du personnel, envoi de newsletter, etc. formulaire de demande de devis ainsi que vos interactions en magasin / bureau, par ex. carte de fidélité en magasin.

    Pour chacun de ces processus, le RGPD vous oblige à fournir une transparence sur l’objectif commercial du processus, sa base juridique RGPD, les éléments de données personnelles utilisés et la durée de conservation des données. Pour plus d’informations sur l’objectif commercial et la base juridique du DPR, consultez l’article de notre base de connaissances dédiée à ce sujet Une base juridique RGPD, qu’est-ce que c’est?

  3. Répertorier les processus qui partagent des données personnelles

    4. Votre entreprise ne fonctionne pas en silo, elle a des fournisseurs et des partenaires avec lesquels elle collabore et, ce faisant, elle partage des données. Vous partagez des données avec votre comptable, votre processeur de prestations RH, votre partenaire de support informatique, pour n’en nommer que quelques-uns. Mais également, lorsque vous utilisez un logiciel cloud, par exemple un outil CRM, ou un outil de réservation en ligne, les données personnelles que vous enregistrez sur ces plateformes sont partagées avec l’éditeur du logiciel. Toutes ces interactions sont parfaitement normales et le RGPD ne les interdit pas, il insiste simplement pour que vous informiez les parties, afin qu’elles puissent prendre une décision éclairée quant à leur volonté ou non de conclure des affaires avec votre entreprise.

    Assurez-vous donc de répertorier les processus qui partagent des données personnelles et avec lesquels vous partagez des données, par exemple. les données que vous partagez avec votre comptable, votre partenaire de support informatique, etc. ou via l’utilisation de plates-formes cloud, par ex. Facebook, Mail-chimp, Stripe, etc. Si vous partagez des données en dehors de l’UE, vous devez expliquer comment vous vous assurez que des mesures adéquates sont en place pour protéger la sécurité et la confidentialité des données. Cela peut être un sujet complexe et il n’est peut-être pas trop évident que vos données quittent l’UE ou non. Pour plus d’informations, consultez l’article de notre base de connaissances Que faire si je ne sais pas si les données résident dans l’UE?

  4. Réseaux sociaux

    5. Si votre entreprise utilise les médias sociaux, assurez-vous d’avertir les utilisateurs que les plateformes de médias sociaux traitent leurs données personnelles et ont leur propre politique de confidentialité qui diffère de la vôtre. Mentionnez votre entreprise et la plate-forme sont susceptibles d’être considérées comme des responsables conjoints du traitement des données.

  5. Droits sur les données RGPD

    6. Le RGPD nous met tous dans le contrôle de nos données personnelles, ce qui est l’un des grands avantages de la réglementation. Chaque fois qu’une organisation traite nos données personnelles, le RGPD nous donne un ensemble de droits auxquels nous pouvons faire appel. Chacun de nous peut exercer ces droits à tout moment.

    Du point de vue de l’organisation utilisant les données personnelles des individus, vous devez vous assurer d’informer les individus de leurs droits et en même temps de mettre en œuvre les processus appropriés pour vous assurer qu’ils peuvent exercer rapidement leurs droits.

    Assurez-vous donc de répertorier les droits relatifs aux données GDPR dont disposent vos utilisateurs et comment ils peuvent les exercer. Indiquez également comment les utilisateurs peuvent vous contacter et, si nécessaire, déposer une plainte auprès de l’autorité compétente. Notez que le régulateur vous recommande d’établir un canal de communication dédié pour toutes les questions liées à la confidentialité. Évitez donc de réutiliser info@mycompany.com et configurez une boîte aux lettres dédiée privacy@mycompany.com.

Une fois que vous avez une bonne politique de confidentialité qui couvre les éléments ci-dessus, assurez-vous de la référencer dans toutes vos communications pour satisfaire à l’exigence du RGPD afin d’informer de manière proactive les personnes impliquées:

  • publiez votre politique de confidentialité sous forme de lien de premier niveau sur votre site Web, par exemple dans le pied de page de votre site Web. Assurez-vous que le lien est visible sur toutes les pages. Ne cachez pas votre politique de confidentialité dans aucun document de conditions générales, car le RGPD exige qu’elle soit directement et bien visible.
  • faites référence à votre politique de confidentialité dans votre e-mail en ajoutant un pied de page
  • référencez votre politique de confidentialité dans vos e-mails marketing ainsi que la possibilité de vous désabonner
  • faites référence à votre politique de confidentialité sur l’une des plateformes de médias sociaux que vous utilisez dans la section À propos de votre entreprise
  • nous vous conseillons d’avoir une politique de confidentialité dédiée pour votre personnel (et les entrepreneurs indépendants) et de la joindre en annexe au contrat de travail.

Si tout cela semble un peu trop, sachez que GDPRWise vous permet d’obtenir une politique de confidentialité appropriée très rapidement et facilement. GDPRWise a fait le gros travail pour vous en créant des dossiers remplis très spécifiques et adaptés à votre secteur d’activité. Nous avons fait 80% du travail, il ne vous reste plus qu’à valider et affiner. Cliquez ici pour créer votre compte GDPRWise gratuit.