De quoi s’agit-il ?
La politique de confidentialité, ou notice de confidentialité est la déclaration faite à la personne concernée par un traitement de données à caractère personnel sur la façon dont l’organisation recueille, utilise, conserve et divulgue les informations personnelles.
Le RGPD exige qu’un responsable de traitement fournisse cette déclaration avant le traitement et y précise en outre :
• La base légale du traitement
• Les coordonnées du DPO ou du responsable dans l’organisation
• La nature des intérêts légitimes poursuivis lorsque le responsable de traitement se fonde sur cette base légale.
La politique de protection des données est une déclaration interne qui régit les traitements de données personnelles. Elle s’adresse aux membres de l’organisation qui pourraient traiter ou prendre des décisions concernant les informations personnelles, en leur donnant des instructions sur la collecte, l’utilisation, le stockage, et la destruction des données, ainsi que les droits spécifiques que les personnes peuvent invoquer.
Quelles sont les personnes visées / l’usage ?
L’usage de la politique de confidentialité est à destination externe. Elle vise à renseigner les clients sur leurs droits et l’usage qui est fait de leurs données personnelles.
L’usage de la politique de protection des données est à la fois interne et externe. Elle vise à la fois les employés de l’organisme en leur conseillant/imposant des pratiques mais aussi les clients en les renseignant sur leurs droits et la manière de les exercer.
Quelles sont les obligations du RGPD que visent à remplir les documents ?
La politique de confidentialité doit remplir les obligations posées par les articles 13 et 14 du RGPD, à savoir divulguer :
- L'identité et les coordonnées du responsable de traitement
- Les coordonnées du DPO
- Les finalités et la base juridique + Informations sur l'intérêt légitime (le cas échéant)
- Les catégories de données à caractère personnel concernées
- Les destinataires ou catégories de destinataires
- Informations sur le transfert à un destinataire dans un pays tiers
- La période pendant laquelle les données à caractère personnel seront conservées
- Droits de la personne concernée + le droit de retirer son consentement à tout moment
- Droit de déposer une plainte auprès d'une autorité de contrôle
- L’information sur le fait de savoir si la fourniture de données à caractère personnel est une exigence légale ou contractuelle, ou une exigence nécessaire à la conclusion d'un contrat, ainsi que si la personne concernée est obligée de fournir les données à caractère personnel et les conséquences possibles d'un manquement à fournir ces données
- Des informations sur la source d'origine des données à caractère personnel
- Informations sur la prise de décision automatisée, y compris le profilage
La politique de protection des données doit remplir les obligations posées par l’article 24 du RGPD ainsi que certaines des obligations des normes ISO 27701 (5.3.1) et 27001 (5.2). Les informations qu’il est recommandé d’y inclure sont les suivantes :
- Déclaration générale sur la conformité
- Liste des exigences légales relatives au traitement
- Application des principes relatifs au traitement des données à caractère personnel
- Droits des personnes concernées
- Engagements en terme de gouvernance
- Description des mesures de sécurité
- Coordonnées du DPO
- Une liste des procédures internes qui ont été établies, ces dernières pouvant être annexées ou être accessibles par un lien externe.
Dastra vous propose un modèle de politique interne de protection des données et un modèle de politique de confidentialité. Créez votre compte gratuitement et téléchargez ces modèles.