Pourquoi ai-je besoin d’une déclaration de confidentialité ?

Cet extrait édité provient de Comment utiliser les données client par Sachiko Scheuing ©2024 et reproduit avec la permission de Kogan Page Ltd.

Utilisez-vous des données personnelles ?

Je parie que oui, car sinon vous ne liriez pas ce livre. Si votre entreprise utilise des données personnelles à des fins de marketing, de comptabilité, de ressources humaines ou à toute autre fin, vous avez besoin d'une politique de confidentialité.

L’approche traditionnelle de la protection des données et de l’autodétermination informationnelle suggère qu’un contrôle significatif de vos propres données n’est possible que si vous êtes informé de la manière dont les données seront utilisées.

L’une des premières règles énoncées par le RGPD dans son texte, après avoir clarifié le champ d’application de la loi et les différentes définitions, est l’article 5 (legislation.gov.uk, 2016) :

1. Les données personnelles seront :

(a) traité de manière licite, loyale et transparente à l'égard de la personne concernée (« licéité, loyauté et transparence »)

Cette exigence même déclenche la nécessité d’une déclaration de confidentialité.

Les entreprises, en particulier lorsqu’elles sont responsables du traitement des données, doivent être responsables de leur utilisation des données et disposer d’une déclaration de confidentialité. Cette exigence est également énoncée à l’article 24(2) du RGPD (legislation.gov.uk, 2016).

Cet article aborde le sujet de la prise de décision individuelle automatisée, y compris le profilage – non pas un profilage à des fins marketing qui automatise la sélection des publicités à diffuser, etc., mais un profilage qui peut avoir un impact sérieux sur les personnes.

L’article 24(2) stipule qu’un tel profilage ne peut être conforme que si une politique de protection des données appropriée, comprenant une déclaration de confidentialité, est mise en œuvre (legislation.gov.uk, 2016).

Quoi qu’il en soit, une déclaration de confidentialité est un document important. Le RGPD consacre deux articles pour répertorier les informations précises que vous devez publier sur votre politique de confidentialité ; L'article 13 définit les exigences dans le cas où vous collectez des données directement auprès des consommateurs, et l'article 14 celles pour les situations où les données sont collectées indirectement (legislation.gov.uk, 2016).

Qui lira votre déclaration de confidentialité ?

Dans le cas de l’étiquetage des aliments, c’est moi, en tant que client, vérifiant un ingrédient particulier, qui lisais ceci. Vous êtes-vous déjà demandé qui lit votre déclaration de confidentialité ?

Les clients et les prospects constituent un groupe évident de parties prenantes qui s'inquiètent de ce qui arrive à leurs données une fois qu'elles sont entre vos mains. Les défenseurs de la vie privée et les organisations de protection des consommateurs peuvent également consulter votre déclaration de confidentialité.

Les auteurs et chercheurs universitaires dans le domaine de la protection des données y trouvent une excellente source d’informations pour découvrir comment les entreprises utilisent les données personnelles. Les régulateurs, les juges et les avocats qui travaillent sur une affaire impliquant votre entreprise sont également très intéressés par votre déclaration de confidentialité.

L’image de votre entreprise est façonnée par la manière dont se lit votre déclaration de confidentialité. Les clients, tant sur les marchés interentreprises que sur les marchés entreprise-consommateur, accordent une grande attention à vos pratiques en matière de confidentialité.

Les partenaires commerciaux et les fournisseurs de votre entreprise formalisent souvent l'examen de la conformité de votre entreprise en matière de protection des données, en posant des questions sur votre déclaration de confidentialité dans leurs questionnaires de diligence raisonnable.

Quels que soient les lecteurs, il s’agit d’un autre « point de contact » pour diverses parties prenantes, y compris les parties génératrices de revenus comme les clients et les partenaires.

Vous voulez qu’ils aient une bonne impression de vos pratiques en matière de confidentialité, et la première occasion que vous avez de le montrer peut être votre déclaration de confidentialité. Pour reprendre les mots de l'ICO, une bonne déclaration de confidentialité « aide à instaurer la confiance, évite la confusion et permet à chacun de savoir à quoi s'attendre ». (OIC, 2023)

Quelle doit être la durée de ma déclaration de confidentialité ?

Le RGPD attend de vous que vous rédigiez une déclaration de confidentialité suffisamment longue pour que vous puissiez expliquer correctement quelles données sont collectées, utilisées et stockées. Cela rend votre déclaration de confidentialité transparente.

Dans le même temps, votre déclaration de confidentialité doit être concise, conformément à l'article 12(1) du RGPD (legislation.gov.uk, 2016). Ces deux exigences semblent à première vue se contredire. Les régulateurs de l’UE donnent donc quelques explications dans leurs lignes directrices sur la transparence (Art 29 WP, 2018).

Si une déclaration de confidentialité vise à fournir les informations nécessaires pour que les consommateurs puissent prendre des décisions concernant leurs données personnelles, les régulateurs sont également conscients du phénomène connu sous le nom de « fatigue informationnelle » ou « surcharge d’informations ». L’hypothèse est que les êtres humains ont une capacité limitée à digérer l’information.

Lorsque trop d’informations sont présentées, les gens se sentent dépassés et soit ignorent l’information, soit prennent des décisions illogiques pour faire face au stress psychologique qu’ils subissent (Simmel, 1950 ; Milgram, 1969).

Il existe deux stratégies pour éviter cela, tout en fournissant tous les détails requis.

Avoir une structure claire

Avant de commencer à rédiger un avis de confidentialité, répertoriez toutes les informations que vous devez y fournir. Réfléchissez ensuite à la manière dont vous souhaitez le présenter à vos clients et autres personnes concernées de manière logique.

Ce faisant, vous souhaiterez peut-être lire les déclarations de confidentialité des grandes marques de consommation et des organisations gouvernementales et découvrir comment leurs déclarations de confidentialité sont structurées.

Il y a de fortes chances que leurs déclarations de confidentialité soient préparées par des avocats internes expérimentés ou par des cabinets d'avocats spécialisés dans la protection des données. L’idée est d’avoir une idée de ce à quoi ressemblent de bonnes déclarations de confidentialité.

Vous souhaiterez peut-être également lire les déclarations de confidentialité de vos concurrents, ainsi que celles de vos partenaires dans votre domaine d'activité.

Demandez à votre responsable de la protection de la vie privée quels concurrents ont une bonne réputation en ce qui concerne leurs pratiques en matière de protection des données, ou peut-être savez-vous déjà qui ils sont. Jetez simplement un œil à la façon dont leurs avis de confidentialité sont structurés. Vous pouvez également simplement adopter la structure du modèle de politique de confidentialité d'ICO.

Quoi que vous fassiez, l’essentiel est d’améliorer la lisibilité de votre déclaration de confidentialité en lui donnant une structure logique.

Préparer les avis de confidentialité en couches

Une autre approche, approuvée par les régulateurs, est ce que l'on appelle l'approche en couches (Art 29 WP, 2018).

En supposant que l'avis de confidentialité soit en ligne, vous pouvez rendre votre politique de confidentialité interactive en utilisant des liens, afin que les utilisateurs puissent cliquer dessus lorsqu'ils souhaitent plus d'informations, ou les ignorer et rester sur les informations récapitulatives de premier niveau s'ils le souhaitent. vous le souhaitez, tout comme vous utiliseriez une encyclopédie en ligne.

De cette façon, les messages clés sont simplifiés et les lecteurs de votre déclaration de confidentialité auront un bon aperçu de la première couche de la déclaration.

Les régulateurs recommandent que les informations suivantes soient visibles sur les premières couches de la déclaration de confidentialité (Art 29 WP, 2018, p 19, para 36) :

  1. Détails des finalités du traitement
  2. L'identité du responsable du traitement
  3. Description des droits des personnes concernées
  4. Informations sur le traitement ayant le plus d'impact sur la personne concernée
  5. Des informations sur le traitement qui pourraient les surprendre.

Quand dois-je présenter la déclaration de confidentialité ?

Les consommateurs doivent être informés le plus tôt possible des données collectées, par exemple à des fins de marketing.

Lorsque vous collectez des données directement auprès de vos clients, vous devez présenter votre avis de confidentialité au moment où vous collectez les données (voir article 13(1) du RGPD ; législation.gov.uk, 2016).

Dans un scénario où vous autorisez les données provenant d'autres organisations, telles que des sources publiques ou des fournisseurs de données marketing, l'article 14(3)a et b exige que les informations de confidentialité soient fournies de la manière suivante (legislation.gov.uk, 2016) :

  • dans un délai raisonnable après l'obtention des données personnelles, mais au plus tard dans un délai d'un mois, compte tenu des circonstances particulières dans lesquelles les données personnelles sont traitées ;
  • si les données personnelles doivent être utilisées pour la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne concernée ; ou
  • si une divulgation à un autre destinataire est envisagée, au plus tard lors de la première divulgation des données personnelles.

En bref, pour les données sous licence qui ne sont pas des données de contact, la déclaration de confidentialité doit être communiquée dans un délai d'un mois.

Si vous utilisez des données de contact telles que des noms, des numéros de téléphone, des adresses e-mail et des adresses physiques, vous devez communiquer la déclaration de confidentialité la première fois que vous leur envoyez un message commercial.

Dans la pratique, les entreprises intègrent un lien vers la déclaration de confidentialité dans les messages électroniques ou impriment ce lien sur des documents de publipostage pour répondre à cette exigence.

Les références:

  • Art 29 WP (2018) Article 29 Groupe de travail sur la protection des données, WP260 rev.01 Lignes directrices sur la transparence en vertu du règlement 2016/679, adoptées le 29 novembre 2017, révisées et adoptées pour la dernière fois le 11 avril 2018, https://ec.europa.eu /newsroom/article29/items/622227 (archivé sur https://perma.cc/4HWYURKL)
  • ICO (2023) Bureau du commissaire à l'information du Royaume-Uni : Lignes directrices détaillées pour la transparence du marketing direct, https://ico.org.uk/for-organisations/advice-for-smallorganisations/frequently-asked-questions/transparency-cookies-and-privacynotices/ ( archivé sur https://perma.cc/K3ZR-T7E5)
  • législation.gov.uk (2016)'Règlement (UE) 2016/679 du Parlement européen et du Conseil, 27 avril 2016, www.legislation.gov.uk/eur/2016/679/contents (archivé sur https:/ /perma.cc/NVG6-PXBQ)
  • Milgram, S (1969) L'expérience de la vie en ville, Science 167, 1461-1468
  • Simmel, G (1950) La métropole et la vie mentale, dans KH Wolff (éd.), La sociologie de Georg SimmelFree Press, New York, États-Unis.

Pour lire le livre complet, les lecteurs SEJ bénéficient d’un code de réduction exclusif de 25 % et de la livraison gratuite aux États-Unis et au Royaume-Uni. Utiliser le code promo SEJ25 sur koganpage.com ici.

Davantage de ressources: