Qu’est-ce qu’une déclaration de protection des données et pourquoi est-elle nécessaire?
Une déclaration de protection des données indique quelles données sont traitées par une entreprise, de quelle manière et dans quel but. Elle précise comment ces données sont collectées et utilisées, et si elles sont transmises à d’autres personnes ou entreprises et/ou à des tiers. Elle décrit également les mesures prises par l’entreprise pour protéger la sphère privée de ses clients/clientes et qui est responsable du traitement des données en interne.
La déclaration de protection des données est nécessaire à des fins de transparence. En effet, la nouvelle loi sur la protection des données impose aux entreprises un devoir général d’informer. Cela signifie que celles-ci sont tenues d’informer la personne concernée de manière adéquate de la collecte de ses données personnelles; cela vaut en particulier pour l’étendue et la finalité du traitement. La déclaration de protection des données vous permet de vous conformer à cette obligation légale et de veiller à ce que vos clients/clientes et vos partenaires commerciaux soient correctement informés.
Il importe que la déclaration de protection des données soit constamment à jour, complète et exacte. Veillez à ce qu’elle soit régulièrement vérifiée et actualisée au besoin.
Dans quel cas une déclaration de protection des données est-elle nécessaire?
Une déclaration de protection des données est nécessaire chaque fois que des données personnelles sont collectées ou traitées. Exemples:
- Sites Internet
Une déclaration de protection des données est obligatoire pour les sites Internet. Peu importe à cet égard qu’il s’agisse d’un formulaire de contact, d’une inscription à la newsletter ou de cookies et d’autres outils de tracking. Les sites Internet collectent toujours des données personnelles, même si celles-ci varient. - Contrats avec des personnes privées (notamment des clients)
- Newsletter
- Campagnes de marketing etc.
Check-list: Que doit contenir une déclaration de la protection des données?
La nouvelle loi sur la protection des données prévoit un contenu minimal pour les déclarations de protection des données. Celles-ci doivent contenir au moins les indications suivantes:
- Qui est responsable? C’est-à-dire l’identité et les coordonnées de la personne responsable du traitement des données.
- Quelles données personnelles l’entreprise collecte-t-elle? Les catégories telles que le nom, les coordonnées, les données sur la santé, etc. doivent être indiquées.
- Qui est concerné par cette déclaration de protection des données et quelles sont les personnes dont les données sont collectées? Les catégories de personnes concernées telles que les clientes, les collaborateurs, les fournisseurs, etc. doivent être mentionnées.
- Dans quel but les données sont-elles recueillies? La finalité du traitement – p. ex. l’exécution de contrats de clients, dans le cas des cookies la garantie du fonctionnement du site Internet etc. – doit être indiquée, de même que la durée de l’enregistrement.
- Qui, outre l’entreprise, reçoit les données récoltées? Il convient de mentionner les destinataires de données, tels que les sous-traitants et les prestataires de services, les assurances, les entreprises partenaires ou autres.
- Un échange de données transfrontalier doit également être indiqué.
- Si votre activité se limite à la Suisse, ces indications suffisent pour que vous soyez en conformité avec la législation sur la protection des données. Toutefois, comme il est possible que vous tombiez dans la zone d’influence du règlement général de l'UE sur la protection des données (RGPD), il peut être judicieux de faire d’emblée une déclaration de confidentialité complète (cela vaut en particulier pour les boutiques en ligne!). Complétez alors votre déclaration de protection des données par les éléments suivants:
- Quels sont les fondements juridiques pour un traitement des données selon le RGPD? En font partie la mise en place ou l’exécution d’un contrat, l’existence d’une base légale, le consentement des personnes concernées ou de leur représentants autorisés ainsi que des intérêts prépondérants ou légitimes de votre entreprise.
- Informations relatives au profilage. Si une entreprise pratique le profilage, elle doit l’indiquer clairement.
- Raison pour laquelle le traitement des données est absolument nécessaire?
- Quels sont les droits des personnes concernées? Les droits des personnes concernées, tels que le droit d’accès, doivent être indiqués de manière détaillée.