AstucenLPD

Quelles données personnelles mon entreprise collecte-t-elle ?

Contexte

Dans le cadre de l’entrée en force de la nouvelle loi suisse sur la protection des données (nLPD), les entreprises suisses sont amenées à devoir contrôler leur déclaration de protection des données (parfois aussi appelée « politique de confidentialité » ou « privacy policy » par référence à la terminologie anglaise), respectivement à en rédiger si cela n’a pas déjà été fait dans le passé (notamment au moment de l’entrée en vigueur du Règlement européen sur la protection des données (RGPD)).

But de la déclaration de protection des données

En substance, la déclaration de protection des données a pour but d’indiquer aux utilisateurs de votre site web quelles données sont traitées par votre entreprise, de quelle manière et dans quel but. Elle décrit également les mesures prises par votre entreprise pour protéger la sphère privée des utilisateurs du site web et indique à ces derniers l’identité du responsable du traitement des données.

La déclaration de protection des données est une concrétisation du devoir d’informer du responsable du traitement prévu par l’art. 19 nLPD, qui prévoit – en substance – que les utilisateurs doivent être informés de manière suffisante et claire afin de pouvoir librement décider si et dans quelle mesure ils souhaitent que leurs données personnelles soient traitées. Dans ce contexte, les utilisateurs ont, de surcroît, le droit de se voir communiquer les informations nécessaires pour qu’ils puissent faire valoir les droits que leur confère la nLPD (p. ex. accès, rectification, suppression, opposition, portabilité, etc.).

Pour qu’elle puisse atteindre son but, il est important que votre déclaration de protection des données soit constamment à jour, complète et exacte. En outre, il est recommandé que votre déclaration soit soigneusement rédigée et adaptée au visiteur moyen de votre site web. Si votre site web est plurilingue, la déclaration de protection des données doit, en principe, être disponible dans chacune des langues concernées.

Eléments à prendre en compte au moment de la rédaction ou de la révision de la déclaration de protection des données

Au moment de réviser ou de rédiger votre déclaration de protection des données, il est important que vous ayez analysé les besoins de votre entreprise en matière de données et la manière dont celles-ci sont traitées, et émis des directives claires sur le traitement des données personnelles.

Votre déclaration de protection des données doit, en effet, thématiser autant que possible ces différents éléments. Elle doit, de surcroît, être en conformité avec les exigences de la nLPD et adaptée aux traitements des données personnelles qui sont concrètement effectués au sein de votre entreprise.

Sur ces questions, le Préposé fédéral à la protection des données et à la transparence (PFPDT) recommande d’avoir répondu aux questions suivantes avant d’entreprendre la révision ou la rédaction de votre déclaration de protection des données :

  • quelles données personnelles sont collectées par mon entreprise ?
  • quelles données personnelles sont nécessaires pour fournir les prestations de mon entreprise ?
  • comment et où les données personnelles sont-elles collectées (sources internes et/ou externes) ?
  • à quelles fins les données personnelles sont-elles utilisées ?
  • qui est responsable du contrôle des données collectées ?
  • qui a accès aux données ?
  • comment, où et pour combien de temps les données personnelles sont-elles enregistrées ?
  • les données sont-elles transmises à l’étranger ?
  • les données personnelles sont-elles communiquées à des tiers et, si oui, à quelles fins ?
  • des services ou des produits de tiers sont-ils intégrés dans votre site web et, si oui, quelles données sont transmises à ces tiers (outils d’analyse, plug-ins sociaux, cartes, cours de la bourse, etc.) ?
  • existe-t-il des directives ou des règles internes concernant la collecte, le traitement et la communication des données ?
  • à qui et comment les personnes concernées peuvent-elles s’adresser pour demander à consulter, effacer ou rectifier leurs données ou pour s’opposer à leur traitement ?

Contenu de la déclaration de protection des données

En ce qui concerne son contenu, la déclaration de protection des données doit contenir des informations sur les éléments suivants :

  • identité du responsable du traitement des données ;
  • type de données collectées ;
  • finalité du traitement des données ;
  • durée de conservation des données ;
  • options à disposition de l’utilisateur s’agissant du traitement de ses données ;
  • transfert éventuel des données à des tiers et finalité dudit transfert ;
  • services et produits, notamment de tiers, qui sont intégrés dans le site web et possibilités pour les utilisateurs de s’opposer à ce que leurs données soient communiquées à ce tiers ;
  • identité de la personne à qui les utilisateurs peuvent adresser les demandes de renseignements relatifs au traitement de leurs données et faire valoir leurs droits (p. ex. accès, rectification, suppression, opposition, portabilité, etc.) ;
  • Législations auxquelles est soumis le traitement des données.

Comme susmentionné, la déclaration de protection des données doit, dans tous les cas, être adaptée au groupe cible de votre site web.

Le petit plus de l'expert nLPD

Si votre public cible est international, il convient de vérifier si d’autres informations sont nécessaires du fait de règles internationales, y compris notamment sur la base du RGPD.

Il est également recommandé de mettre clairement en évidence la déclaration sur votre site web, afin que ses utilisateurs puissent y avoir facilement accès.

Besoin d'aide sur la nLPD ?

Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !

058 255 01 81

Article rédigé par

Thibaut Robert - Expert nLPD

José Veloso

Associé de Valpeo International
Spécialiste dans la gouvernance d'entreprise

Besoin d'aide sur la nLPD ?

Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !

058 255 01 81