Réservez une démonstration
S’inscrire

Bien choisir les options de sa politique de confidentialité

iubenda a mis en place un système qui vous permet de donner diffĂ©rents droits selon les groupes d’utilisateurs dont vous collectez et traitez les donnĂ©es personnelles en tant que « responsable du traitement Â» (terme utilisĂ© dans le RGPD pour dĂ©signer la personne qui dĂ©termine les finalitĂ©s et les moyens du traitement des donnĂ©es Ă  caractère personnel).

Notamment :

  • Vous pouvez dĂ©cider d’appliquer des normes de protection renforcĂ©es Ă  l’ensemble de vos utilisateurs. Dans ce cas, vous gĂ©nĂ©rerez une politique de confidentialitĂ© applicable dans son ensemble Ă  tous vos utilisateurs et conforme au RGPD.
  • Vous pouvez dĂ©cider d’appliquer un ensemble de droits de base Ă  tous les utilisateurs, et des normes de protection renforcĂ©es Ă  certains d’entre eux seulement. Dans ce cas, celles-ci s’appliqueront systĂ©matiquement dès lors que le traitement des donnĂ©es Ă  caractère personnel est soumis au RGPD. Dans tous les autres cas, un ensemble de droits de base s’appliquera.

💡 Si vous ciblez des utilisateurs situés aux États-Unis, le California Consumer Privacy Act (CCPA) peut vous concerner. Pour tout savoir sur le CCPA et pour faire notre évaluation gratuite, cliquez ici.

Comment faire le bon choix ?

Vous pouvez choisir d’« Appliquer les niveaux de protection prĂ©vus par le RGPD Ă  Â» :

  • L’UE seulement
  • Tous les utilisateurs

Pour opĂ©rer la modification :

  • Connectez-vous Ă  votre espace de gestion des politiques de confidentialitĂ©
  • Passez par le Tableau de bord pour accĂ©der Ă  l’interface de modification de votre politique de confidentialitĂ© > [votre politique de confidentialitĂ©] > Modifier
  • Vous verrez une fenĂŞtre «  Normes spĂ©cifiques Ă  la lĂ©gislation Â» dans laquelle vous pourrez activer le texte RGPD

  • Sous le libellĂ© «  Appliquer les niveaux de protection prĂ©vus par le RGPD Ă  Â», choisissez entre Tous les utilisateurs (l’option par dĂ©faut) et L’UE seulement
  • Vous pourrez alors examiner votre cas particulier pour choisir en fonction du lieu oĂą se situent vos utilisateurs

Une fois que vous avez choisi quels droits attribuer Ă  quels utilisateurs, vous pouvez poursuivre.

Je suis responsable du traitement et je suis situé dans l’UE

Vous devez alors appliquer les normes de protection renforcées à tous vos utilisateurs, car toutes vos activités de traitement de données sont soumises au RGPD — et ce, y compris pour vos utilisateurs non situés dans l’UE.

Je suis responsable du traitement et je ne suis pas situé dans l’UE

En principe, vous pouvez alors choisir d’appliquer des normes de protection renforcĂ©es Ă  tous vos utilisateurs ou de ne leur octroyer cette protection que dans les cas oĂą le traitement des donnĂ©es Ă  caractère personnel est soumis au RGPD. Remarque : vous ĂŞtes tenu d’appliquer les normes de protection renforcĂ©es dès lors que le traitement

  • concerne les DonnĂ©es personnelles des utilisateurs qui se trouvent dans l’UE et est liĂ© Ă  l’offre de biens ou de services, payants ou non, Ă  ces Utilisateurs ;
  • concerne les DonnĂ©es personnelles des utilisateurs qui se trouvent dans l’UE et permet au PropriĂ©taire de surveiller le comportement de ces Utilisateurs dans l’UE.

Prenons un exemple concret :

Si vous êtes un responsable du traitement basé aux États-Unis, vous pouvez choisir d’appliquer les droits de base à vos utilisateurs, conformément à la législation américaine. Mais si certaines de vos activités de traitement consistent à proposer des biens ou des services, payants ou non, à des utilisateurs situés dans l’UE, ou à suivre le comportement des utilisateurs situés dans l’UE, alors vous êtes dans l’obligation d’appliquer les normes de protection renforcées dans ces cas-là.

Les autres effets des normes de protection renforcées

normes de protection plus étenduesL’applicabilité des normes de protection renforcées a d’autres conséquences, décrites ci-dessous.

Transfert des données hors de l’UE

Si vous collectez des DonnĂ©es personnelles dans un pays de l’UE, vous pouvez librement les transfĂ©rer dans d’autres pays de l’UE ou de l’EEE. Il n’en reste pas moinsToutefois, si vous prĂ©voyez de les transfĂ©rer dans d’autres pays, comme la Suisse ou les États-Unis, vous devez donner Ă  ce transfert une base juridique valable.

Services que vous pouvez ajouter :

  • Transfert de DonnĂ©es vers les pays qui garantissent les normes europĂ©ennes
  • Transfert de DonnĂ©es Ă  l’étranger fondĂ© sur des clauses contractuelles types
  • Transfert de DonnĂ©es Ă  l’étranger fondĂ© sur le consentement
  • Autre base juridique pour le transfert de DonnĂ©es Ă  l’étranger

Exemples de transferts de données

  • Lorsque vous travaillez avec des partenaires ou que vous ajoutez des services basĂ©s hors de l’UE/EEE (comme, par exemple, Google Analytics), vous transfĂ©rez, de fait, des donnĂ©es personnelles hors de l’UE. Les services listĂ©s dans notre gĂ©nĂ©rateur sont prĂ©-localisĂ©s Ă  partir des informations existantes.

  • Lors de l’ajout d’un service personnalisĂ© (c’est-Ă -dire ajoutĂ© par vous), veillez Ă  bien indiquer la base juridique de ce transfert.

  • EUSi vous ĂŞtes un responsable du traitement hors de l’UE, vous transfĂ©rez des donnĂ©es personnelles hors de l’UE chaque fois que vous collectez les donnĂ©es d’utilisateurs situĂ©s dans l’UE. Veillez Ă  bien le faire conformĂ©ment Ă  l’un des fondements juridiques prĂ©vus pour les transferts.

Bases juridiques pour les transferts

cessionLe RGPD prĂ©voit un certain nombre de bases juridiques recevables pour transfĂ©rer des donnĂ©es hors de l’UE. Les plus pertinentes sont :

Lorsque la Commission européenne estime qu’un pays en particulier garantit des niveaux de protection des données comparables à ceux applicables dans l’UE, elle publie une décision d’adéquation. cessionSi vous prévoyez de transférer des données dans un de ces pays, vous pouvez le faire — il vous suffit d’en informer vos Utilisateurs dans votre politique de confidentialité.

Ă€ ce jour, ont fait l’objet d’une dĂ©cision d’adĂ©quation l’Andorre, l’Argentine, le Canada (organisations commerciales), les ĂŽles FĂ©roĂ©, Guernesey, IsraĂ«l, L’île de Man, Jersey, la Nouvelle-ZĂ©lande, la Suisse, l’Uruguay et le Japon.

Service Ă  ajouter dans ce cas : « Transfert de DonnĂ©es vers les pays qui garantissent les normes europĂ©ennes Â».

Si le pays vers lequel vous prévoyez d’exporter les données ne semble pas garantir un niveau de protection adéquat, vous pouvez vous assurer que l’importateur des données (c’est-à-dire la société ou la personne vers laquelle vous exportez les données) respecte des règles plus strictes. Pour ce faire, prévoyez de signer avec l’importateur des données un contrat qui contient des clauses contractuelles types rédigées par la Commission européenne. EUDans la plupart des cas, vous utiliserez les clauses contractuelles types visant les Responsables du traitement situés dans l’UE qui exportent des données vers des Sous-traitants établis dans des pays tiers.

Ici encore, si vous avez mis en place un contrat de ce type, vous pouvez transférer les données personnelles — mais vous devez l’indiquer dans votre politique de confidentialité.

Service Ă  ajouter dans ce cas : cession« Transfert de DonnĂ©es Ă  l’étranger reposant sur des clauses contractuelles types Â».

Enfin, si aucune des options mentionnĂ©es ci-dessus ne vous paraĂ®t faisable, vous devez demander Ă  vos Utilisateurs de consentir au transfert de leurs donnĂ©es hors de l’UE. C’est le scĂ©nario le plus compliquĂ©, car vous devez vous assurer que leur consentement est, entre autres, « Ă©clairĂ© Â». Savez-vous vraiment ce que vont devenir les donnĂ©es utilisateur une fois exportĂ©es hors de l’UE ? Connaissez-vous les mesures de sĂ©curitĂ© garanties par la lĂ©gislation locale ou mises en place par l’importateur des donnĂ©es lui-mĂŞme pour garantir la protection des donnĂ©es personnelles ?

Si vous pouvez donner ces informations, vous pouvez demander Ă  vos Utilisateurs de consentir au transfert de leurs donnĂ©es personnelles. Ă€ l’inverse, si vous n’êtes pas en mesure de les donner, soyez prudents : un consentement collectĂ© dans ces conditions ne serait pas considĂ©rĂ© comme « Ă©clairĂ© Â» et ne serait donc pas valable.

Service Ă  ajouter dans ce cas : cession« Transfert de DonnĂ©es Ă  l’étranger basĂ© sur le consentement Â».

Pour finir, on le sait moins, mais le RGPD prĂ©voit quelques autres possibilitĂ©s (moins pertinentes toutefois) pour pouvoir transfĂ©rer des donnĂ©es hors de l’EU. Si votre transfert est fondĂ© sur l’une de ces options, vous choisirez le service « Autre base juridique pour le transfert de DonnĂ©es Ă  l’étranger Â» en prĂ©cisant tous les dĂ©tails nĂ©cessaires grâce Ă  l’ajout d’une clause personnalisĂ©e.

Quid des transferts depuis la Suisse ?

Si vous transférez des données personnelles de la Suisse vers un autre pays, vous devez le faire conformément à l’une des bases légales reconnues par la législation suisse. Parmi celles-ci, les plus pertinentes sont :

  • DĂ©cisions d’adĂ©quation ;
    • Remarque : L’Administration fĂ©dĂ©rale suisse a rĂ©cemment adoptĂ© sa dĂ©cision d’adĂ©quation pour le Swiss-U.S. Data Privacy Framework (DPF)
  • Clauses types de protection des donnĂ©es, soumises Ă  l’approbation prĂ©alable du PrĂ©posĂ© fĂ©dĂ©ral Ă  la protection des donnĂ©es et Ă  la transparence (PFPDT) ;
  • Consentement.

Vous trouverez plus d’informations sur les règles de protection des données au niveau fédéral en Suisse ici.

💡 Consultez notre guide dédié pour savoir comment la solution de iubenda peut vous aider à assurer la transparence concernant le transfert de données personnelles de la Suisse vers un autre pays.

Qu’en est-il des transferts depuis le Royaume-Uni ?

Si vous transférez des données personnelles du Royaume-Uni vers un autre pays, vous devez le faire conformément à l’une des bases légales reconnues par le RGPD britannique (UK GDPR).

Un guide sur les transferts en dehors du Royaume-Uni est disponible ici.

Notre Privacy and Cookie Policy Generator propose des clauses supplĂ©mentaires relatives au transfert de donnĂ©es en dehors du Royaume-Uni. Ces clauses, si vous les sĂ©lectionnez, apparaĂ®tront dans votre politique de confidentialitĂ©, aussi bien dans la version simplifiĂ©e que dans la version complète, sous la section « Transfert de donnĂ©es personnelles en dehors du Royaume-Uni Â».

  • Transferts de donnĂ©es conformĂ©ment Ă  un règlement d’adĂ©quation du Royaume-Uni ;
  • Transfert de donnĂ©es Ă  l’étranger basĂ© sur des clauses contractuelles types (Royaume-Uni) ;
  • Transfert de donnĂ©es Ă  l’étranger basĂ© sur le consentement (Royaume-Uni) ;
  • Autre base lĂ©gale pour le transfert de donnĂ©es Ă  l’étranger (Royaume-Uni) ;

Ces clauses supplémentaires peuvent être très utiles, mais elles contiennent des descriptions larges et génériques puisque nous ne savons pas exactement comment vous transférez des données à l’étranger. Nous vous recommandons donc vivement de vérifier si elles s’appliquent à votre cas et, si nécessaire, de décrire vos activités de transfert de données de façon plus détaillée en ajoutant des clauses personnalisées.

💡Avec notre Register of Data Processing Activities, vous pouvez spécifier, pour chaque prestataire de services, quelle est la base légale applicable au transfert de données à l’étranger.

Profilage

Le profilage est une forme de traitement automatisĂ© de donnĂ©es Ă  caractère personnel rĂ©alisĂ© pour Ă©valuer certains aspects personnels relatifs Ă  une personne physique, notamment pour analyser ou prĂ©dire des Ă©lĂ©ments concernant le rendement au travail, la situation Ă©conomique, la santĂ©, les prĂ©fĂ©rences personnelles, les intĂ©rĂŞts, la fiabilitĂ©, le comportement, la localisation ou les dĂ©placements de cette personne physique ;

Si vous profilez vos utilisateurs, vous devez les en informer. Vous devez donc choisir la clause correspondante dans le générateur de politiques de confidentialité.

Services que vous pouvez ajouter :

  • Analyse et prĂ©dictions basĂ©es sur les DonnĂ©es de l’Utilisateur (« profilage Â»)

Un exemple concret

Si vous vendez des produits et gardez trace des choix des utilisateurs Ă  des fins de marketing, si vous les rĂ©partissez en catĂ©gories pertinentes, comme l’âge, le sexe, l’origine gĂ©ographique, etc. : vous les profilez.

Prise de décision automatisée

La prise de décision automatisée, ou PDA, est un processus qui vous permet de prendre des décisions qui peuvent avoir des conséquences juridiques ou d’autres effets importants pour les utilisateurs, de manière complètement automatisée, sans intervention humaine. Ces PDA peuvent reposer sur le profilage (voir ci-dessus).

Si vous avez mis en place des processus de PDA, vous devez en informer vos utilisateurs. Vous devez donc choisir la clause correspondante dans le gĂ©nĂ©rateur de politiques de confidentialitĂ©. Remarque : les utilisateurs bĂ©nĂ©ficient d’un droit d’opposition spĂ©cifique, prĂ©cisĂ© dans la section « Ă  propos de la prise de dĂ©cision automatisĂ©e Â» de la politique de confidentialitĂ© que vous allez gĂ©nĂ©rer.

Services que vous pouvez ajouter :

  • Prise de dĂ©cision automatisĂ©e
  • Analyse et prĂ©dictions basĂ©es sur les DonnĂ©es de l’Utilisateur (« profilage Â»)

Un exemple concret

Vous êtes une banque. Pour pouvoir décider si les utilisateurs peuvent obtenir un prêt, vous leur faites remplir un formulaire avec leurs données personnelles. Ces données sont analysées de manière totalement automatisée et la décision concernant le prêt est prise par un algorithme.

Achat de données auprès de tiers

Si vous ne collectez pas les données à caractère personnel d’un utilisateur directement auprès de lui, mais que vous vous les procurez par l’intermédiaire d’un tiers, vous devez en informer l’utilisateur concerné, outre vos autres obligations d’information. N’oubliez pas de choisir la clause correspondante dans le générateur de politique de confidentialité.

L’utilisateur doit en être informé au plus tard un mois après la collecte des données, et plus particulièrement

  • si les donnĂ©es Ă  caractère personnel doivent ĂŞtre utilisĂ©es aux fins de la communication avec l’utilisateur, au plus tard au moment de la première communication Ă  cet utilisateur ; ou
  • s’il est envisagĂ© de communiquer les informations Ă  un autre destinataire, au plus tard lorsque les donnĂ©es personnelles sont communiquĂ©es pour la première fois.

Services que vous pouvez ajouter :

  • DonnĂ©es personnelles collectĂ©es par le biais de sources autres que l’Utilisateur

Un exemple concret

Vous êtes chasseur de têtes. Vous trouvez un profil intéressant sur LinkedIn. Dès que vous contactez la personne en question, ou que vous transférez ses données à l’employeur potentiel, et dans un délai d’un mois dans tous les cas, vous devez donner à la personne concernée toutes les informations obligatoires, et notamment citer LinkedIn comme source de ses données.

Représentant dans l’UE

Si vous êtes un responsable du traitement situé hors de l’UE, vous devez désigner un représentant pour l’UE, c’est-à-dire une personne physique ou morale basée dans l’un des pays de l’UE où se situent vos utilisateurs. La désignation doit être faite par écrit, et le représentant désigné doit être cité dans votre politique de confidentialité.

Par conséquent, saisissez les coordonnées du représentant (nom et coordonnées de votre représentant) dans le champ où figurent les informations concernant votre propre société.

Délégué à la protection des données

Dans certaines circonstances, vous êtes tenu de nommer délégué à la protection des données (DPD) une personne physique ou morale, et de le mentionner dans votre politique de confidentialité.

En particulier, vous devez dĂ©signer un DPD lorsque :

  • vous ĂŞtes un organisme public ou une autoritĂ© publique ; ou
  • vos activitĂ©s de base consistent en des opĂ©rations qui exigent un suivi rĂ©gulier et systĂ©matique Ă  grande Ă©chelle des utilisateurs ;
  • vos activitĂ©s de base consistent en un traitement Ă  grande Ă©chelle de donnĂ©es sensibles ou de donnĂ©es relatives Ă  des condamnations pĂ©nales et Ă  des infractions.

Si vous êtes concerné par l’un des cas ci-dessus, insérez les informations concernant le DPD (les coordonnées de votre délégué à la protection des données) dans le champ où figurent les informations concernant votre propre société.

Remarque : le RGPD permet aux États membres de prĂ©voir d’autres circonstances dans lesquelles la dĂ©signation d’un DPD est obligatoire. VĂ©rifiez donc bien si vous ĂŞtes soumis aux dispositions nationales d’un État membre en complĂ©ment du RGPD, et si ces dispositions vous imposent de dĂ©signer un DPD.

Vous trouverez plus de détails sur le délégué à la protection des données et sur d’autres questions dans notre guide du RGPD.