GDPR (11) Qu’est-ce qu’une Déclaration de confidentialité et que doit-elle comporter?

23 octobre 2017

Dans nos articles précédents, nous avons largement évoqué le registre des activités de traitement des données à caractère personnel. Dans ce registre, vous consignez quelles données à caractère personnel sont traitées au sein de votre organisation, dans quel but et selon quel fondement juridique. Le 25 mai 2018, ce registre devra exister au sein de toute organisation. L’utilité de ce registre va toutefois bien plus loin. Vous pouvez l’utiliser comme point de départ pour une analyse des risques et pour un aperçu des mesures de protection et des procédures internes de votre organisation. Nous reviendrons sur ce point ultérieurement dans ce blog. D’autre part, un registre bien tenu vous fournit l’input idéal pour informer les personnes concernées quant au traitement de leurs données. C’est le sujet de notre article d’aujourd’hui.

Le GDPR exige de votre part une grande ouverture envers toutes les personnes concernées, en d’autres termes toutes les personnes dont vous utilisez les données. Elles ont parfaitement le droit d’être informées des traitements subis par leurs données. Une « Déclaration de confidentialité » est un texte dans lequel votre organisation rend ceci public.

Le GDPR définit quelles informations doivent être fournies à la personne concernée. Une Déclaration de confidentialité soigneusement rédigée doit donc aborder chacun de ces points.

  • Le responsable des activités de traitement des données doit se présenter clairement, avec le nom exact de l’entreprise ou de l’organisation et l’adresse complète du siège. Si l’organisation a désigné un Data Protection Officer (DPO), la Déclaration de confidentialité doit mentionner comment le contacter. Il n’est pas nécessaire de communiquer le nom de cette personne, mais il faut au moins fournir une adresse, un numéro de téléphone ou un e-mail permettant de la joindre. À défaut de DPO, il faut assurément renvoyer vers un point de contact.
  • La partie la plus importante de la déclaration concerne l’énumération des activités de traitement des données à caractère personnel réalisées par votre organisation. Cette énumération doit être suffisamment détaillée et distincte pour chaque finalité. Précisez chaque fois dans quel but certaines données sont collectées, quelles sont les catégories de données traitées et les catégories de personnes concernées, quelles sont les activités de traitement réalisées et quel est le fondement juridique invoqué pour effectuer ces traitements. Vous pouvez évidemment vous inspirer de votre registre interne afin de ne rien oublier.
  • Les destinataires doivent être clairement définis. Qui a accès à ces informations ? À qui sont-elles transmises ? Spécifiez les catégories de collaborateurs impliquées en interne dans le traitement de ces données, et qui ont donc droit de regard sur ces informations. Précisez si des parties externes sont impliquées dans le traitement. Si les informations collectées sont transmises à des tiers pour une autre utilisation, cela doit être explicitement indiqué. Le plus souvent, cela se fait à l’aide de termes généraux, tels que « sociétés-sœurs » ou « partenaires ». Le GDPR mise sur une transparence maximale. Il est en effet important que les personnes concernées comprennent ce qu’il advient de leurs données, sans que l’on attende de votre part que vous nommiez chaque partenaire ou fournisseur.
  • Vous devez ensuite démontrer que vous avez pris suffisamment de mesures de sécurité pour garantir la confidentialité et l’intégrité des données. Ici encore, il n’est pas nécessaire de dévoiler la technologie et les procédures dans le détail, car cela nuirait précisément à la sécurité. Mentionnez les principes appliqués et la façon dont vous les garantissez en interne.
  • Une exigence spécifique concerne les informations relatives au délai de conservation des données. Le GDPR stipule que vous ne pouvez utiliser les données collectées que pour la finalité établie, et que vous ne pouvez pas les conserver plus que nécessaire pour cette finalité. En outre, en tant que responsable, vous devez veiller à la qualité des données. Cela implique donc qu’elles ne soient pas obsolètes. Il est préférable de préciser ce délai de conservation pour chaque finalité spécifique.
  • Votre Déclaration de confidentialité doit également énumérer clairement les droits des personnes concernées.
    • La personne concernée peut toujours déposer une plainte à la Commission Vie Privée si elle estime que ses données ne sont pas traitées correctement.
    • Elle peut demander au responsable des informations quant aux activités de traitement de ses données ; vous devez lui expliquer quelle procédure suivre pour cela.
    • Elle peut consulter les informations disponibles et si nécessaire les faire modifier ou supprimer.

Les droits de la personne concernée feront l’objet d’un article distinct dans ce blog.

  • Enfin, le GDPR vous demande de spécifier si vous exportez certaines données en dehors de l’Union européenne. Si tel est le cas, la protection adéquate des données et des droits de la personne concernée est exposée à des risques supplémentaires. Pensez par exemple aux compétences d’une instance comme la NSA aux États-Unis. Les garanties varient en fonction du pays vers lequel les données sont exportées ou du secteur de l’entreprise ou de l’organisation. Il s’agit d’une matière juridique très complexe. Le plus souvent, il suffit de mentionner que les données ne sortent pas de l’Union européenne et sont donc parfaitement couvertes par la protection juridique du GDPR. Si ce n’est pas le cas, vous devez spécifier où vont les données et quelle est la protection applicable. La personne concernée peut alors décider si la confidentialité de ses données est suffisamment garantie.

Le GDPR prévoit non seulement le contenu de votre Déclaration de confidentialité, mais fournit aussi des directives relatives à sa forme et à sa structure. La façon dont vous communiquez ces informations aux personnes concernées, le moment auquel vous le faites et la manière dont vous les gardez à jour sont également importants. Ces aspects feront l’objet de notre prochain article.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse  gdpr@groupjoos.com

LOADING