GDPR (12) Comment présenter au mieux une Déclaration de confidentialité ?

31 octobre 2017

Dans notre dernier article, nous évoquions tout ce qu’il fallait mentionner dans une Déclaration de confidentialité, afin que toutes les personnes concernées soient correctement informées des traitements subis par leurs données. La manière dont vous présentez cette déclaration est également importante. Les auteurs du GPDR y ont accordé une attention particulière.

En tant que responsable, vous êtes tenu(e) de fournir ces informations de manière concise et dans un langage compréhensible. Par le passé, certaines entreprises s’étaient spécialisées dans la rédaction de textes particulièrement lourds, avec des formulations incompréhensibles pour le commun des mortels, et comptant des dizaines de pages. Vous découragez ainsi le lecteur, ce qui est diamétralement opposé à la transparence souhaitée. Le GDPR attend de vous que vous utilisiez un langage simple, à la portée de tous. Aux Pays-Bas, cela correspond explicitement au niveau linguistique B1, le niveau de l’enseignement primaire. Si votre public compte également des enfants, il est primordial d’expliquer en mots simples ce que vous faites avec les données transmises. Il est généralement préférable de rédiger une Déclaration de confidentialité distincte pour les enfants.

La transparence est également meilleure si vous commencez par exposer les grandes lignes, avec un texte bien structuré. Vous pouvez par exemple décrire chaque thème dans une phrase courte ou un bref paragraphe et offrir la possibilité de cliquer pour obtenir de plus amples informations. L’utilisateur trouvera ainsi rapidement ce qu’il cherche et pourra approfondir ses recherches s’il le souhaite. L’utilisation d’icônes peut être utile pour faire passer le message encore plus simplement. Des groupes de travail œuvrent depuis plusieurs années au développement d’icônes spécifiques, mais il s’agit d’un défi de taille.

N’oubliez pas non plus de dater votre Déclaration de confidentialité et de préciser un numéro de version. En effet, ce genre de texte vit : la nature des données traitées peut être modifiée, tout comme les destinataires ou les mesures de protection prises. Votre texte doit comporter des informations correctes et actuelles. Il changera donc souvent. Or, les personnes concernées doivent être informées de ces changements. Vous devez donc au moins leur signaler que votre déclaration est susceptible d’être modifiée ultérieurement. Invitez-les à consulter régulièrement la page ad hoc de votre site web. Et pensez à conserver les anciennes versions de votre Déclaration de confidentialité, afin qu’en cas de litige relatif à un traitement de données, il vous soit possible de voir quelles étaient les informations à la disposition de la personne concernée au moment dudit traitement.

Selon les circonstances, choisissez où et sous quelle forme vous publiez votre Déclaration de confidentialité. Veillez en tout cas à ce qu’elle soit facile à retrouver. Évitez la Déclaration de confidentialité coincée dans les conditions générales. La méthode la plus classique consiste en un lien depuis le site web, mais une Déclaration de confidentialité peut également être communiquée sur papier, voire verbalement. Vous devez toutefois tenir compte de quelques règles.

Si les utilisateurs complètent leurs données à caractère personnel sur un site web ou dans une application, vous devez veiller à ce que les informations nécessaires relatives au traitement leur aient été préalablement fournies. Le plus simple étant pour cela de renvoyer, dans l’introduction de l’application, à la Déclaration de confidentialité. Sur de nombreux sites web, vous trouverez cette mention dans une barre au bas de chaque page. C’est évidemment moins spécifique, et ce n’est pas en lien avec une finalité précise, mais les informations sont disponibles dès l’ouverture du site. C’est important sur les sites qui collectent des informations sur le comportement de surf des visiteurs, par le biais de cookies ou d’autres outils. Cela commence en effet dès l’ouverture du site web et par conséquence le visiteur en doit être immédiatement informé.

Vous pouvez parfaitement rédiger plusieurs Déclaration de confidentialité, adaptées à certains publics cibles. Vos clients et vos prospects ne sont sans doute pas intéressés par la façon dont votre organisation gère les données du personnel. Cela vous permet de réduire aussi la longueur du texte.

Le GDPR constitue en outre une bonne occasion, pour les organisations, d’examiner leur politique en matière de traitement des données du personnel et de communiquer en interne à ce sujet. Les données en circulation relatives au personnel sont bien plus nombreuses que ce que vous pensez, et certaines sont sensibles.

  • Toutes sortes de données sont nécessaires pour le traitement des salaires (salaire, présence, absentéisme, composition du ménage). Pour de nombreuses entreprises, ces informations sont traitées en externe, par un secrétariat social qui endosse donc le rôle d’organisme qui traite les données. Désormais, des informations doivent être communiquées aux autorités, dans le cadre de la sécurité sociale et de l’administration fiscale.
  • Les dossiers internes du personnel comportent toutes sortes d’informations relatives à la carrière. Lors de recrutements, d’évaluations ou de promotions, ces informations sortent du service du personnel. Il est important de mettre au point les procédures de confidentialité pour ces données.
  • D’autres données ont trait à l’utilisation d’outils ICT. Cela peut aller du contenu d’e-mails via des comptes d’utilisateurs, groupes d’utilisateurs et niveaux d’autorisation, aux fichiers log relatifs à l’utilisation d’applications ou la consultation de sites web. Il est important de communiquer ouvertement sur les informations enregistrées dans les fichiers log et leur finalité. Il convient en outre de définir clairement ce que l’employeur peut et ne peut pas faire avec ces informations.

Au sein des plus grandes organisations, ces points doivent être évoqués lors du Conseil d’entreprise. Dans les plus petites entreprises aussi, il est nécessaire d’informer les travailleurs de tous les traitements de leurs données à caractère personnel. Cela peut se faire par le biais d’une Déclaration de confidentialité interne, que vous reprenez dans le règlement de travail ou que vous diffusez séparément, sur papier ou par voie numérique. Il peut également être indiqué de demander à vos travailleurs de signer cette Déclaration de confidentialité pour indiquer qu’ils en ont pris connaissance.

Cela nécessitera parfois un peu de créativité, mais avec un peu de bonne volonté, chaque organisation est capable de présenter clairement les traitements subis par les données personnelles, et pour quels motifs. La transparence est une exigence de base. Dans nos prochains articles, nous expliquerons ce que le GDPR entend par des mesures de protection adéquates pour les données à caractère personnel. Cela pourrait être un défi de taille pour de nombreuses entreprises…

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

 

LOADING