Pourquoi le modèle de politique de confidentialité ne vous convient-il pas?

Sergey Voronkevich, MBA, CIPP / E

Copie et génération de politiques de confidentialité

La copie d'une politique de confidentialité de modèle ou l'utilisation de générateurs (compilation automatique) est une pratique très courante. En effet, dans certains cas, cela peut faire gagner du temps lorsqu'il s'agit de copier des informations répétées qui sont universelles pour de nombreux sites. Mais cela n'est vrai que si vous le copiez à partir d'une source fiable ou utilisez un générateur de haute qualité.

Copier

Si vous copiez toujours le modèle de politique de confidentialité, vous devez alors vérifier la conformité de ce document avec les articles 13 et 14 du RGPD (Règlement général sur la protection des données - Règlement général de l'Union européenne pour la protection des données personnelles), ainsi que modifier les paragraphes qui sont individuels pour chaque entreprise:

1. Objectifs de traitement
2. Bases de traitement légitimes
3. Temps de traitement

Il est difficile de trouver une politique de confidentialité qui corresponde à tous les processus de votre entreprise et en même temps au RGPD. La plupart des politiques de confidentialité, même des entreprises européennes, ne sont pas conformes au RGPD.

La politique de confidentialité copiée peut inclure le traitement de données personnelles que la société ne fait pas et ne peut pas faire. Cela crée de gros problèmes dans la mise en œuvre des droits des personnes concernées. Par exemple, un utilisateur de votre service souhaite exercer son droit à la portabilité des données, mais vous n'êtes pas en mesure de le réaliser.

Notez également que de nombreux modèles de politique de confidentialité sont rédigés en vertu d'autres lois. Il y a des cas fréquents où le mot «RGPD» y est inséré à la place d'un autre acte juridique normatif.

Par conséquent, vous passez plus de temps à rechercher et à modifier un modèle lorsqu'il sera beaucoup plus rapide (ou peut-être moins cher) d'écrire une politique vous-même ou de consulter un spécialiste.

Générateurs

Supposons que vous trouviez un générateur de politique de confidentialité de qualité. Pour qu'il produise une version prête à l'emploi, vous devez encore décrire vos processus en détail, formuler des objectifs et définir les fondements juridiques. Habituellement, il est impossible d'ajouter toutes les différentes informations sur le traitement des données personnelles aux générateurs de politique de confidentialité. Dans certains, comme le générateur professionnel Signatu, vous pouvez le faire, mais pour générer quelque chose, vous devrez répondre à des dizaines de questions complexes qui nécessitent une connaissance approfondie du RGPD.

Création d'une politique de confidentialité

Si vous comparez l'utilisation d'une plate-forme avec l'achat de médicaments, la politique de confidentialité est un encart avec des instructions. Avec cette instruction, les utilisateurs savent comment utiliser correctement ce médicament et ne pas se blesser.

De même, les politiques de confidentialité devraient fonctionner. Ce document est écrit principalement pour les utilisateurs. N'oubliez pas cela lorsque vous connectez votre avocat. La politique de confidentialité doit être rédigée dans une langue compréhensible pour le lecteur.

Lors de la conception d'une politique de confidentialité, veuillez tout d'abord vous référer à la loi applicable à votre traitement. Vous y trouverez les conditions requises et comprendre quelles informations vous devez indiquer dans votre document. Dans cet article, nous parlons du RGPD.
Les exigences de base pour le contenu de la politique de confidentialité du RGPD sont contenues dans l'art. 13 et 14 du Règlement, ainsi que dans l'explication des « Lignes directrices sur la transparence » du groupe de travail «Article 29», l'organisme paneuropéen de surveillance. À la fin du document, un tableau vous permet de vérifier votre politique de confidentialité.

Lors de l'élaboration d'une politique, l'erreur est de diffuser des informations sur le traitement individuel dans différentes sections, lorsque les compilateurs décrivent les catégories de données traitées séparément des objectifs et les objectifs séparément des fondements juridiques du traitement (consentement, intérêt légitime, contrat, obligation légale, etc.). Cela est interdit, car la personne (la personne concernée) ne sait pas laquelle des catégories de données est traitée dans quel but. C'est la même chose si vous êtes allé voir un passant dans la rue et lui avez demandé un téléphone. Il a une question raisonnable: "Pourquoi?" Il décidera de donner ou non le téléphone en fonction de la manière dont vous souhaitez l'utiliser. De même, l'utilisateur accepte le traitement des données personnelles en fonction de vos objectifs.

En d'autres termes, il est préférable de structurer le texte de la politique de confidentialité des traitements individuels.
Par exemple, début 2019, GOOGLE a reçu une amende de 50 millions de dollars de la part du superviseur français CNIL. L'une des violations était que des informations importantes sur les finalités du traitement, les périodes de stockage, les catégories de données personnelles à traiter étaient dispersées dans différents documents. En conséquence, la personne concernée devait prendre 5-6 actions pour obtenir les informations nécessaires.

Il convient de noter que la politique de confidentialité elle-même n'est que la pointe de l'iceberg. Avant de compiler une politique de confidentialité, vous devez suivre un certain nombre d'étapes:

1. établissement d'un registre de traitement des données personnelles (article 30 du règlement).
2. formulation des objectifs de traitement. Par exemple, vous demandez aux services responsables pourquoi ils traitent telle ou telle donnée. Il peut s'avérer qu'ils ont pris des données «pour l'avenir», n'ayant pas d'objectif spécifique maintenant;
3. sélection d'une base juridique pour le traitement (article 6 du règlement). Cette étape n'est pas seulement «la bonne aventure sur une camomille», mais une analyse juridique complexe;
4. détermination du temps de traitement pour chaque processus;
5. inventaire des tiers (sous-traitants, partenaires, fournisseurs, prestataires) auxquels vous donnez accès aux données personnelles.

Les erreurs commises à ces premiers stades sont très souvent clairement visibles dans les politiques de confidentialité.

Les risques liés à l'utilisation d'une politique de confidentialité incorrecte

1. Sanctions infligées après inspection par le superviseur. Et cela représente 20 millions d'euros, soit 4% du chiffre d'affaires global de l'entreprise.
2. Plainte d'une personne concernée qui n'a pas compris votre politique de confidentialité auprès du superviseur. Que se passera-t-il ensuite - voir le paragraphe 1.
3. Réputation gâtée . La présence d'erreurs évidentes dans la politique de confidentialité peut faire chuter les devis d'une entreprise publique. Les investisseurs craignent moins que l'entreprise n'ait enfreint les règles, mais qu'elle risque d'énormes sanctions. Aucun des actionnaires de votre entreprise n'appréciera ce risque et les contreparties ne seront certainement pas satisfaites de votre faillite.
4. Si vous choisissez incorrectement la base juridique, la personne concernée peut avoir un droit dont la mise en œuvre bloquera réellement les processus dans votre entreprise . Exemple: vous avez choisi le consentement comme base légale pour le traitement dans une situation où seul un contrat est possible. Si l'utilisateur retire son consentement, vous ne pourrez pas lui rendre un service. En fin de compte, vous vous retrouvez dans un piège juridique: d'une part, vous devez réaliser le droit du sujet à l'oubli, et d'autre part, lui rendre une faveur. Ne lui donnez pas le droit d'être oublié - vous serez condamné à une amende et ne lui fournissez pas de service - vous serez sanctionné en vertu d'un contrat que vous avez signé avec cette entité.

Ainsi, la politique de confidentialité:

1. Il est développé individuellement pour les processus d'une organisation particulière,
2. Il est écrit dans un langage compréhensible et a une structure claire,
3. un événement parmi tant d'autres et loin d'être le premier à se conformer au Règlement,
4. nécessaires à la survie de l'entreprise à l'ère du RGPD et
5. ne pardonne pas les erreurs.