Perfectionner la déclaration de confidentialité : le faites-vous correctement?

Rédigé par: Enzo Marquet

Dans cet article de blog, nous allons approfondir la question d’une ‘bonne’ déclaration de confidentialité, en fournissant des idées, des bonnes pratiques et des conseils pour vous aider à créer votre meilleure déclaration de confidentialité.

Déclaration de confidentialité et Politique de confidentialité

Tout d’abord, une distinction doit être faite entre une déclaration de confidentialité et une politique de confidentialité. Une déclaration de confidentialité est un document externe utilisé pour informer les personnes concernées du traitement de leurs données. Une politique de confidentialité est un document interne pour vos employés sur la manière de traiter les données à caractère personnel. En tant que tel, cet article de blog concerne la déclaration de confidentialité orientée vers l’extérieur.

Que devriez-vous ajouter dans votre Déclaration de confidentialité ?

Le RGPD stipule dans ses articles 12 – 14 que les responsables du traitement doivent prendre les mesures appropriées pour informer les personnes concernées sur le traitement de leurs données à caractère personnel, et c’est ainsi qu’est née la déclaration de confidentialité.

Les grandes lignes sont simples, les informations suivantes doivent être incluses :

• Identité (du représentant) du responsable du traitement et ses coordonnées ;
• Les coordonnées du DPO, le cas échéant ;
• Les finalités du traitement liées à la base juridique du traitement ;
• Si l’intérêt légitime est invoqué comme base juridique, le responsable du traitement doit également expliquer son intérêt légitime ;
• Les (catégories de) destinataires des données à caractère personnel ;
• Les transferts internationaux de données et les garanties mises en œuvre ;
• Les périodes de conservation ;
• Tous les droits des personnes concernées, y compris un lien vers l’autorité de contrôle pour introduire une réclamation ;
• L’existence d’une prise de décision automatisée et sa logique ainsi que l’impact sur la personne concernée.

Lorsque les données à caractère personnel ne sont pas obtenues directement auprès de la personne concernée, les informations suivantes sont également fournies dans un délai raisonnable, par exemple par courrier électronique :

• Catégories de données à caractère personnel en question ;
• Source des données à caractère personnel ;
• Divulgation à d’autres destinataires.

Bonnes pratiques lors de la création d’une Déclaration de confidentialité

La gestion d’une déclaration de confidentialité peut se faire de nombreuses façons, et chaque situation nécessite une approche différente. Par exemple, une entreprise traitant principalement des données relatives aux enfants aura besoin d’une mise en œuvre très différente de sa déclaration de confidentialité par rapport à une entreprise portant sur le recrutement de juristes.

Le RGPD exige que les informations requises soient communiquées d’une manière qui soit :

• concise,
• transparente,
• intelligible et
• facilement accessible.

Dans ce qui suit, ces paramètres clés pour les déclarations de confidentialité seront examinés et les meilleures pratiques recommandées. La plupart des recommandations peuvent également correspondre aux autres critères.

Concise 

Une étude de NordVPN montre qu’il faudrait 10 heures à une personne pour lire les politiques de confidentialité des 20 sites web les plus visités au Royaume-Uni. La lecture d’une politique moyenne prendrait donc 32 minutes. C’est évidemment très long et en contraste avec l’exigence de concision. Les déclarations de confidentialité élaborées créent une lassitude à l’égard de l’information. Comment améliorer cette situation ?

1. Disposition en plusieurs couches

Toutes les informations ne sont pas pertinentes et les personnes qui lisent une déclaration de confidentialité sont souvent à la recherche d’informations spécifiques (telles que les coordonnées, la finalité du traitement). C’est pourquoi il est judicieux de disposer votre déclaration de confidentialité en couches. Les personnes concernées qui lisent la déclaration de confidentialité peuvent alors cliquer sur le titre qui répond à leurs questions. Un exemple :

Déclaration de confidentialité de Delhaize, option 3 ouverte

2. Différentes versions

Certaines entreprises ont des déclarations de confidentialité assez complexes parce qu’elles offrent différents services à un large éventail de personnes (B2B, B2C, demandes d’emploi, etc.). Une excellente pratique pour réduire la longueur de la déclaration de confidentialité consiste à rédiger une version concise, qui répond aux questions de première main des personnes concernées. À un endroit visible de la version concise, un lien peut être placé vers la version élaborée et complète pour les personnes concernées intéressées par les moindres détails.

Attention, la version concise doit toujours contenir toutes les informations obligatoires.

Transparence

Les informations relatives au traitement des données à caractère personnel doivent être clairement distinguées des autres informations figurant sur votre site web. La transparence consiste à être ouvert et honnête quant à vos intentions et aux finalités du traitement.

1. Versions actualisées

Souvent, en haut de la page, la déclaration de confidentialité mentionne ‘dernière mise à jour à une certaine date’. Toutefois, cette mention n’apporte aucune valeur ajoutée aux personnes concernées, car il est souvent impossible de savoir ce qui a été mis à jour.

A ce titre, Il est recommandé d’au moins informer vos clients actuels de toute modification apportée à votre déclaration de confidentialité, par exemple par courrier électronique, en expliquant clairement ce qui change et pourquoi. Une autre option serait de fournir une version où les changements seraient marqués d’une couleur différente.

2. Évitez les formulations imprécises

Des termes tels que ‘peut’, ‘pourrait’, ‘possible’, etc. ne contribuent pas à la transparence de la déclaration de confidentialité. Au contraire, ces termes créent une situation d’incertitude pour le lecteur. Il se demandera si ses données personnelles sont effectivement traitées pour la finalité spécifiée.

3. Tableau de bord

Un tableau de bord est un outil de gestion des préférences qui permet aux personnes concernées de gérer en un seul endroit ce qu’il advient de leurs données à caractère personnel. En outre, il offre aux personnes la possibilité d’accorder ou de retirer leur consentement en fonction de l’évolution du traitement ou de leurs préférences.

Intelligibilité

Le critère d’intelligibilité fait référence à la capacité du client moyen à comprendre la déclaration de confidentialité. Il est lié à une autre exigence qui impose l’utilisation d’un langage clair et simple. Déterminez qui est votre public cible (professionnels, enfants, etc.) et adaptez votre rédaction à sa compréhension.

1. Utilisez des phrases simples

Résistez à l’envie de faire entrer trop d’informations dans une seule phrase. Essayez plutôt de transmettre une seule idée clé ou un seul élément d’information dans chaque phrase.

Évitez de submerger les lecteurs avec une abondance de jargon juridique ou technique. Au lieu de cela, reformulez les termes complexes en langage courant ou proposez des définitions simples que votre public peut facilement comprendre.

En bref, ne compliquez pas tout.

Facilement accessible

Toute déclaration de confidentialité doit être facilement accessible. Cela signifie que vous ne pouvez pas la cacher dans les Conditions générales ou à un autre endroit. Veillez à ce que votre déclaration de confidentialité soit clairement visible en bas/haut de votre page web et mettez-la en lien lorsque les clients créent un compte.

1. Plusieurs points d’entrée

Pour trouver la déclaration de confidentialité, il ne doit pas être nécessaire de se rendre à un endroit spécifique de votre page web. Au contraire, faites-y référence à plusieurs reprises, par exemple lors de la création d’un compte, de manière bien visible sur votre page web, en mentionnant la déclaration de confidentialité dans d’autres documents et dans toutes les communications que vous envoyez.

2. Juste à temps

Une déclaration “juste à temps” est un bref message qui informe les personnes de la manière dont les informations qu’elles ont fournies seront utilisées, et qui apparaît au moment où elles partagent les données. Ces déclarations sont particulièrement utiles lorsque les personnes fournissent des informations personnelles au cours de diverses interactions, par exemple sur un site web ou en remplissant un formulaire, car elles n’en mesurent pas forcément toutes les implications. Les déclarations “juste à temps” fournissent des informations pertinentes sur la vie privée au moment précis où elles sont nécessaires et peuvent être encore plus efficaces lorsqu’elles sont utilisées parallèlement à d’autres méthodes qui offrent des informations détaillées à ceux qui le souhaitent.

3. N’oubliez pas les appareils mobiles

Les appareils mobiles, tels que les smartphones et les tablettes, font face à des difficultés lorsqu’il s’agit de fournir des informations sur la protection de la vie privée, principalement en raison de la petite taille de leurs écrans. Pour garantir la clarté et la lisibilité, les informations doivent être aussi facilement accessibles sur ces appareils que sur les écrans d’ordinateur traditionnels, sans qu’il soit nécessaire de zoomer.

Conclusion

Passer d’une déclaration de confidentialité moyenne à excellente peut accroître la transparence et la fiabilité de votre entreprise, deux engagements très importants à l’ère numérique actuelle. Dans cet article de blog, nous nous sommes concentrés sur quelques points clés qui sont souvent négligés lors de l’élaboration de votre déclaration de confidentialité. La mise en œuvre de ces mesures donnera à votre entreprise un avantage sur ses concurrents et renforcera la confiance de vos clients. N’oubliez pas que votre déclaration de confidentialité n’est pas un simple document juridique, mais qu’elle constitue une passerelle de communication entre vous et vos clients.

En mettant ces lignes directrices en pratique, vous pouvez faire un pas important vers un avenir plus transparent et plus respectueux de la protection des données.