Déclaration de protection des données sur Internet
Déclaration de protection des
données sur Internet
Les entreprises suisses sont tenues de mener une politique de traitement des données transparente. Leur site web doit contenir une déclaration de protection des données claire pour les utilisateurs
À quoi sert la déclaration de protection des données ?
La déclaration de protection des données explique à l’internaute quelles données sont collectées et à quelles fins elles sont traitées. La déclaration doit clairement indiquer quelles données sont transmises à des tiers pour traitement. Elle concrétise le devoir d’informer du responsable du traitement visé à l’art. 19 de la loi sur la protection des données (LPD). Selon cette disposition, les utilisateurs doivent être informés de manière suffisante et claire afin de pouvoir décider librement si et comment ils souhaitent que leurs données soient traitées. De plus, les utilisateurs doivent recevoir les informations nécessaires pour faire valoir leurs droits : la déclaration doit donc être rédigée avec soin et précision et doit être adaptée au public cible. Si le site web est plurilingue, la déclaration de protection des données doit être disponible en chacune des langues. Du reste, mettre à disposition des informations transparentes sur la manière dont les données sont traitées est gage de confiance pour les utilisateurs.
Quels sont les points à prendre en compte pour rédiger la déclaration de protection des données ?
Avant de commencer à rédiger, il convient d’examiner les besoins de l’entreprise en matière de données, d’analyser la manière dont les données sont traitées actuellement et d’émettre des directives claires sur le traitement des données personnelles. La rédaction de la déclaration se base sur les éléments précités. La déclaration doit être en adéquation avec la LPD et doit correspondre aux traitements réellement effectués. On évitera les formules telles que : « Dans certaines circonstances, nous sommes susceptibles de traiter vos données de X manière… ».
Avant de rédiger, assurez-vous de répondre au moins aux questions suivantes :
- Quelles données personnelles sont collectées ?
- Quelles données personnelles sont nécessaires pour fournir la prestation ?
- Comment et où les données personnelles sont-elles collectées (sources internes ou externes) ?
- À quelles fins les données personnelles sont-elles utilisées ?
- Qui est responsable du contrôle des données collectées ?
- Qui a accès aux données ?
- Comment, où et pour combien de temps les données personnelles sont-elles enregistrées ?
- Les données sont-elles transmises à l’étranger ?
- Les données personnelles sont-elles communiquées à des tiers et, si oui, à quelles fins ?
- Des services ou des produits de tiers sont-ils intégrés dans le site web et, si oui, quelles données sont transmises à ces tiers (outils d’analyse, plug-ins sociaux, cartes, informations météorologiques, cours de la bourse, etc.) ?
Pour plus d’informations sur l’utilisation d’outils d’analyse web (par ex. sur le traçage au moyen de cookies ou l’intégration de plug-ins sociaux), veuillez consulter nos explications sur le thème du traçage.
- Existe-t-il des directives ou des règles internes concernant la collecte, le traitement et la communication des données ?
- À qui et comment les personnes concernées peuvent-elles s’adresser pour demander à consulter, effacer ou rectifier leurs données ou pour s’opposer à leur traitement ?
Quelle forme la déclaration de protection des données doit-elle prendre ?
La déclaration doit informer les utilisateurs sur les points suivants :
- Qui est responsable du traitement des données ?
- Quelles données personnelles sont collectées ?
- À quelles fins les données personnelles sont-elles traitées ?
- Pendant combien de temps les données personnelles sont-elles conservées ? • De quelles options l’utilisateur dispose-t-il quant au traitement de ses données ?
- Quelles données sont transmises à des tiers et à quelles fins ?
- Quels services et produits, notamment de tiers, sont intégrés dans le site web et comment les utilisateurs peuvent-ils s’opposer à ce que leurs données soient communiquées à ces tiers ?
- À qui peut-on s’adresser pour demander des renseignements relatifs au traitement des données et où peut-on faire valoir ses droits (par ex. accès, rectification, suppression, opposition, portabilité) ?
- À quelles lois le traitement des données par le fournisseur de prestations est-il soumis ?
La déclaration de protection des données doit être rédigée en fonction du groupe cible. Nous vous recommandons d’adopter l’approche par paliers. Au premier palier, des informations concises et faciles à comprendre (par ex. sous forme de mots-clefs) donnent un premier aperçu des aspects essentiels du traitement des données, de sorte que les utilisateurs comprennent facilement et rapidement quelles données personnelles sont collectées et comment elles sont utilisées. Grâce à un lien, les utilisateurs peuvent accéder à la déclaration de protection des données dans son intégralité. Dans l’idéal, les mots-clefs contenus dans l’aperçu renvoient directement aux passages pertinents dans la déclaration de protection des données. Enfin, vous pouvez proposer des informations approfondies destinées aux experts à un troisième palier.
Si votre public cible est international, il convient de vérifier si d’autres informations sont nécessaires du fait de règles internationales.
Veillez également à placer la déclaration sur votre site web de sorte que l’utilisateur y ait toujours facilement accès.
La transmission de données personnelles à l’étranger est soumise à des règles spéciales. Avant de transférer des données vers d’autres pays, il convient de veiller au respect des points suivants.
Courrier postal, courrier électronique et téléphone : les règles régissant la protection des données varient selon le canal choisi en vue de la publicité.
Les sociétés de renseignements économiques et les offices d’encaissement, notamment, traitent et transmettent les données relatives à vos pratiques de paiement lorsque cela est autorisé.
Par traçage, on entend toutes les technologies qui permettent d’enregistrer et d’évaluer le comportement d’une personne, aussi bien en ligne que dans le monde analogique.
Consultez nos FAQ ou appelez notre hotline.
Tout ce qu'il faut savoir sur les nouveautés de la loi sur la protection des données.