Check-list
politique de confidentialité d’un site internet
La politique de confidentialité d’un site internet doit contenir à minima les éléments suivants :
- L’identité et les coordonnées du responsable de traitement;
- Les coordonnées du délégué à la protection des données (DPO);
- Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- Si un traitement est fondé sur la base juridique « intérêts légitimes », le détailler;
- Les destinataires ou les catégories de destinataires des données à caractère personnel;
- Les éléments sur les éventuels transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale;
- La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
- L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
- L’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
- L’existence d’une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée;
- Si les données ne sont pas collectées directement auprès de la personne concernée, la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
Ces informations doivent être données d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
Références : RGPD articles 12 à 14
Auteur : Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn), Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel.
Demander un devis
