Comment rédiger une déclaration de protection des données de qualité pour votre site Web? Comment rédiger une déclaration de protection des données de qualité pour votre site Web?

Comment rédiger une déclaration de protection des données de qualité pour votre site Web?

Presque toutes les entreprises ont déjà été confrontées à la question des déclarations de protection des données. La rédaction de cette déclaration demande beaucoup d’efforts, en plus d’être souvent considérée comme un exercice fastidieux et contraignant. L’avocate Sarah Bischof du cabinet VISCHER donne des conseils pratiques pour élaborer une déclaration de protection des données dans les règles.

Sarah Bischof Sarah Bischof · Attorney at Law, VISCHER

Pourquoi a-t-on besoin de présenter une déclaration de protection des données sur son site Web? Cette déclaration a pour but d’informer les personnes concernées ou les utilisateurs dont les données personnelles sont collectées de l’étendue et de la finalité du traitement de leurs données. L’obligation de transmettre ces informations trouve son fondement dans les lois applicables en matière de protection des données. Pour les entreprises suisses, la loi fédérale sur la protection des données (LPD), dont la version entièrement révisée entrera en vigueur le 1er septembre 2023, ainsi que, dans une certaine mesure, le règlement général sur la protection des données de l’Union européenne (RGPD) sont particulièrement importants.

Toutes les entreprises traitant probablement des données personnelles sous une forme ou une autre, c’est-à-dire des informations qui permettent d’identifier la personne concernée, soit à elles seules, soit par recoupement avec d’autres données, les entreprises doivent au moins disposer d’une déclaration générale de protection des données et la rendre accessible sur leur site Web. Ce document a pour objectif de fournir des informations générales sur les activités de traitement que l’entreprise effectue aussi bien hors ligne (par exemple au niveau des contrats avec des clients) qu’en ligne (notamment lors de l’exploitation du site Web).

Pour des raisons de transparence, il peut toutefois être nécessaire de réaliser des déclarations de protection des données complémentaires pour certaines activités de traitement. Par exemple, si une entreprise exploite une plate-forme de recrutement en ligne sur son site Web, elle doit régulièrement fournir aux candidats des informations supplémentaires telles que les données qu’elle collecte, si ces données sont transmises à des tiers (par exemple à un prestataire de recrutement externe) et la durée de conservation des données une fois la procédure de recrutement terminée. Pour cet exemple concret, la déclaration de protection des données serait intégrée au portail en ligne des candidats. Cependant, dans la pratique, ces déclarations de protection des données spécifiques sont souvent nécessaires au traitement des données «hors ligne». En règle générale, elles ne sont donc pas publiées sur le site Web, mais mises à la disposition des personnes concernées par d’autres moyens (par voie d’affichage ou de distribution).

Qu’il s’agisse d’une déclaration générale ou spécifique, vous devrez toujours vous poser les mêmes questions, ou du moins des questions similaires, lors de sa rédaction.

Qui doit rédiger la déclaration de protection des données?

À première vue, la réponse à cette question semble simple: toute personne en charge du traitement des données personnelles. Ainsi, le responsable est l’entreprise qui détermine les objectifs poursuivis par le traitement des données et les moyens utilisés à cet effet: il prend donc les rênes en main et détermine la marche à suivre. Votre entreprise peut par exemple être qualifiée de responsable en ce qui concerne les données liées à l’exploitation de votre site Web, car, par exemple, elle les collecte et les traite pour optimiser sa présence sur Internet ou entrer en contact avec les visiteurs de son site.

«Toute personne qui traite des données personnelles en tant que responsable doit rédiger une déclaration de protection des données.»

Par ailleurs, l’obligation d’information s’applique également lorsque le traitement des données est confié à un tiers. Si votre entreprise a confié l’hébergement de son site Web à un prestataire de services externe et que ce dernier le fait exclusivement selon les instructions de l’entreprise, votre entreprise reste le responsable du traitement et doit continuer à informer les visiteurs du site Web sur les traitements de données liés à l’utilisation du site Web. Plus précisément, vous devez en outre informer les visiteurs du fait que l’hébergement est assuré par un tiers.

Si vous faites partie d’un groupe d’entreprises, il est d’ailleurs possible d’établir une déclaration générale de protection des données commune à l’ensemble du groupe, à condition que les activités de traitement soient relativement similaires (ce qui devrait être le cas en règle générale) et qu’il soit clairement indiqué à quelles sociétés du groupe la déclaration de protection des données s’applique. Dans le cas de structures de groupe complexes, il est nécessaire, dans un souci de transparence, d’afficher une vue d’ensemble externe ou une liste des sociétés du groupe, publiée par exemple sur le site.

Que doit contenir la déclaration de protection des données?

Tant la LPD révisée que le RGPD prévoient un certain contenu minimum pour les déclarations de protection des données, mais l’étendue de l’information selon le RGPD est plus complète. Que ce soit la LPD ou le RGPD qui s’applique, il est nécessaire d’informer sur l’identité du responsable, les catégories de données personnelles (nom, données de contact, données relatives à la santé, etc.) et les personnes concernées (clients, collaborateurs, fournisseurs, etc.), les finalités du traitement (exécution de contrats avec des clients, garantie des fonctions du site web, etc.) ainsi que les éventuels destinataires (sous-traitants et prestataires de services, assurances, entreprises partenaires ou autres) auxquels les données personnelles sont communiquées. Si les données sont transmises à l’étranger, certaines informations doivent également être fournies à ce sujet.

En règle générale, la déclaration de protection des données d’une entreprise suisse contient déjà ces informations. Toutefois, en raison de l’influence de l’UE et parce que les entreprises suisses sont soumises au RGPD dans certaines circonstances, on retrouve également très fréquemment en Suisse des déclarations de protection des données plus complètes. Naturellement, il n’est pas illégal de fournir plus d’informations que le strict nécessaire. Néanmoins, réfléchissez bien à l’étendue minimale que doit couvrir votre déclaration de protection des données et n’incluez des informations supplémentaires que si vous y voyez une valeur ajoutée ou si vous y êtes contraint par la loi (notamment si votre entreprise est soumise au RGPD). Cela permettrait aussi de réduire vos efforts.

Exemples du contenu d’une déclaration de protection des données sur un site Web

Vous devez établir une déclaration de protection des données dès que votre entreprise exploite un site Web. Même si chaque site Web est structuré différemment et que, par conséquent, le contenu des déclarations de protection des données varie, il existe un certain nombre de fonctions et de traitements de données typiques qui doivent donc être couverts régulièrement:

Quelle est la meilleure façon de procéder?

En principe, il n’y a pas de recette miracle pour rédiger une déclaration de protection des données, quel que soit le type de traitement de données couvert. Toutefois, pour des raisons d’efficacité et de coûts, il peut être utile de s’appuyer sur des déclarations et des modèles existants: il n’est pas nécessaire de réinventer la roue à chaque fois. Cela ne veut pas dire qu’une entreprise doive copier n’importe quelle déclaration de protection des données et l’utiliser à ses propres fins. Toutes les déclarations de protection des données publiées ne sont pas conformes aux exigences légales, et il existe donc un risque de ne pas remplir – ou tout du moins pas entièrement – les obligations d’information en matière de protection des données. Cela peut entraîner des amendes: c’est déjà le cas dans l’UE, en Suisse au plus tard avec la LPD révisée, qui entrera en vigueur le 1er septembre 2023.

Révision totale de la LPD
La loi fédérale sur la protection des données (LPD) actuellement en vigueur a fait l’objet d’une révision totale au cours d’un processus législatif et de consultation de plusieurs années. La nouvelle LPD entrera désormais en vigueur le 1er septembre 2023. L’objectif de la révision était d’optimiser la LPD en termes de transparence et d’autodétermination (voir les explications de l’l’Office fédéral de la justice) et de l’aligner dans une certaine mesure sur les exigences du règlement général européen sur la protection des données (RGPD).

Veillez donc à vous appuyer sur des sources sérieuses. Vous pouvez par exemple reprendre la déclaration de protection des données d’une société qui vous est liée et dont vous savez qu’elle a déjà fait l’objet d’un examen juridique. Vous pouvez également utiliser des modèles fiables et publics. Vous pouvez utiliser, par exemple, le modèle de déclaration de protection des données disponible publiquement sur le site Web du «DSAT Datenschutz Self Assessment Tool». Le modèle a été élaboré par le cabinet VISCHER, où travaille l’auteure, en collaboration avec un autre cabinet zurichois renommé et est disponible en allemand, anglais et français. Il s’agit d’une déclaration générale de protection des données qui contient des formulations complètes pour les activités de traitement standard ainsi que pour les activités de traitement liées à l’exploitation d’un site Web, tout en couvrant aussi bien les obligations d’information de la LPD suisse que celles du RGPD. Les entreprises peuvent télécharger gratuitement le modèle et l’adapter à leur situation particulière. Il est déjà utilisé en Suisse. La déclaration de protection des données de Hostpoint, entre autres, se base sur ce modèle.

Mais même si vous vous basez sur de tels modèles ou des déclarations de protection des données existantes, les adaptations sont en fait inévitables, car chaque entreprise a sa propre organisation, ses propres structures et processus ainsi que ses propres produits et services. Pour savoir comment les activités de traitement de votre propre entreprise sont organisées, il est recommandé de faire appel aux personnes concernées de l’entreprise. Par exemple, c’est le service du personnel qui connaît le mieux les processus de traitement des données des collaborateurs et sait quelles données sont utilisées à quelles fins. C’est à vous de décider si vous souhaitez obtenir les informations nécessaires sur les activités de traitement dans le cadre d’ateliers, par le biais de questionnaires ou d’entretiens individuels. Soyez conscient qu’une déclaration de protection des données de qualité n’est jamais le produit d’une seule personne, mais toujours une œuvre collective.

Check-list: que recommande-t-on?

Les conseils suivants permettent de réduire la charge de travail liée à l’élaboration d’une déclaration de protection des données:

Organisation d’images pour illustrer un beau site Web sur la photographie de voyage Anordnung von Bildern zur Veranschaulichung einer schönen Website über Reisefotografie

Créer un site Web sans se casser la tête?

Avec notre outil de création de sites Web «Sites», c’est possible! Vous pouvez créer vous-même votre propre site Web en quelques clics et sans connaissances techniques préalables. C’est un jeu d’enfant!

Tester Sites gratuitement pendant 30 jours Tester Sites gratuitement pendant 30 jours