Pourquoi a-t-on besoin de présenter une déclaration de protection des données sur son site Web? Cette déclaration a pour but d’informer les personnes concernées ou les utilisateurs dont les données personnelles sont collectées de l’étendue et de la finalité du traitement de leurs données. L’obligation de transmettre ces informations trouve son fondement dans les lois applicables en matière de protection des données. Pour les entreprises suisses, la loi fédérale sur la protection des données (LPD), dont la version entièrement révisée entrera en vigueur le 1er septembre 2023, ainsi que, dans une certaine mesure, le règlement général sur la protection des données de l’Union européenne (RGPD) sont particulièrement importants.
Toutes les entreprises traitant probablement des données personnelles sous une forme ou une autre, c’est-à-dire des informations qui permettent d’identifier la personne concernée, soit à elles seules, soit par recoupement avec d’autres données, les entreprises doivent au moins disposer d’une déclaration générale de protection des données et la rendre accessible sur leur site Web. Ce document a pour objectif de fournir des informations générales sur les activités de traitement que l’entreprise effectue aussi bien hors ligne (par exemple au niveau des contrats avec des clients) qu’en ligne (notamment lors de l’exploitation du site Web).
Pour des raisons de transparence, il peut toutefois être nécessaire de réaliser des déclarations de protection des données complémentaires pour certaines activités de traitement. Par exemple, si une entreprise exploite une plate-forme de recrutement en ligne sur son site Web, elle doit régulièrement fournir aux candidats des informations supplémentaires telles que les données qu’elle collecte, si ces données sont transmises à des tiers (par exemple à un prestataire de recrutement externe) et la durée de conservation des données une fois la procédure de recrutement terminée. Pour cet exemple concret, la déclaration de protection des données serait intégrée au portail en ligne des candidats. Cependant, dans la pratique, ces déclarations de protection des données spécifiques sont souvent nécessaires au traitement des données «hors ligne». En règle générale, elles ne sont donc pas publiées sur le site Web, mais mises à la disposition des personnes concernées par d’autres moyens (par voie d’affichage ou de distribution).
Qu’il s’agisse d’une déclaration générale ou spécifique, vous devrez toujours vous poser les mêmes questions, ou du moins des questions similaires, lors de sa rédaction.
Qui doit rédiger la déclaration de protection des données?
À première vue, la réponse à cette question semble simple: toute personne en charge du traitement des données personnelles. Ainsi, le responsable est l’entreprise qui détermine les objectifs poursuivis par le traitement des données et les moyens utilisés à cet effet: il prend donc les rênes en main et détermine la marche à suivre. Votre entreprise peut par exemple être qualifiée de responsable en ce qui concerne les données liées à l’exploitation de votre site Web, car, par exemple, elle les collecte et les traite pour optimiser sa présence sur Internet ou entrer en contact avec les visiteurs de son site.
«Toute personne qui traite des données personnelles en tant que responsable doit rédiger une déclaration de protection des données.»
Par ailleurs, l’obligation d’information s’applique également lorsque le traitement des données est confié à un tiers. Si votre entreprise a confié l’hébergement de son site Web à un prestataire de services externe et que ce dernier le fait exclusivement selon les instructions de l’entreprise, votre entreprise reste le responsable du traitement et doit continuer à informer les visiteurs du site Web sur les traitements de données liés à l’utilisation du site Web. Plus précisément, vous devez en outre informer les visiteurs du fait que l’hébergement est assuré par un tiers.
Si vous faites partie d’un groupe d’entreprises, il est d’ailleurs possible d’établir une déclaration générale de protection des données commune à l’ensemble du groupe, à condition que les activités de traitement soient relativement similaires (ce qui devrait être le cas en règle générale) et qu’il soit clairement indiqué à quelles sociétés du groupe la déclaration de protection des données s’applique. Dans le cas de structures de groupe complexes, il est nécessaire, dans un souci de transparence, d’afficher une vue d’ensemble externe ou une liste des sociétés du groupe, publiée par exemple sur le site.
Que doit contenir la déclaration de protection des données?
Tant la LPD révisée que le RGPD prévoient un certain contenu minimum pour les déclarations de protection des données, mais l’étendue de l’information selon le RGPD est plus complète. Que ce soit la LPD ou le RGPD qui s’applique, il est nécessaire d’informer sur l’identité du responsable, les catégories de données personnelles (nom, données de contact, données relatives à la santé, etc.) et les personnes concernées (clients, collaborateurs, fournisseurs, etc.), les finalités du traitement (exécution de contrats avec des clients, garantie des fonctions du site web, etc.) ainsi que les éventuels destinataires (sous-traitants et prestataires de services, assurances, entreprises partenaires ou autres) auxquels les données personnelles sont communiquées. Si les données sont transmises à l’étranger, certaines informations doivent également être fournies à ce sujet.
En règle générale, la déclaration de protection des données d’une entreprise suisse contient déjà ces informations. Toutefois, en raison de l’influence de l’UE et parce que les entreprises suisses sont soumises au RGPD dans certaines circonstances, on retrouve également très fréquemment en Suisse des déclarations de protection des données plus complètes. Naturellement, il n’est pas illégal de fournir plus d’informations que le strict nécessaire. Néanmoins, réfléchissez bien à l’étendue minimale que doit couvrir votre déclaration de protection des données et n’incluez des informations supplémentaires que si vous y voyez une valeur ajoutée ou si vous y êtes contraint par la loi (notamment si votre entreprise est soumise au RGPD). Cela permettrait aussi de réduire vos efforts.
Exemples du contenu d’une déclaration de protection des données sur un site Web
Vous devez établir une déclaration de protection des données dès que votre entreprise exploite un site Web. Même si chaque site Web est structuré différemment et que, par conséquent, le contenu des déclarations de protection des données varie, il existe un certain nombre de fonctions et de traitements de données typiques qui doivent donc être couverts régulièrement:
- Si un formulaire de contact ou une possibilité de contact similaire est intégré, l’utilisateur doit être informé de ce qui sera fait exactement avec les données qu’il communique par ce biais (probablement le traitement de sa demande et la prise de contact de la part de votre entreprise).
- Il est souvent possible de s’abonner à une newsletter ou à une communication marketing similaire sur le site Web via un masque, le souscripteur communiquant au moins son nom et son adresse e-mail. Il convient de noter que le souscripteur doit également être informé de la possibilité de se désabonner (Il ne s’agit pas d’une exigence de la protection des données, mais de l’art. 3 al. 1, let. o de la loi fédérale contre la concurrence déloyale).
- Même si votre site Web n’a qu’un caractère informatif, des cookies ou des technologies de suivi similaires sont généralement utilisés pour collecter au moins des adresses IP ou des «identifiants» similaires susceptibles de contenir des données personnelles.
- Si des services tiers sont intégrés, par exemple des outils de suivi tels que Google Analytics ou des pixels de réseaux sociaux, il convient d’indiquer quelles données personnelles sont transmises à des tiers et à quelles fins. Si des données sont envoyées à l’étranger (ce qui est généralement toujours le cas), il faut également en informer les personnes concernées. En Suisse, il sera même nécessaire à l’avenir de mentionner expressément le pays de destination. Pour les prestataires de services tiers courants tels que Google, Facebook, Twitter, etc., on trouve sur Internet des formulations standard. Si rien ne vous empêche de les reprendre, il est néanmoins conseillé de les examiner d’un œil critique afin d’effectuer les adaptations nécessaires.
Quelle est la meilleure façon de procéder?
En principe, il n’y a pas de recette miracle pour rédiger une déclaration de protection des données, quel que soit le type de traitement de données couvert. Toutefois, pour des raisons d’efficacité et de coûts, il peut être utile de s’appuyer sur des déclarations et des modèles existants: il n’est pas nécessaire de réinventer la roue à chaque fois. Cela ne veut pas dire qu’une entreprise doive copier n’importe quelle déclaration de protection des données et l’utiliser à ses propres fins. Toutes les déclarations de protection des données publiées ne sont pas conformes aux exigences légales, et il existe donc un risque de ne pas remplir – ou tout du moins pas entièrement – les obligations d’information en matière de protection des données. Cela peut entraîner des amendes: c’est déjà le cas dans l’UE, en Suisse au plus tard avec la LPD révisée, qui entrera en vigueur le 1er septembre 2023.
Révision totale de la LPD
La loi fédérale sur la protection des données (LPD) actuellement en vigueur a fait l’objet d’une révision totale au cours d’un processus législatif et de consultation de plusieurs années. La nouvelle LPD entrera désormais en vigueur le 1er septembre 2023. L’objectif de la révision était d’optimiser la LPD en termes de transparence et d’autodétermination (voir les explications de l’l’Office fédéral de la justice) et de l’aligner dans une certaine mesure sur les exigences du règlement général européen sur la protection des données (RGPD).
Veillez donc à vous appuyer sur des sources sérieuses. Vous pouvez par exemple reprendre la déclaration de protection des données d’une société qui vous est liée et dont vous savez qu’elle a déjà fait l’objet d’un examen juridique. Vous pouvez également utiliser des modèles fiables et publics. Vous pouvez utiliser, par exemple, le modèle de déclaration de protection des données disponible publiquement sur le site Web du «DSAT Datenschutz Self Assessment Tool». Le modèle a été élaboré par le cabinet VISCHER, où travaille l’auteure, en collaboration avec un autre cabinet zurichois renommé et est disponible en allemand, anglais et français. Il s’agit d’une déclaration générale de protection des données qui contient des formulations complètes pour les activités de traitement standard ainsi que pour les activités de traitement liées à l’exploitation d’un site Web, tout en couvrant aussi bien les obligations d’information de la LPD suisse que celles du RGPD. Les entreprises peuvent télécharger gratuitement le modèle et l’adapter à leur situation particulière. Il est déjà utilisé en Suisse. La déclaration de protection des données de Hostpoint, entre autres, se base sur ce modèle.
Mais même si vous vous basez sur de tels modèles ou des déclarations de protection des données existantes, les adaptations sont en fait inévitables, car chaque entreprise a sa propre organisation, ses propres structures et processus ainsi que ses propres produits et services. Pour savoir comment les activités de traitement de votre propre entreprise sont organisées, il est recommandé de faire appel aux personnes concernées de l’entreprise. Par exemple, c’est le service du personnel qui connaît le mieux les processus de traitement des données des collaborateurs et sait quelles données sont utilisées à quelles fins. C’est à vous de décider si vous souhaitez obtenir les informations nécessaires sur les activités de traitement dans le cadre d’ateliers, par le biais de questionnaires ou d’entretiens individuels. Soyez conscient qu’une déclaration de protection des données de qualité n’est jamais le produit d’une seule personne, mais toujours une œuvre collective.
Check-list: que recommande-t-on?
Les conseils suivants permettent de réduire la charge de travail liée à l’élaboration d’une déclaration de protection des données:
- Réfléchissez aux activités de traitement pour lesquelles votre entreprise est responsable en matière de protection des données, c’est-à-dire la détermination de la finalité et des moyens. Seuls ces points doivent être couverts par la déclaration de protection des données.
- Vérifiez si votre entreprise est (également) soumise au RGPD. Si ce n’est pas le cas, votre déclaration peut être nettement plus courte et plus concise.
- Réfléchissez bien aux cas particuliers pour lesquels une déclaration de protection des données spécifique est nécessaire et couvrez la majeure partie de vos activités de traitement au moyen de la déclaration de protection des données générale.
- Établissez une déclaration générale de protection des données commune pour le groupe de votre société. Cela permet d’exploiter les synergies et de répartir les coûts.
- Faites appel aux personnes concernées de chaque unité commerciale susceptibles de vous fournir les informations nécessaires sur les activités de traitement.
- Utilisez des modèles et des exemples provenant de sources sérieuses. Un modèle fréquemment utilisé est celui qui figure sur le site web du DSAT.