1. S’assurer d’un consentement sans ambiguïté
Vous devrez mettre à la disposition de vos clients une information « claire, intelligible et aisément accessible », vous devrez également être en mesure de prouver que chaque personne a bien consenti au recueil de ses données de manière non ambiguë.
En pratique, sur le formulaire de collecte de données, vous pourrez par exemple inclure une case à cocher accompagnée (i) d’une description simple de la finalité du traitement et (ii) d’un lien vers votre politique de confidentialité.
Par exemple :
J’accepte que mes données soient collectées aux fins de me fournir les services de à compléter dans le respect de la Politique de Confidentialité insérer un lien vers votre politique de confidentialité.
Préciser si les données sont partagées avec des tiers ou non, le cas échéant, une case peut être ajoutée pour obtenir le consentement de la personne visée
Pour répondre à l’exigence d’accès aisé, vous pourrez inclure un lien permanent vers votre politique de confidentialité, disponible sur toutes les pages de votre site internet, comme vous le faites certainement déjà pour les mentions légales.
Pour éviter la multiplication des liens, il est envisageable de regrouper mentions légales et politique de confidentialité au sein de la même page.
2. Permettre le droit à la portabilité des données
Chaque personne ayant communiqué des données à caractère personnel à un professionnel pourra exiger de sa part qu’il les lui restitue ou les transfère à un tiers.
En pratique votre politique de confidentialité devra prévoir une adresse email et une adresse postale à laquelle toute personne pourra adresser une telle demande.
3. Des dispositions spécifiques pour les enfants
Les enfants sont définis comme les mineurs de moins de 16 ans et doivent faire l’objet d’une attention particulière.
Vous devrez donc :
rédiger le formulaire de collecte de données en termes clairs et simples « que l’enfant peut aisément comprendre ». En pratique, l’on recommandera d’utiliser le tutoiement dans un formulaire de collecte de données français destiné à des enfants.
vous assurer que c’est le titulaire de l’autorité parentale qui donne son consentement au recueil des données du mineur. Les responsables de traitement devront procéder à cette vérification « compte tenu des moyens technologiques disponibles ».
Concrètement, vous devrez mettre en place des mécanismes de contrôle, par exemple des messages d’avertissements mentionnant les sanctions applicables en cas de fausse déclaration, des processus d’identification renforcée, ou encore des procédures de vérification de l’identité du représentant légal. En ce sens, le site de la CNIL propose un modèle de message de contrôle parental préalable à la collecte des données d’un enfant lors de la création d’un compte : « Votre enfant ne peut pas s’inscrire seul, merci de nous indiquer votre adresse électronique : XXX ».
permettre aux enfants devenus majeurs de retirer leur consentement. En pratique la politique de confidentialité du professionnel devra prévoir une adresse email et une adresse postale à laquelle toute personne pourra adresser une demande relative à ses données.
4. « Privacy by design »
Vous devrez veiller, dès la conception de votre produit et/ou service, au respect de la règlementation relative aux données à caractère personnel et limiter la quantité de données susceptible d’être traitée.
En pratique, cela va nécessiter d’adopter de bonnes pratiques et compléter le cahier des charges de chaque projet impliquant un traitement de données personnelles, par des recommandations et des principes conformes au « privacy by design ». Par exemple, prévoir dans le formulaire d’inscription à un service en ligne, la récolte d’informations personnelles strictement nécessaires pour la délivrance du service, à l’exclusion de l’âge, du sexe ou du numéro de téléphone si ces indications ne sont pas indispensables.
5. « Accountability »
Vous devrez non seulement garantir la sécurité des données que vous traitez mais également pouvoir démontrer que vous avez mis en place des mesures de protection en termes de sécurité et de confidentialité et ce, à tout moment.
En pratique, tout professionnel devra :
tenir à jour un registre des traitements mis en œuvre et des mesures de protection de données mises en place
notifier toutes failles de sécurité (aux autorités et personnes concernées) dans les 72 heures
éventuellement adhérer à des codes de conduites.
6. Étude d’impact sur la vie privée (EIVP)
Pour tous les traitements à risque (données sensibles ou profilage), le responsable de traitement devra conduire une EIVP complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
En cas de risque élevé, vous devrez consulter l’autorité de protection des données avant de mettre en œuvre ce traitement pour obtenir son approbation.
7. Le Délégué à la Protection des données (Data Protection Officer)
Nouvel acteur de la protection des données, le DPO veillera au sein de l’entreprise au respect de la règlementation en matière de traitement de données à caractère personnel.
Chaque professionnel pourra se doter d’un DPO et il sera même obligatoire d’en désigner un dans les cas suivants :
si le professionnel appartient au secteur public,
si ses activités principales l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle. La notion de « grande échelle » n’est pas définie dans le règlement mais le G29 souligne que cela pourrait être possible ultérieurement. Par exemple, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès internet…peuvent constituer des traitements de données à grande échelle.
si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Le DPO pourra être un salarié de l’entreprise ou un externe, les avocats peuvent par exemple endosser ce rôle.