RGPD - Comment informer les personnes concernées ? - ALF - African Legal Factory services juridiques pour startup en Afrique

comment-informer-les-personnes-concernees

STARTUPS, APPRENEZ À INFORMER VOS UTILISATEURS !

Informer les personnes concernées est obligatoire si votre startup traite des données personnelles. Le RGPD impose d’informer de manière claire et précise. Comment informer les personnes dont je traite les données personnelles ? Quelles sont les informations à transmettre ?

1. QUELLE OBLIGATION IMPOSE LE RGPD ?

En application des articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD, le responsable de traitement a l’obligation d’informer les personnes concernées du ou des traitement(s) effectué(s) sur leurs données à caractère personnel lorsque ces données sont collectées directement auprès de la personne concernée ou lorsque les données sont collectées de manière indirecte (exemple : données publiques ou sur des réseaux sociaux).

2. QUELLES INFORMATIONS L’ENTREPRISE DOIT-ELLE TRANSMETTRE AUX PERSONNES CONCERNÉES ?

En application du RGPD, les informations qui doivent apparaître au sein d’une mention d’information sont les suivantes :

Identité et coordonnées du responsable de traitement
Le cas échéant, identité et coordonnées du représentant du responsable du traitement
Le cas échéant, coordonnées du délégué à la protection des données (« DPO »)
Finalités du traitement
Base juridique du traitement (consentement, exécution d’un contrat, respect d’une obligation légale, etc.)
Le caractère obligatoire ou facultatif du recueil des données à caractère personnel et conséquences pour la personne en cas de non-fourniture des données
Le cas échéant, les intérêts légitimes du responsable de traitement ou du tiers, si le traitement est nécessaire aux fins de ces intérêts légitimes
Destinataires ou catégories de destinataires des données à caractère personnel, s’ils existent
Détails concernant les transferts de données dans des pays tiers et les garanties associées
Durée de conservation des données à caractère personnel, ou critères permettant de déterminer cette durée de conservation
Mention de chacun des droits des personnes concernées (accès, rectification, effacement, limitation du traitement, opposition et portabilité, etc.)
Mention du droit de retirer le consentement à tout moment, si applicable
Mention du droit d’introduire une réclamation auprès d’une autorité de contrôle
Mention de l’existence d’une prise de décision automatisée, si elle existe, y compris un profilage
En cas de collecte indirecte : catégories et source des données recueillies

Warning : Startups qui traitent des données personnelles de personnes physiques situées en France : attention à l’application de l’article 116 de la loi Informatique et Libertés. Cet article impose une mention d’information en dessous des formulaires et questionnaires. Cette mention d’information, souvent présente en dessous des formulaires de contact sur les sites Internet, doit préciser :

le caractère obligatoire ou facultatif des réponses ;
l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
la ou les finalité(s) poursuivie(s) par le traitement auquel les données sont destinées ;
les droits dont disposent les personnes concernées (ex : droit d’accès, de rectification et de suppression de leurs données personnelles).

3. QUELLE FORME PEUT PRENDRE CETTE MENTION D’INFORMATION ?

Si le RGPD n’impose pas de support d’information, ces mentions doivent être lisibles, facilement accessibles, claires et compréhensibles. Il peut s’agir par exemple pour les collaborateurs d’une disposition dans le contrat de travail, d’un e-mail envoyé individuellement à chaque salarié, d’une mention affichée sur les panneaux réservés à l’information des salariés ou d’une notice d’information sur l’intranet de l’entreprise ou un dossier accessible à l’ensemble des collaborateurs.

Pour les partenaires, prestataires et actionnaires, il peut s’agir d’une mention figurant dans les contrats, en bas de pages des e-mails, courriers ou formulaires de collecte qui leur sont adressés.

Cette information peut donc prendre la forme :

d’une politique de Confidentialité pour les traitements de données à caractère personnel effectués via un site Internet,
d’une politique interne à destination des salariés,
des mentions d’information en bas de formulaire, devis ou emails ;
dans une clause Protection des données personnelles dans les contrats de travail, client ou prestataires/ fournisseurs.

4. NOS CONSEILS

Nos conseils :

Éviter toute copie de politiques de confidentialité existantes qui ne sont pas adaptées aux traitements de données à caractère personnel effectués par votre startup et qui ne sont parfois pas mises à jour ;
Privilégier un format lisible, compréhensible et aisément accessible ;
Utiliser des termes simples et clairs ;
Fournir l’information à différentes étapes du parcours utilisateur ;
Prioriser les informations et les communiquer à la personne concernée au moment de la création de son compte, directement sur la page d’inscription ;
Renvoyer, sur cette même page, vers une notice d’information complète via un lien (ex : lien hypertexte vers une Politique de Confidentialité) ;
Mettre à jour les mentions d’information.

5. QUELLES SANCTIONS ?

Les autorités de protection des données personnelles peuvent effectuer des contrôles à distance et donc sanctionner une startup si son site Internet n’informe pas correctement les personnes concernées !

Les sanctions prévues par le RGPD pour l’absence d’information des personnes concernées sont de 4% du chiffre d’affaires mondial annuel de la startup ou 20 millions d’euros d’amende (le montant le plus élevé étant retenu).

Références :

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Lignes directrices, recommandations et bonnes pratiques publiées par le Comité Européen de la Protection des Données (CEPD) ;
Lignes directrices du Groupe de travail de l’article 29 (G29) approuvées par le CEPD.

Formulaire : je souhaite me faire accompagner dans le cadre de ma mise en conformité relative à la protection des données personnelles

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Durée	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Durée	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Durée	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.