iubenda a mis en place un système qui vous permet de donner différents droits selon les groupes d’utilisateurs dont vous collectez et traitez les données personnelles en tant que « responsable du traitement » (terme utilisé dans le RGPD pour désigner la personne qui détermine les finalités et les moyens du traitement des données à caractère personnel).
Notamment :
💡 Si vous ciblez des utilisateurs situés aux États-Unis, le California Consumer Privacy Act (CCPA) peut vous concerner. Pour tout savoir sur le CCPA et pour faire notre évaluation gratuite, cliquez ici.
Vous pouvez choisir d’« Appliquer les niveaux de protection prévus par le RGPD à » :
Pour opérer la modification :
Une fois que vous avez choisi quels droits attribuer à quels utilisateurs, vous pouvez poursuivre.
Vous devez alors appliquer les normes de protection renforcées à tous vos utilisateurs, car toutes vos activités de traitement de données sont soumises au RGPD — et ce, y compris pour vos utilisateurs non situés dans l’UE.
En principe, vous pouvez alors choisir d’appliquer des normes de protection renforcées à tous vos utilisateurs ou de ne leur octroyer cette protection que dans les cas où le traitement des données à caractère personnel est soumis au RGPD. Remarque : vous êtes tenu d’appliquer les normes de protection renforcées dès lors que le traitement
Si vous êtes un responsable du traitement basé aux États-Unis, vous pouvez choisir d’appliquer les droits de base à vos utilisateurs, conformément à la législation américaine. Mais si certaines de vos activités de traitement consistent à proposer des biens ou des services, payants ou non, à des utilisateurs situés dans l’UE, ou à suivre le comportement des utilisateurs situés dans l’UE, alors vous êtes dans l’obligation d’appliquer les normes de protection renforcées dans ces cas-là.
normes de protection plus étenduesL’applicabilité des normes de protection renforcées a d’autres conséquences, décrites ci-dessous.
Si vous collectez des Données personnelles dans un pays de l’UE, vous pouvez librement les transférer dans d’autres pays de l’UE ou de l’EEE. Il n’en reste pas moinsToutefois, si vous prévoyez de les transférer dans d’autres pays, comme la Suisse ou les États-Unis, vous devez donner à ce transfert une base juridique valable.
Services que vous pouvez ajouter :
Lorsque vous travaillez avec des partenaires ou que vous ajoutez des services basés hors de l’UE/EEE (comme, par exemple, Google Analytics), vous transférez, de fait, des données personnelles hors de l’UE. Les services listés dans notre générateur sont pré-localisés à partir des informations existantes.
Lors de l’ajout d’un service personnalisé (c’est-à-dire ajouté par vous), veillez à bien indiquer la base juridique de ce transfert.
EUSi vous êtes un responsable du traitement hors de l’UE, vous transférez des données personnelles hors de l’UE chaque fois que vous collectez les données d’utilisateurs situés dans l’UE. Veillez à bien le faire conformément à l’un des fondements juridiques prévus pour les transferts.
cessionLe RGPD prévoit un certain nombre de bases juridiques recevables pour transférer des données hors de l’UE. Les plus pertinentes sont :
Lorsque la Commission européenne estime qu’un pays en particulier garantit des niveaux de protection des données comparables à ceux applicables dans l’UE, elle publie une décision d’adéquation. cessionSi vous prévoyez de transférer des données dans un de ces pays, vous pouvez le faire — il vous suffit d’en informer vos Utilisateurs dans votre politique de confidentialité.
À ce jour, ont fait l’objet d’une décision d’adéquation l’Andorre, l’Argentine, le Canada (organisations commerciales), les Îles Féroé, Guernesey, Israël, L’île de Man, Jersey, la Nouvelle-Zélande, la Suisse, l’Uruguay et le Japon.
Service à ajouter dans ce cas : « Transfert de Données vers les pays qui garantissent les normes européennes ».
Si le pays vers lequel vous prévoyez d’exporter les données ne semble pas garantir un niveau de protection adéquat, vous pouvez vous assurer que l’importateur des données (c’est-à-dire la société ou la personne vers laquelle vous exportez les données) respecte des règles plus strictes. Pour ce faire, prévoyez de signer avec l’importateur des données un contrat qui contient des clauses contractuelles types rédigées par la Commission européenne. EUDans la plupart des cas, vous utiliserez les clauses contractuelles types visant les Responsables du traitement situés dans l’UE qui exportent des données vers des Sous-traitants établis dans des pays tiers.
Ici encore, si vous avez mis en place un contrat de ce type, vous pouvez transférer les données personnelles — mais vous devez l’indiquer dans votre politique de confidentialité.
Service à ajouter dans ce cas : cession« Transfert de Données à l’étranger reposant sur des clauses contractuelles types ».
Enfin, si aucune des options mentionnées ci-dessus ne vous paraît faisable, vous devez demander à vos Utilisateurs de consentir au transfert de leurs données hors de l’UE. C’est le scénario le plus compliqué, car vous devez vous assurer que leur consentement est, entre autres, « éclairé ». Savez-vous vraiment ce que vont devenir les données utilisateur une fois exportées hors de l’UE ? Connaissez-vous les mesures de sécurité garanties par la législation locale ou mises en place par l’importateur des données lui-même pour garantir la protection des données personnelles ?
Si vous pouvez donner ces informations, vous pouvez demander à vos Utilisateurs de consentir au transfert de leurs données personnelles. À l’inverse, si vous n’êtes pas en mesure de les donner, soyez prudents : un consentement collecté dans ces conditions ne serait pas considéré comme « éclairé » et ne serait donc pas valable.
Service à ajouter dans ce cas : cession« Transfert de Données à l’étranger basé sur le consentement ».
Pour finir, on le sait moins, mais le RGPD prévoit quelques autres possibilités (moins pertinentes toutefois) pour pouvoir transférer des données hors de l’EU. Si votre transfert est fondé sur l’une de ces options, vous choisirez le service « Autre base juridique pour le transfert de Données à l’étranger » en précisant tous les détails nécessaires grâce à l’ajout d’une clause personnalisée.
Si vous transférez des données personnelles depuis la Suisse vers un autre pays, vous devez le faire conformément à l’une des bases juridiques reconnues par le droit suisse.
Vous trouverez ici des informations sur les règles de protection des données au niveau fédéral suisse.
Le profilage est une forme de traitement automatisé de données à caractère personnel réalisé pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ;
Si vous profilez vos utilisateurs, vous devez les en informer. Vous devez donc choisir la clause correspondante dans le générateur de politiques de confidentialité.
Services que vous pouvez ajouter :
Si vous vendez des produits et gardez trace des choix des utilisateurs à des fins de marketing, si vous les répartissez en catégories pertinentes, comme l’âge, le sexe, l’origine géographique, etc. : vous les profilez.
La prise de décision automatisée, ou PDA, est un processus qui vous permet de prendre des décisions qui peuvent avoir des conséquences juridiques ou d’autres effets importants pour les utilisateurs, de manière complètement automatisée, sans intervention humaine. Ces PDA peuvent reposer sur le profilage (voir ci-dessus).
Si vous avez mis en place des processus de PDA, vous devez en informer vos utilisateurs. Vous devez donc choisir la clause correspondante dans le générateur de politiques de confidentialité. Remarque : les utilisateurs bénéficient d’un droit d’opposition spécifique, précisé dans la section « à propos de la prise de décision automatisée » de la politique de confidentialité que vous allez générer.
Services que vous pouvez ajouter :
Vous êtes une banque. Pour pouvoir décider si les utilisateurs peuvent obtenir un prêt, vous leur faites remplir un formulaire avec leurs données personnelles. Ces données sont analysées de manière totalement automatisée et la décision concernant le prêt est prise par un algorithme.
Si vous ne collectez pas les données à caractère personnel d’un utilisateur directement auprès de lui, mais que vous vous les procurez par l’intermédiaire d’un tiers, vous devez en informer l’utilisateur concerné, outre vos autres obligations d’information. N’oubliez pas de choisir la clause correspondante dans le générateur de politique de confidentialité.
L’utilisateur doit en être informé au plus tard un mois après la collecte des données, et plus particulièrement
Services que vous pouvez ajouter :
Vous êtes chasseur de têtes. Vous trouvez un profil intéressant sur LinkedIn. Dès que vous contactez la personne en question, ou que vous transférez ses données à l’employeur potentiel, et dans un délai d’un mois dans tous les cas, vous devez donner à la personne concernée toutes les informations obligatoires, et notamment citer LinkedIn comme source de ses données.
Si vous êtes un responsable du traitement situé hors de l’UE, vous devez désigner un représentant pour l’UE, c’est-à-dire une personne physique ou morale basée dans l’un des pays de l’UE où se situent vos utilisateurs. La désignation doit être faite par écrit, et le représentant désigné doit être cité dans votre politique de confidentialité.
Par conséquent, saisissez les coordonnées du représentant (nom et coordonnées de votre représentant) dans le champ où figurent les informations concernant votre propre société.
Dans certaines circonstances, vous êtes tenu de nommer délégué à la protection des données (DPD) une personne physique ou morale, et de le mentionner dans votre politique de confidentialité.
En particulier, vous devez désigner un DPD lorsque :
Si vous êtes concerné par l’un des cas ci-dessus, insérez les informations concernant le DPD (les coordonnées de votre délégué à la protection des données) dans le champ où figurent les informations concernant votre propre société.
Remarque : le RGPD permet aux États membres de prévoir d’autres circonstances dans lesquelles la désignation d’un DPD est obligatoire. Vérifiez donc bien si vous êtes soumis aux dispositions nationales d’un État membre en complément du RGPD, et si ces dispositions vous imposent de désigner un DPD.
Vous trouverez plus de détails sur le délégué à la protection des données et sur d’autres questions dans notre guide du RGPD.