RGPD et données personnelles

Corps du texte

Le Règlement général sur la protection des données (RGPD) vise à garantir la transparence et à informer le public – utilisateurs, personnel, membres de l’équipe, etc., des services d’édition en accès ouvert Diamant – de l’usage (utilisation, stockage, traitement) de ses données que font les organisations.

Si les éditeurs et fournisseurs de services en accès ouvert Diamant traitent les renseignements personnels de personnes au sein de l’UE, ils doivent se conformer au RGPD et disposer d’un avis de confidentialité qui explique comment ils s’y prennent.

Simple à lire et à comprendre

Un avis de confidentialité, une exigence clé du RGPD, est un document public qui décrit par quels procédés une organisation traite les données personnelles. Les articles 12, 13, et 14 du RGPD présentent des orientations sur la création de ces avis, mettant l’accent sur la clarté et l’accessibilité. Ces derniers doivent être concis, transparents, clairs et accessibles, rédigés dans une langue simple, fournis rapidement et mis à disposition gratuitement.

Voici quelques conseils pour rédiger un avis de confidentialité simple à lire et à comprendre :

• Évitez les mots vagues comme « peut », « pourrait », « parfois », « souvent », et choisissez d’écrire « sera » et « toujours » à la place ;
• Employez le présent de l’indicatif et faites des phrases bien structurées ;
• Utilisez un correcteur orthographique et grammatical pour vous aider avec la concision des phrases ;
• Donnez des explications claires et précises, par exemple, au lieu de « Nous conserverons vos données personnelles », écrivez «
• Nous conserverons votre nom, votre adresse courriel et le nom de votre institution d’attache ».
   

Qu’est-ce qui doit obligatoirement apparaître ?

Les catégories d’informations particulières qui doivent figurer dans un avis de confidentialité dépendent du mode d’obtention de ces informations : sont-elles recueillies directement auprès des personnes ou reçues indirectement d’un tiers ?

Lorsque votre organisation collecte des données directement, l’avis doit inclure :

• l’identité de l’organisation, ses coordonnées, et celles de son délégué à la protection des données, s’il y en a un, ou de la personne responsable du suivi et de la mise en œuvre des directives du RGPD ;
• l’objectif et la base juridique du traitement des données ;
• les intérêts légitimes de l’organisation ou d’un tiers ;
• les destinataires ou catégories de destinataires ;
• les détails de tout transfert de données vers des pays tiers ;
• la période de conservation ou les critères pour la déterminer ;
• les détails des droits de la personne concernée ;
• le droit de la personne de retirer son consentement ;
• le droit de la personne de déposer une plainte auprès d’une autorité de contrôle ;
  si la fourniture de données personnelles fait partie d’une exigence statutaire ou contractuelle ou d’une obligation, et les conséquences possibles en cas de non-fourniture des données personnelles ;
• les systèmes de prise de décision automatisée, y compris le profilage ;
• les catégories de données obtenues – dans le cas où les données sont obtenues indirectement.
   

Par exemple :

Si votre organisation obtient des données personnelles indirectement (via une autre organisation ou un autre service), votre propre avis de confidentialité doit fournir les mêmes informations que celles formulées ci-dessus, sauf dans le cas suivant :

• si la fourniture de données personnelles fait partie d’une exigence statutaire ou contractuelle ou d’une obligation, et les conséquences possibles en cas de non-fourniture des données personnelles ;

En plus, cet avis de confidentialité doit inclure :

• les catégories de données personnelles obtenues.

Par exemple : 

Si les éditeurs et fournisseurs de services en accès ouvert Diamant obtiennent des données personnelles d’un tiers, ils doivent en informer la personne concernée :

• soit dans un délai d’un mois après l’obtention des données ;
• soit lors de la première communication ;
• soit avant de partager les données avec une autre organisation.
   

Comment et où informer les personnes

Les organisations doivent fournir des avis de confidentialité par écrit et sous forme électronique, qu’ils publieront sur leur site Web sous le titre « Politique de confidentialité », avec un lien direct depuis chaque page. Ces avis doivent aussi être disponibles verbalement, sur demande, par l’entremise de la personne déléguée à la protection des données.

Meilleures pratiques

Le site Web de l’Union européenne du RGPD contient une section sur les meilleures pratiques pour la rédaction d’un avis de confidentialité : https://gdpr.eu/privacy-notice/, Un gabarit d’avis est aussi inclus.
 

Directives annexes

• Informations de base sur l’édition à afficher

Matériels de formation annexes

• Qualité éditoriale, gestion éditoriale

Références

• Commission européenne Règlement général sur la protection des données https://gdpr.eu/tag/gdpr/
• Commission européenne Writing a GDPR-compliant Privacy Notice [gabarit inclus]  https://gdpr.eu/privacy-notice/ 
   

Licence

Ces directives sont toutes sous licence CC-BY. Creative Commons Attribution 4.0 International License

Menu des Directives