- RGPD Les articles 13 et 14 précisent le contenu obligatoire que chaque avis de confidentialité doit inclure
- L'article 13 s'applique lorsque vous collectez des données directement auprès de l'individu; l'article 14 lorsqu'il est collecté auprès d'un tiers
- L'avis doit être fourni au moment de la collecte — non enterré dans les termes et conditions
- Le langage doit être concis, transparent, intelligible et en langage clair, et non légal
Un avis de confidentialité n'est pas seulement une formalité juridique — c'est le principal outil par lequel vous respectez le principe de transparence du RGPD. Les personnes concernées ont le droit de savoir ce que vous faites avec leurs données, et vous avez l'obligation de leur dire de manière proactive, au moment de la collecte, dans un langage clair. La plaque générique copiée à partir d'un modèle ne satisfait pas à cette exigence.
Voie d'achat HubSecure connexe
Guide de la collection de documents et de la faille guide de la collection de documents sécurisé B01 module Guide logiciel de la collection de documents de comparaison Dropbox Guide de la bibliothèque livre une démo de workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Secure Document Collection Guides. Continuer avec le hub produit pour une collecte de documents sécurisée.
Article 13 : lorsque vous collectez des données directement
L'article 13 s'applique lorsque vous collectez des données personnelles directement auprès de l'individu — par l'intermédiaire d'un formulaire, d'une réunion d'admission ou de votre site Web. Les renseignements personnels doivent être fournis au moment de la collecte. Le contenu obligatoire comprend:
- ✓ Identité et coordonnées du contrôleur
- ✓ Coordonnées du DPD (le cas échéant)
- ✓ Objectifs et base juridique de chaque activité de transformation
- ✓ Les intérêts légitimes poursuivis (si les intérêts légitimes sont la base)
- ✓ Tout destinataire ou catégorie de destinataires des données
- ✓ Indique si les données seront transférées en dehors de l'EEE et si les garanties sont en place
- ✓ Périodes de conservation ou critères utilisés pour les déterminer
- ✓ Les droits de l'individu: accès, rectification, effacement, restriction, portabilité, objection
- ✓ Droit de retirer le consentement (lorsque le consentement est la base légale)
- ✓ Droit de déposer une plainte auprès d'une autorité de contrôle
- ✓ La fourniture de données est une exigence légale ou contractuelle et les conséquences de ne pas la fournir
- ✓ La prise de décision automatisée (y compris le profilage) et, dans l'affirmative, la logique et l'importance
Article 14: lorsque vous obtenez des données d'un tiers
L'article 14 s'applique lorsque vous recueillez des données personnelles sur quelqu'un d'une source autre que l'individu lui-même, c'est-à-dire des données sur les perspectives d'achat, des références ou des informations provenant de registres publics. Les mêmes renseignements doivent être fournis, plus :
- Les catégories de données à caractère personnel concernées (puisque l'individu ne les a pas fournies directement)
- La source à partir de laquelle les données ont été obtenues et si elles provenaient de sources accessibles au public
Cette information doit être fournie dans un délai raisonnable — au plus tard un mois — ou au moment de la première communication, ou lorsque les données sont communiquées à un tiers, selon la première éventualité.
Défauts d'avis de confidentialité
Vagues
"Nous utilisons vos données pour améliorer nos services et à des fins de marketing" ne satisfait pas l'exigence de spécificité. Chaque objectif distinct doit être précisé clairement : « Nous traitons vos coordonnées pour vous envoyer notre bulletin mensuel sur les développements de la conformité (article 6, paragraphe 1, point a), - consentement). »
Pas de période de rétention
Dire "nous conservons vos données aussi longtemps que nécessaire" sans autre précision ne répond pas à l'exigence de l'article 13(2)a). Indiquer les périodes réelles ou les critères utilisés pour les déterminer.
Description des droits de chaudière
La liste des droits de la personne concernée sans expliquer comment les exercer n'est pas suffisante. Votre avis devrait indiquer aux personnes comment soumettre une demande — par exemple, par courriel à [email protected] — et à quoi s'attendre en termes de délai de réponse.
Coordonnées manquantes du DPO
Si vous avez un DPD (obligatoire pour certaines organisations en vertu de l'article 37), leurs coordonnées doivent figurer dans l'avis de confidentialité. Beaucoup d'entreprises omettent cela.
Format et accessibilité
Le RGPD exige que les avis de confidentialité soient fournis sous une forme concise, transparente, intelligible et facilement accessible, dans un langage clair et clair. L'ICO et d'autres ADP recommandent une approche en couches : un court préavis au point de collecte avec les points clés, en lien avec un préavis complet pour les détails.
Est-ce que notre avis de confidentialité doit être examiné régulièrement?
Oui. Chaque fois que vos activités de traitement changent — nouveaux systèmes, nouvelles finalités, nouveaux processeurs tiers, nouveaux transferts — votre avis de confidentialité doit être mis à jour. Si vous la mettez à jour, informez les personnes concernées dont les données sont affectées par les changements si les mises à jour sont importantes.
Une politique de cookies est-elle la même qu'un avis de confidentialité?
C'est pas vrai. Une politique en matière de cookies traite des exigences en matière de consentement et d'information en vertu de la directive sur la protection des renseignements personnels (pour l'UE) et des règlements d'application nationaux. Un avis de confidentialité traite des obligations de transparence du RGPD pour tous les traitements de données personnelles. Les deux sont nécessaires; de nombreuses organisations les combinent dans un document stratifié.
Documentation de confidentialité intégrée
HubSecure comprend des modèles d'avis de confidentialité pré-compilés à des types d'entreprise réglementés — couvrant les données sur les clients, les données sur les employés et les activités de traitement AML.
Réservez une démoSources officielles et lectures complémentaires
Utiliser ces sources publiques pour vérifier le contexte réglementaire et la terminologie. HubSecure contenu est l'orientation des produits, pas des conseils juridiques.
Notes de crédibilité
Ce guide est rédigé pour l'évaluation des produits et des opérations, et non comme un avis juridique. Pour les obligations de conformité, confirmer les exigences auprès d'un avocat qualifié ou de l'organisme de réglementation pertinent.
Related HubSecure références: Sécurité · DPA · Sous-processeurs · Glossaire AML/KYC · Glossaire RBAC
Examen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale