Les exigences de protection des données

Quand le RGPD est-il applicable ?

Le Règlement général de protection des données (RGPD) de l'UE s'applique à toutes les entreprises qui traitent des données personnelles, ou à caractère personnel, au sujet de personnes qui résident au sein de l'UE. Le principe du lieu où se tient le marché s'applique, c'est-à-dire qu'indépendamment du siège de l'entreprise, il faut répondre aux exigences du RGPD si des marchandises ou des services sont offerts/vendus au sein de l'UE.

Si par ex. une entreprise suisse conclut une transaction juridique avec des personnes qui se trouvent dans l'UE avec la boutique de bons cadeaux et/ou billets (vente de bons cadeaux/tickets/etc.), le RGPD s'applique.

Quand la LPD suisse est-elle applicable ?

La LPD s'applique aux faits qui ont lieu en Suisse, même s'ils ont été demandés à l'étranger.

La LPD s'applique donc aux particuliers (auparavant aux personnes morales) et aux organisations commerciales et à but non lucratif, qui traitent les données personnelles de ressortissant(e)s suisses. Le champ d'application territorial de la LPD s'apparente à celui du RGPD.

En quoi consistent les données personnelles ? 

Voici quelques exemples de données personnelles ou à caractère personnel : nom, adresses e-mail, données bancaires/données de carte de crédit, et adresses IP.

Exigences légales

En utilisant une boutique en ligne, il faut prendre en considération et mettre en œuvre les exigences légales suivantes :

Protection des données

Les exigences de protection des données sont notamment tirées du Règlement général de protection des données (RGPD) de l'UE, de la loi sur la protection des données (LPD) suisse, ainsi que d'autres lois spécifiques aux pays telles que la loi fédérale allemande de protection des données (BDSG).

Ces lois comportent par ex. des dispositions sur "l'information des parties concernées" (par ex. déclaration de confidentialité d'un site Internet) ou sur "le consentement des parties concernées" (par ex. lettre d'information par e-mail).

ePrivacy

Les règles de création de "cookies" ou de protection des dispositifs des visiteurs de sites Internet sont définies dans la directive ePrivacy (directive 2002/58/CE ou directive de protection des données pour la communication électrique), ou dans différentes lois spécifiques aux pays telles que la loi allemande de protection des données pour la télécommunication et les télémédias (TTDSG).

Droit de la concurrence

Certains pays comme la Suisse, l'Autriche et l'Allemagne ont une LCD (loi contre la concurrence déloyale). À titre d'exemple, la mise en œuvre de la procédure double opt-in (DOI) découle de la loi allemande contre la concurrence déloyale (en rapport avec le RGPD).

Autres :

• Loi allemande sur les télémédias (TMG / Allemagne)
• Loi autrichienne sur le commerce en ligne (ECG, ou E-Commerce Gesetz / Autriche)

Exigences techniques

Mesures techniques et organisationnelles (MTO)

Les entreprises doivent prendre des mesures techniques et organisationnelles (MTO) appropriées pour garantir la protection des données personnelles. Les MTO doivent être documentées pour honorer les obligations de preuve légales. Cette exigence s'inscrit par exemple dans l'art. 8 de la LPD et dans l'art. 32 du RGPD.

Quant à notre service, nous avons adopté par ex. les MTO suivantes :

• Désignation d'un délégué à la protection des données
• Conclusion d'accords de protection des données avec nos prestataires
• Vérification de nos prestataires quant au traitement de données personnelles
• Formation et sensibilisation de nos employés
• Procédure de vérification régulière de nos MTO
• Mise en œuvre de concepts de droits et de rôles restrictifs
• Utilisation de technologies de cryptage
• Réalisation de tests de pénétration

D'autres informations et détails peuvent être lus dans notre accord de protection des données.

Protection des données grâce à la technologie et aux paramètres par défaut qui sont respectueux de la protection des données

Privacy by Design : les entreprises doivent prendre des mesures techniques et organisationnelles appropriées en tenant compte de l'état actuel de la technique, des coûts de mise en œuvre et du type, de la portée, des circonstances et des fins du traitement, ainsi que du degré différent de probabilité de survenance et de gravité des risques liés au traitement pour les droits et libertés des particuliers, tant au moment de la détermination des moyens de traitement qu’au moment du traitement en question.

Privacy by Default : les entreprises doivent adopter des mesures techniques et organisationnelles appropriées, qui veillent à ce que les paramètres par défaut limitent le traitement aux données personnelles, dont le traitement est nécessaire aux fins de traitement respectivement déterminées.

Ces exigences s'inscrivent par exemple dans l'art. 7 de la LPD et dans l'art. 25 du RGPD.

Par défaut, les exigences "Privacy by Design" et "Privacy by Defaults" sont mises en œuvre dans notre système de bons cadeaux / billets, à savoir :

• Dans la boutique en ligne, nous recueillons uniquement les données, qui sont nécessaires à la prestation du service, et nous mettons ainsi en œuvre les principes de "prévention et de minimisation des données" en matière de protection des données.
• La boutique en ligne a été conçue de sorte que les cookies ne peuvent être utilisés que si un consentement exprès a été effectivement donné par l'utilisateur.

Des informations complémentaires sur les paramètres de base de la boutique peuvent être consultées ici.

Consentement à la lettre d'information avec la procédure double opt-in

Les entreprises doivent apporter la preuve que la partie concernée a effectivement donné son consentement. La bonne pratique ou l'état actuel de la technique en termes de consentement à une lettre d'information par e-mail est l'exécution de la procédure double opt-in (DOI).

Juste après l'inscription à une lettre d'information par e-mail, l'abonné reçoit un e-mail de confirmation sans publicité (e-mail DOI). L'abonné doit confirmer le consentement y figurant pour pouvoir recevoir une lettre d'information par e-mail.

La procédure DOI est appliquée dans notre boutique en ligne.

Les modalités d'utilisation de l'option d'inscription à votre lettre d'information peuvent être consultées ici.

Exigences organisationnelles

Accord de protection des données

Quant au système de bons cadeaux / billets, nous agissons en tant que sous-traitant pour nos clients au sens de l'art. 5 (k) de la LPD, ou de l'art. 4 n°8 du RGPD. Pour une utilisation conforme à la loi du système de bons cadeaux/billets, un accord de protection des données doit être conclu avec nous. Cette exigence s'inscrit par exemple dans l'art. 9 de la LPD et dans l'art. 28 du RGPD.

Notre accord de protection des données s'appuie sur les clauses contractuelles types (CCT) de l'UE. L'autorité suisse de protection des données (PFPDT) a reconnu les clauses contractuelles types (CCT) publiées par la commission de l'UE conformément à l'art. 16 al. 2 let. d de la LPD. Nous avons complété les exigences de l'autorité suisse de protection des données (PFPDT) par des règlements supplémentaires. À cet égard, notre accord de protection des données peut même être utilisé directement par l'entreprise suisse.

Nous avons conclu des accords de protection des données avec tous les principaux prestataires, par ex. en vertu de l'art. 28 du RGPD, de l'art. 26 du RGPD et de l'art. 9 al. 1 de la LPD.

Délégué à la protection des données / Conseillère ou conseiller à la protection des données

Les entreprises peuvent ou doivent désigner un conseiller à la protection des données ou un délégué à la protection des données (DPD) sous certaines conditions. Cette exigence s'inscrit par exemple dans l'art. 10 de la LPD, les art. 37 à 39 du RGPD, et dans le §38 du RGPD.

Indépendamment de l'existence d'une obligation légale de désigner un DPD, les entreprises peuvent désigner un DPD sur une base volontaire afin de minimiser les risques liés à la protection des données.

Des informations complémentaires sur la nécessité d'un délégué à la protection des données et ses attributions, ainsi que sur l'obligation de notification aux autorités de protection des données, peuvent être consultées  ici.

Veuillez noter que vous devez publier les coordonnées du délégué à la protection des données (par ex. en vertu de l'art. 37 al. 7 du RGPD). Vous pouvez faire cela par ex. avec votre déclaration de confidentialité.

La marche à suivre dans la boutique de bons cadeaux / billets peut être consultée ici.

Représentant de l'UE

Les responsables et sous-traitants non implantés dans l'UE doivent nommer par écrit un représentant de l'UE conformément à l'art. 27 du RGPD. Le représentant de l'UE doit être implanté en UE. Les attributions du représentant de l'UE doivent être convenues dans un contrat entre le responsable et le représentant de l'UE.

Veuillez noter que vous devez publier les coordonnées du représentant de l'UE. Vous pouvez faire cela par ex. avec votre déclaration de confidentialité.

La marche à suivre dans la boutique de bons cadeaux / billets peut être consultée ici.

Liste des activités de traitement

Les entreprises sont tenues de documenter les traitements des données personnelles. Cette exigence s'inscrit par exemple dans l'art. 12 de la LPD et dans l'art. 30 du RGPD.

La liste des activités de traitement (LAT) constitue un des piliers essentiels de la protection des données, et sert notamment à prouver à une autorité de protection des données le respect des dispositions de protection des données.

Le contenu minimum d'une LAT est la description des traitements pertinents des données personnelles / à caractère personnel avec le contenu minimum suivant :

1. Nom et coordonnées du responsable
2. Fins du traitement
3. Base juridique du traitement
4. Description des catégories de personnes concernées
5. Description des catégories de données personnelles
6. Destinataire de données
7. Délais de suppression / Concept de suppression
8. Description des mesures techniques et organisationnelles

Les entreprises sont tenues d'évaluer le risque pour les droits et les libertés des parties concernées. Si un risque considérable ne peut pas être exclu, l'entrepreneur doit mener une analyse approfondie des risques (voir section ci-après) ; cette analyse de risque est dénommée analyse d'impact relative à la protection des données (AIPD).

Analyse d'impact relative à la protection des données (AIPD)

Le concept "analyse d'impact relative à la protection des données" (AIPD) est une évaluation approfondie des risques, qui doit être menée par les entreprises dans certains cas. Cette exigence s'inscrit par exemple dans l'art. 22 de la LPD et dans l'art. 35 du RGPD.

Une AIPD doit répondre à des strictes exigences, si bien que le délégué à la protection des données de l'entreprise doit toujours être impliqué conformément au RGPD.

Obligations d'information / Déclaration de confidentialité

Les entreprises sont soumises à des obligations d'information importantes envers les parties concernées. Les parties concernées peuvent être par ex. les utilisateurs de la boutique de bons cadeaux / billets, des clients, des abonnés à la lettre d'information et les propres employés. Cette exigence s'inscrit par exemple dans les art. 19 à 21 de la LPD et dans les art. 12 à 14 du RGPD.

Les obligations d'information sont normalement honorées par la déclaration de confidentialité de l'entreprise.

Pour la déclaration de confidentialité, vous pouvez utiliser le modèle d'e-guma ou entrer votre propre déclaration de confidentialité. Découvrez ici, où vous pouvez modifier la déclaration de confidentialité.

Les modalités d'intégration d'une propre déclaration de confidentialité dans la boutique e-guma peuvent être lues ici.

Gestion du consentement / "Bannière de cookies"

Outre les simples obligations d'information (voir section "Obligations d'information / Déclaration de confidentialité"), les entreprises sont soumises à l'exigence d'obtenir un consentement à l'utilisation de technologies pas nécessaires de la part de l'utilisateur d'un site Internet. En général, cette exigence est tirée par ex. de l'art. 6 de la LPD et de l'art. 6 du RGPD en relation avec l'art.7 du RGPD.

Les règles de création de "cookies" ou de protection des dispositifs des visiteurs de sites Internet sont définies dans la directive ePrivacy (directive 2002/58/CE ou directive de protection des données pour la communication électrique), ou dans différentes lois spécifiques aux pays telles que la loi allemande de protection des données pour la télécommunication et les télémédias (TTDSG).

Le consentement doit être obtenu pour :

• Cookies et technologies similaires (stockage local, etc.), tant que ceux-ci sont nécessaires à l'exploitation d'un site Internet (par ex. "_fbp" Facebook/Meta-Pixel)
• Outils de fournisseurs tiers intégrés, tant que ceux-ci transmettent ces données aux fournisseurs tiers (par ex. Google Analytics). Les strictes conditions de divulgation des informations personnelles à l'étranger sont définies par ex. à la section 3 de la LPD (art. 16ff de la LPD) ainsi qu'au chapitre 5 du RGPD (art. 44 à 50 du RGPD).

Les informations sur les options de configuration de la "bannière de consentement" peuvent être consultées ici.

Êtes-vous à la recherche d'un expert en protection de données ?