Notre business n’est pas une île, fonctionnant en parfaite autonomie. Il parait.
Quand nous avons un objectif en tête qui nécessite que nous utilisions des données personnelles de nos clients ou des visiteurs de notre site web, ces données, on va peut-être :
* les encoder dans des outils ;
* les confier à d’autres sociétés qui vont réaliser une partie du job pour nous.
Pour aider notre client à comprendre ce qui se passe avec ses données, dans l’outil ou chez le prestataire, on peut décider de renvoyer à la déclaration de confidentialité de l’outil ou du prestataire en question.
Ça nous fait gagner du temps et ça aide à garder notre propre déclaration de confidentialité d’une longueur raisonnable.
Sauf que..
Est-ce qu’il est clair, ce document rédigé par cet autre organisme?
Est-ce qu’il permet au client de comprendre qui va avoir accès à ses données, ou même simplement, si ses données vont être utilisées pour autre chose que, disons, vérifier qu’il n’est pas un robot quand il veut compléter un formulaire sur ton site ?
Oui oui, un CAPTCHA, ça collecte des données personnelles.
Dis-toi que si nous (qui avons choisi l’outil ou le prestataire), en cliquant sur le lien, on se dit « Oh boy », notre client aussi, il va se sentir perdu.
Sauf que lui, il peut aussi se contenter de nous poser la question.
Juste pour vérifier qu’il est toujours aligné de bosser avec nous, si on décide d’utiliser tel outil. Ou tel prestataire.
Et si nous ne savons pas lui expliquer quelles sont les données qui sont utilisées par cette fonctionnalité de notre site (disons), ça va lui mettre la puce à l’oreille que nous ne sommes pas très au courant de ce qui se passe avec ses données, en fait.
Jamais un bon sentiment à inspirer à nos clients.
Dès fois qu’ils iraient le répéter à l’autorité de protection des données.
Ou qu’ils n’auraient plus vraiment confiance en notre capacité de protéger leurs données.
Mes conseils pour éviter le renvoi vers un labyrinthe :
* Fais le travail de compréhension (nuance entre « l’utilisation en lien avec ta demande » et les éventuelles réutilisations que le fournisseur s’octroie +/- légalement) avant de décider de bosser avec le fournisseur.
=> Tu pourras poser des questions si la documentation à ta disposition n’est pas claire.
=> Tu pourras même changer d’avis, si finalement, tu n’es pas aligné avec les valeurs de cette société (le business modèle du « si c’est gratuit, c’est toi le produit », c’est pas spécialement jojo, en vrai..).
* Évalue la possibilité de ne pas mettre le lien.
=> Le RGPD t’oblige à indiquer au minimum la catégorie de destinataires dans ta notice d’information, pas forcément les liens vers les déclarations de confidentialité.
=> Sois prêt à répondre aux questions à ce sujet, en te basant sur ton registre d’activité de traitement ou dans la documentation reçue.
Besoin d’aide pour pimper ta déclaration de confidentialité ?
Il se peut que j’ai une légère obsession pour le sujet, donc n’hésite pas à me contacter.
Lien vers la publication originale sur LinkedIn
Cet article est une publication LinkedIn faisant partie de ma série de publications #pimpyourprivacystatement
Si tu veux découvrir les autres publications sur ce sujet, tu peux me suivre sur LinkedIn ou repasser de temps à autre jeter un œil à l’article Pimp Your Privacy Statement_la compile !