Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

La déclaration de confidentialité sur les sites web: Contenu et instructions

0
recommendations for content and structure of the privacy policy
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Article au format PDF
📄 Article au format PDF (uniquement pour les abonnés à la newsletter)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Une déclaration de confidentialité doit être présente sur chaque site web public. Outre des textes standard, elle doit contenir des explications sur tous les outils utilisés et toutes les opérations de traitement des données. Toutefois, la déclaration de protection des données ne suffit pas à elle seule.

Introduction

La déclaration de protection des données sur les sites Web est obligatoire. Cela ressort de l'article 12, ainsi que de l'article 13 du RGPD et du fait que les adresses réseau sont des données personnelles. Presque chaque site Web constitue une offre. Si un site Web est quasi vide, il n'a peut-être pas besoin d'une déclaration de protection des données. Le seul rappel de son domaine d'activité (professionnel) suffit, selon moi, pour satisfaire le caractère offert , où je pense que les informations sur la protection des données manquent. Vous pouvez également consulter mon étude sur le concept de collecte de données et la responsabilité qui en découle.

Pour des raisons juridiques, il est préférable d'attribuer à la page relative à la protection des données la dénomination «Informations sur la protection des données» ou «Informations sur la protection des données». Dans cet article, on utilise au lieu de cela l'appellation moins critique «Déclaration de protection des données». Voir par rapport à le jugement du 27.12.2018 – 23 U 196/13.

D'expérience, je sais que les dangers (plainte, avertissement, amende) proviennent en premier lieu non des textes de protection des données, mais des outils introduits illégalement, certificats SSL manquants, demandes d'autorisation non fonctionnelles, trop de données demandées dans les formulaires ou liens manquants vers la déclaration de confidentialité.

Expliquer quelque chose ne signifie pas que cela l'autorise.

Exemple: les tueurs à gages:

Vous engagez un tueur à gages et expliquez votre intention à la victime. Est-ce que cela améliore la situation ?

Malentendus fréquents sur les déclarations de confidentialité

Il est permis de faire remarquer que la rédaction de textes sur la protection des données est en général possible pour tout le monde et souvent utile. Ils n'ont pas besoin d'un avocat pour cela. Les risques se trouvent ailleurs. Si vous voulez protéger vos sites web, pensez d'abord à autre chose que la déclaration sur la protection des données. De plus, je soutiens l'idée selon laquelle même les avocats ne parviennent pas souvent à rédiger ces textes d'aide correctement. Cela est notamment dû au fait que pour les outils de Google ou Facebook, il n'est souvent pas clair, et beaucoup ne le savent pas précisément, quelles traitements des données se produisent par qui exactement.

D'après l'expérience, je peux affirmer que pour la création de bonnes notices de protection des données pour les outils, il est d'abord utile d'avoir une compréhension technique et ensuite une compréhension juridique de base. De plus, connaître la structure des notices de protection des données est utile, car tous ces textes ont la même structure de base.

Contenu de la déclaration de confidentialité

Le contenu des informations relatives à la protection des données peut être essentiellement divisé en trois parties:

  • Informations spécifiques à la page web: Texte d'introduction, mention de l'organisme responsable, mention du délégué à la protection des données (DPD), coordonnées de contact
  • Données obligatoires générales: Elles sont toujours les mêmes (au 09.08.2021)
  • Informations sur traitements de données spécifiques sur le site web: Relevante lors d'utilisation de newsletters, formulaires ou outils comme Google Maps

Informations générales obligatoires

Tout d'abord, il faut donner une série de informations générales. Cela inclut:

  • Droits des victimes: Textes standards
  • Bases juridiques: Textes standards (qui peuvent également être complétés de manière spécifique)
  • Responsable de la protection des données: Qui est responsable de la protection des données sur le site web et comment peut-on le contacter ?
  • Déclaration des coordonnées du délégué à la protection des données: Peut éventuellement être omisee

Les droits des personnes concernées peuvent être expliqués comme suit.

Droits des personnes concernées

Les droits des personnes concernées découlent de Article 15 du RGPD. Voici un exemple de texte pour citer les droits des personnes concernées. Veuillez l'adapter éventuellement. Le texte ne doit être utilisé qu'avec un lien de gratitude vers https://dr-dsgvo.de.

Vous avez le droit:

  • Conformément à l'article 15 du RGPD vous pouvez demander des informations sur les données personnelles que j'ai traitées concernant votre personne. En particulier, vous pouvez obtenir des informations sur les finalités de traitement, la catégorie des données personnelles, les catégories de destinataires auxquels vos données ont été ou seront communiquées, la durée de conservation prévue, l'existence d'un droit à la correction, à la suppression, à la limitation du traitement ou au recours, l'existence d'un droit de réclamation, l'origine de vos données, si celles-ci ne sont pas collectées par moi-même, ainsi que sur l'existence d'une prise de décision automatisée y compris le profilage et éventuellement des informations précises concernant leurs détails ([1]) ;
  • conformément à l'article 16 du RGPD, d'exiger sans délai la rectification des données à caractère personnel vous concernant qui sont inexactes ou incomplètes ;
  • conformément à l'article 17 du RGPD, d'exiger la suppression des données à caractère personnel vous concernant que j'ai enregistrées, à moins que le traitement ne soit nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale, pour des raisons d'intérêt public ou pour la constatation, l'exercice ou la défense de droits en justice ;
  • d'exiger, conformément à l'article 18 du RGPD, la limitation du traitement de vos données personnelles, dans la mesure où vous contestez l'exactitude des données, où le traitement est illicite mais que vous refusez leur suppression et que nous n'avons plus besoin des données, mais que vous en avez besoin pour faire valoir, exercer ou défendre des droits en justice ou que vous vous êtes opposé au traitement conformément à l'article 21 du RGPD ;
  • conformément à l'article 20 du RGPD, de recevoir les données à caractère personnel que vous m'avez fournies dans un format structuré, couramment utilisé et lisible par machine, ou de demander leur transmission à un autre responsable ;
  • Conformément à l'article 7, paragraphe 3 du RGPD , vous pouvez révoquer votre consentement une fois donné à tout moment envers moi. Cela a pour conséquence que nous ne pouvons plus poursuivre la traitement des données qui reposait sur ce consentement à l'avenir, et ([1])
  • conformément à l'article 77 du RGPD, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle, sans préjudice de tout autre recours administratif ou judiciaire. En règle générale, vous pouvez vous adresser à cet effet à l'autorité de contrôle de votre lieu de résidence ou de travail habituel ou du lieu de l'infraction présumée, si la personne concernée estime que le traitement des données à caractère personnel la concernant enfreint le règlement général de l'UE sur la protection des données (RGPD).

Bases juridiques

Les fondements juridiques devraient être nommés en général. En outre, une mention spécifique peut être effectuée pour chaque opération de traitement des données, à condition qu'elle ne soit pas évidente. Voici un exemple de texte. Le texte ne doit être utilisé que avec un lien de gratitude vers https://dr-dsgvo.de.

Nous traitons les données qui résultent de la visite de notre site web ou de l'utilisation des possibilités de contact proposées conformément aux dispositions du règlement général européen sur la protection des données (RGPD) et de la loi fédérale sur la protection des données (BDSG). Les bases juridiques varient en fonction de la raison pour laquelle vous nous contactez via le site web. La base juridique concrète pour le traitement des données dépend du contexte et de la finalité dans lesquels nous recevons vos données. En règle générale, la base juridique pour le traitement des données résulte des possibilités mentionnées ci-dessous:

L'article 6 I, lettre a du RGPD nous sert de base juridique pour les opérations de traitement pour lesquelles nous obtenons un consentement pour une finalité de traitement spécifique. Un consentement donné peut être révoqué à tout moment.

Lorsque le traitement des données à caractère personnel est nécessaire pour l'exécution d'un contrat dont la partie contractante est la personne concernée, comme c'est le cas dans les opérations de traitement nécessaires à une livraison de marchandises ou à la fourniture d'une autre prestation ou contre-prestation, alors le traitement repose sur Article 6 I lit. b du RGPD. Même chose pour les opérations de traitement nécessaires à l'exécution des mesures précontractuelles, comme dans les cas où on nous pose des questions sur nos produits ou services.

Sous réserve d'une obligation légale qui rend nécessaire le traitement de données à caractère personnel, comme par exemple pour satisfaire aux obligations fiscales, la base du traitement est Article 6 I lit. c RGPD.

Finalement, les opérations de traitement pourraient se baser sur Article 6 I lit. f RGPD. Les opérations de traitement reposent sur cette base juridique lorsque celles-ci ne sont pas couvertes par l'une des bases légales précédemment mentionnées, lorsqu'il est nécessaire de traiter les données pour préserver un intérêt légitime de notre entreprise ou d'un tiers, à condition que les intérêts, droits fondamentaux et libertés du concerné ne soient pas compromis.

Texte type pour la citation des bases légales

Veuillez noter qu'il n'est pas possible de visiter un site web sans que des données à caractère personnel ne soient traitées. Il ne faut donc pas déclarer que la visite du site web est possible sans fournir de données personnelles.

Informations sur les opérations spéciales de traitement des données

Pour chaque traitement de données sur le site Web, des informations précises doivent être fournies. Voir également Art. 15 RGPD. Les parties fréquentes sont:

  • Serveurs-Logues: La plupart des serveurs enregistrent les protocoles d'accès. Cela devrait être expliqué
  • Cookies: La plupart des sites web utilisent les cookies. Les cookies nécessaires à la technologie, comme l'inscription sur les sites WordPress ou les cookies de VG Wort, sont sans danger. Pour éviter toute confusion, il faudrait expliquer également les cookies sans danger. Veuillez noter que les cookies ne sont pas des fichiers texte, même si on le prétend souvent
  • Formulaires: Dites-nous ce qui se passe avec les données. En général, ces données ne sont utilisées que pour répondre à la demande et éventuellement aux questions ou communications supplémentaires découlant de celle-ci
  • Bulletin d'information: Indiquez comment les données (au minimum l'adresse e-mail) sont traitées. Nommez la possibilité de rétractation (se désinscrire du newsletter). Installez un service de newsletter, nommez-le. Assurez-vous qu'il n'y a pas de pixel de suivi dans les mails de newsletters (et si c'est le cas, demandez d'abord la permission)
  • Autres collectes de données: Proposez un service de rappel via le site Web ou traitez les procédures d'admission via le site Web ou traitiez des données sur le site Web pour d'autres raisons non encore expliquées, cela doit être expliqué.
  • Outils: Pour chaque outil utilisé, il faut notamment expliquer:
    • Nom de l'outil
    • Fournisseur
    • Objet
    • les cookies utilisés. Par cookie: nom, durée de vie, objectif
    • Données collectées
    • Lieux de collecte des données, dans la mesure où ils ont également lieu en dehors du siège (pays) du fournisseur
    • Destinataires des données, s'il y en a d'autres que le fournisseur
    • Risques potentiels, tels que le transfert de données vers des pays tiers non sûrs
    • Garanties existantes, telles qu'un contrat de sous-traitance
  • Fichiers externes: Même pour les images, les polices, les vidéos, les bibliothèques d'aide etc., il faut expliquer ce que c'est.

Si vous avez un contrat avec un fournisseur d'outils ou de fichiers externes, il peut être permis, dans certains cas, de ne pas le déclarer.

Comment savez-vous quels outils et fichiers externes sont intégrés dans votre site web ? Voici quelques réponses possibles. Une seule est correcte:

  1. Ils conseillent
  2. Vous demandez à votre agence Internet
  3. Vous demandez à votre délégué à la protection des données
  4. Vous demandez à un avocat
  5. Ils essaient de regarder votre site web de très près
  6. Vous utilisez un outil qui analyse automatiquement l'ensemble de votre site web. Si vous voulez plus de sécurité, vous payez un peu plus pour un contrôle manuel supplémentaire

Pour de nombreux outils et cookies, il n'y a tout simplement pas de texte sur la protection des données. Lorsque l'éditeur d'un service ou son exacte dénomination sont inconnus, aucune explication ordinaire ne peut avoir lieu. Souvent, les finalités des cookies sont inconnues ou supposées. Si c'est le cas, un usage conforme au droit de ces outils qui gèrent lesdits cookies n'est pas possible, car les informations requises par l'article 13 du RGPD ne peuvent pas être fournies concernant le cookie.

Aux outils d'analyse et autres outils qui collectent des données, il faut offrir au utilisateur une possibilité de s'abstenir (Opt-Out). La conformité doit également être demandée pour la plupart des outils.

Structure typique d'un texte de protection des données d'un outil

Un texte de protection des données pour Google Maps devrait montrer comment un texte de protection des données pour un outil peut être structuré. Veuillez noter que les informations sur les cookies manquent ici, car il semble que personne d'autre que Google ne sache quelles cookies sont utilisées à quel but précis !

Exemple de texte sur la protection des données (les informations sur les cookies manquent !). L'image a été traduite automatiquement.

Le texte aborde plusieurs aspects:

  • Nom du service (Outils). Pour les newsletters, on appellerait simplement Newsletter
  • Fournisseur du service: Nom complet de la société y compris l'adresse et désignation courante du pays: les États-Unis, tout le monde sait bien. Les autres codes ISO ne sont pas compréhensibles
  • Objectif: Pourquoi est-ce que le service est utilisé ?
  • Base juridique: Cela peut être indiqué pour un service spécifique ou dans une section générale sans lien avec le service. Souvent, la base juridique découle de la manière dont un service est intégré. Avec une demande d'autorisation, la base juridique est l'autorisation, sans telle demande, il reste généralement que l'intérêt légitime. Une base juridique spécifique indiquée devrait alors être correcte. Qui écrit "autorisation" et charge un service sans autorisation provoque des problèmes.
  • Spécificités: Qu'est-ce que le utilisateur doit savoir en plus ?
  • Traitement de données: Quel est le sort des données qui sont générées lors du chargement et de l'utilisation de l'outil ?
  • Receveur de données: Qui peut recevoir les données ? Dans le doute, il est recommandé une indication supérieure
  • Mention des risques: Lors des transferts de données dans des pays tiers non sûrs, un service de renseignement aime bien y jeter un coup d'œil. Cela devrait être expliqué
  • Informations supplémentaires: Un lien vers la politique de confidentialité du fournisseur peut être utile mais aussi nuisible. Les informations fournies par Google ne sont pas régulièrement conçues pour générer de la transparence. Lors d'une mise en lien, il convient notamment de se référer à un document allemand.

Si vous réfléchissez maintenant à la manière dont les informations sont fournies pour Google Maps, vous constaterez que cela n'est pas possible. Seule l'indication du but précédemment mentionné «Nous utilisons la carte pour afficher notre emplacement.» devrait donner lieu à la question: La carte est-elle même nécessaire ou quel en est l'intérêt ?

Plus de recommandations

Les explications devraient être faciles à comprendre, et c'est-à-dire pour le citoyen moyen sans connaissance technique ou juridique. Cela ressort de Art. 12 RGPD.

Il n'est en principe pas interdit de mettre la déclaration sur la protection des données sous forme d'un propre paragraphe dans l'impression, mais je vous conseille plutôt de la mettre sur une page à part ou au moins accessible via un lien propre depuis chaque page.

Le lien vers la politique de confidentialité doit être accessible en maximum deux clics. Lorsqu'il s'agit d'un design responsive pour les smartphones, le lien ne doit pas seulement être affiché dans un menu hamburger, mais également toujours visible en pied de page. Même sur des pages de connexion censées être secrètes, il doit y avoir un lien.

Le lien vers la politique de confidentialité devrait être clairement nommé, c'est-à-dire avec politique de confidentialité, confidentialité ou autre chose. Mise à jour: il est recommandé d'utiliser les désignations informations sur la protection des données ou informations sur la confidentialité pour éviter des problèmes juridiques.

Nommez le responsable de la protection des données (RDP) dans la déclaration sur la protection des données. N'ayant pas votre propre RDP, nommez le responsable pour les traitements de données.

Chaque entreprise qui affecte régulièrement plus de 19 employés à la traitement des données personnelles doit nommer un délégué à la protection des données (DSB). C'est généralement le cas lorsque cette quantité d'employés dispose d'un poste de travail informatique. Les entreprises avec plus de 250 employés doivent également désigner un DSB.

De plus, la obligation de déclaration du DSB s'applique à de nombreux établissements qui traitent régulièrement des données personnelles (cf. art. 37 al. 1 b du RGPD). À cette catégorie appartiennent, selon mon avis, tous les établissements ayant une site web public, car depuis l'année 2017, les adresses de réseau sont considérées comme des données personnelles.

Déclaration de protection des données trop vaste

La question a souvent été posée de savoir si un trop grand nombre de textes dans la directive sur la protection des données posait problème et s'il fallait même craindre un avertissement. Mon avis à ce sujet:

  • Structurez votre déclaration de confidentialité en sections clairement identifiables
  • S'il y a quelques textes de trop, ce n'est pas un problème
  • Il suffit de ne pas en faire trop
  • Si vous avez utilisé un outil jusqu'à récemment, mais que vous ne le faites plus actuellement, ne supprimez le texte que lorsque vous êtes sûr qu'aucune mémoire cache n'est active
  • Si vous prévoyez d'utiliser prochainement un outil (formulaire de contact, newsletter, script, outil d'analyse, etc.), intégrez au préalable le texte relatif à la protection des données

Le dernier point en particulier montre clairement qu'on ne peut pas obtenir de problèmes à cause d'un trop grand nombre de textes (si cela reste dans le cadre): Comment quelqu'un veut-il prouver qu'il ne prévoit pas justement d'utiliser prochainement un outil expliqué mais pas encore mis en œuvre ? En outre, une page unique contenant des informations sur la protection des données peut également être conservée pour plusieurs sites web à la fois, même si je le déconseille pour plusieurs raisons. Toutefois, les textes relatifs à la protection des données ne devraient être présents que lorsqu'ils sont nécessaires. Dans le cas contraire, ils offrent une surface d'attaque inutile.

Déclaration de confidentialité en anglais

Si un site web cible également d'autres marchés que l'Allemagne, l'Autriche et la Suisse, la déclaration de protection des données devrait au moins exister également en anglais. Pour le marché allemand, une déclaration en allemand doit être disponible.

Aussi intéressant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Popups de cookie: cinq raisons pour lesquelles ils ne peuvent pas fonctionner