Existe-t-il des contrats type pour les développeurs (PI...) et RGPD ?
Question d'origine :
Bonjour,
Question pour le développement d'application mobile : existe-t-il des contrats type pour les développeurs (PI...) et RGPD? Et si oui où peut-on les trouver?
Merci,
Cordialement,
CH
Réponse du Guichet
Toutes les informations sur la mise en conformité des applications mobiles avec le règlement général sur la protection des données (RGPD) se trouvent sur le site de la Commission nationale de l'informatique et des libertés (CNIL).
Bonjour,
Vous souhaitez savoir où se trouvent les contrats types pour rendre conformes des applications mobiles au Réglement général sur la protection des données (RGPD).
Comme l'explicite la Commission nationale de l'informatique et des libertés (CNIL), qui est chargée de veiller à la liberté et à la protection de la vie privée des citoyens français sur Internet, :
" Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs."
La commission rappelle que :
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu'elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.
De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.
Elle a rédigé un guide très exhaustif dédié aux équipes de développement : le "guide RGPD de l'équipe de développement" .
La fiche 12 de ce guide est notamment dédiée à l'information des internautes.
Elle donne la liste des informations obligatoires qui doivent figurer dans les formulaires de collecte de données à caractère personnel :
l’identité et les coordonnées de l’organisme qui collecte les données (qui traite les données ?) ;
les finalités (à quoi vont servir les données collectées ?) ;
la base légale sur laquelle repose le traitement des données (retrouvez toutes les informations sur les bases légales) ;
le caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et les conséquences pour la personne en cas de non-fourniture des données ;
les destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants ?) ;
la durée de conservation des données (ou critères permettant de la déterminer) ;
l’existence des droits des personnes concernées ainsi que les moyens de les exercer (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) ;
les coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
le droit d’introduire une réclamation auprès de la CNIL.
Dans certains cas particuliers, il faut fournir des informations supplémentaires, comme dans le cas de transferts de données hors UE, de prise de décision entièrement automatisée ou de profilage, ou encore lorsque la base légale du traitement est l’intérêt légitime poursuivi par l’organisme qui collecte les données (voir le site de la CNIL pour en savoir plus).
En cas de collecte indirecte, il faut ajouter :
les catégories de données recueillies ;
la provenance des données (en indiquant notamment si elles sont issues de sources accessibles au public).
Dans cette fiche figurent également des précisions sur la forme que doivent prendre les informations données aux internautes :
L’information doit être facile d’accès : l’utilisateur doit la trouver sans difficultés.
Elle doit être fournie de manière claire et compréhensible, c’est-à-dire avec un vocabulaire simple (phrases courtes, sans termes juridiques ou techniques, sans ambiguïtés) et une information adaptée au public visé (avec une attention particulière à l’égard des enfants et personnes vulnérables).
Elle doit être écrite de manière concise. Afin d’éviter l’écueil du déluge d’informations noyant l’utilisateur, il faut amener les informations les plus pertinentes au bon moment. Vous pouvez adopter une approche à plusieurs niveaux, en veillant à ce que les personnes bénéficient d’un aperçu clair des informations qui leur sont accessibles sur le traitement de ses données à caractère personnel et du moyen de trouver les informations détaillées.
Elle doit être adaptée au support d'usage. Par exemple, pour des dispositifs sans écran comme des enceintes connectées, vous pouvez vous reposer sur un dispositif externe ("application compagnon") pour délivrer une information exhaustive aux utilisateurs. Un premier niveau d’information doit également être accessible par l’interface d’usage du dispositif.
Les informations en rapport avec la protection des données doivent pouvoir être distinguées de celles qui ne sont pas spécifiquement liées à la vie privée (comme les clauses contractuelles ou les conditions générales d’utilisation).
Sur le site Données & Design, développé par le Laboratoire d’Innovation Numérique de la CNIL, vous trouverez toutes les clés pour développer les formulaires de collecte de données à caractère personnel de vos applications.
Vous trouverez également deux exemples de formulaires sur le site de la CNIL.
En vous souhaitant bonne chance dans la consultation de ces ressources et la création de vos formulaires !
Bonne journée.