Politique de confidentialité

Ce document de politique de confidentialité, mis à jour conformément au Règlement UE (GDPR) 2016/679 relatif au traitement des données personnelles, ainsi qu'au décret législatif 181/18 modifiant le décret législatif 196/2003, régule les modalités de traitement des données collectées par un site web lors de la navigation par l'utilisateur.

Son but est d'informer l'utilisateur sur le traitement de ses données personnelles conformément à la loi et au récent Règlement UE 679/2016, qui a profondément modifié la réglementation.

Un site web doit avoir un Responsable du traitement des données (Data Controller). Le responsable du traitement est celui qui a le pouvoir décisionnel et organisationnel sur le traitement, ainsi que de décider des modalités de traitement des données et est responsable vis-à-vis de l'autorité de protection des données. Il est également possible de nommer deux ou plusieurs responsables conjoints. Dans ce cas, il est obligatoire que l'utilisateur soit informé des compétences de chaque responsable conjoint, par un lien indiquant l'accord entre eux.

Le responsable du traitement est assisté par le Responsable du Traitement (Data Processor). Cette personne traite les données pour le compte du responsable du traitement, ce qui signifie qu'il est un sujet proche du responsable, recevant des directives sur la gestion des données. Le Responsable du traitement doit être une personne compétente capable de garantir pleinement la sécurité mise en place par le Responsable du traitement.

À ces deux figures s'ajoute le Responsable de la protection des données (Data Protection Officer - DPO), qui, bien qu'il soit nommé directement par le responsable, est un sujet indépendant de ce dernier. Le DPO, auparavant facultatif, est désormais parfois obligatoire selon l'art. 37 du Règlement (UE) 679/2016. Cet article indique les sujets obligés et ceux qui en sont exemptés. En tout état de cause, le DPO, appelé RPD en italien, est un sujet indépendant et traite les données de manière autonome. Il est également directement responsable et communique avec l'autorité de protection des données. En définitive, la désignation du DPO reflète la nouvelle approche du GDPR, visant à responsabiliser le traitement des données, en facilitant la mise en œuvre du règlement par le responsable et le gestionnaire. Le rôle du DPO est de protéger les données personnelles, et non les intérêts du responsable du traitement.

Ainsi, tandis que le Responsable du traitement est une figure proche du Responsable, le DPO est une figure beaucoup plus indépendante, qui ne peut ni ne doit recevoir d'ordres du responsable concernant la protection effective des données.

Revenons à l'avis, il doit également indiquer le lieu où les données seront traitées, qui coïncide avec le siège du responsable du traitement des données.

Il est fondamental d'inclure également les objectifs du traitement des données. En effet, selon la nouvelle réglementation, les données doivent être conservées pour une période adéquate à l'atteinte des objectifs du site, puis être supprimées. Il est donc obligatoire que les objectifs soient clairement et concisément indiqués dans l'avis.

Le document doit également indiquer les types de cookies utilisés sur la page web. Les cookies sont de petites informations pouvant être enregistrées sur l'ordinateur de l'utilisateur lorsque le navigateur appelle un site web spécifique. Ils permettent au serveur d'envoyer des informations qui seront lues et mises à jour chaque fois que l'utilisateur revient sur le site.

Il existe différents types de cookies :

Cookies techniques : conformément à la loi, ils sont utilisés uniquement pour "effectuer la transmission d'une communication sur un réseau de communication électronique, ou dans la mesure strictement nécessaire au fournisseur d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur pour fournir ce service". Ils ne sont pas utilisés à d'autres fins et sont généralement installés directement par le responsable ou le gestionnaire du site web.

Cookies tiers : ils sont créés lorsqu'un tiers insère des cookies sur une page internet. Dans ce cas, l'utilisateur doit être informé que des cookies d'autres parties seront présents en plus de ceux du site web. Les cookies tiers typiques sont ceux des réseaux sociaux.

Cookies de profilage : ils visent à créer des profils relatifs à l'utilisateur et sont utilisés pour envoyer des messages publicitaires en ligne avec les préférences exprimées par l'utilisateur lors de la navigation sur le web. Selon l'autorité de protection des données, ceux-ci peuvent être :

  • de profilage publicitaire, c'est-à-dire collectant et traitant les données des utilisateurs à des fins publicitaires (par exemple pour les transmettre à des annonceurs) ;
  • de retargeting, consistant en des formes de publicité en ligne choisies en fonction des actions ou recherches précédentes de l'utilisateur sur le web (par exemple Google AdWords) ;
  • définis par les réseaux sociaux ;
  • de statistiques, gérés par des tiers (par exemple Google Analytics).

Le document doit également indiquer si le site permet des plugins de réseaux sociaux et le transfert éventuel des données vers des sociétés situées dans des pays hors de l'Union européenne.

Il est également important de mentionner les nouveaux droits des personnes concernées conformément à la nouvelle législation européenne, tels que le droit à l'effacement des données, la mise à jour de celles-ci ou l'opposition à un éventuel transfert de données.

Comment utiliser le document ?

À travers ce document, vous pouvez :

  • Indiquer le site internet pour lequel ce document est utilisé ;
  • Indiquer le responsable des données et le lieu où elles seront traitées ;
  • Indiquer la présence éventuelle de plusieurs responsables du traitement ;
  • Indiquer le responsable des données (DPO) ;
  • Indiquer les objectifs du traitement des données et le temps nécessaire au site pour les utiliser ;
  • Déterminer quels cookies seront utilisés par le site, s'il s'agit uniquement de cookies techniques, de cookies tiers et/ou de cookies de profilage ;
  • Indiquer si le site utilise des plugins de réseaux sociaux ;
  • Indiquer si l'utilisateur recevra des notifications concernant les mises à jour du site.

Une fois le document préparé, il doit être inclus sur la page web du site et mis à la disposition de l'utilisateur.

Références législatives

RÈGLEMENT (UE) 2016/679 du Parlement Européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données personnelles, ainsi qu'à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Décret législatif 181/18, portant "Dispositions pour l'adaptation de la législation nationale aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données personnelles, ainsi qu'à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données)" qui modifie le Décret législatif 196/2003, "Code en matière de protection des données personnelles".

Décision de l'Autorité de protection des données n° 229/2014, relative à "l'identification des modalités simplifiées pour l'information et l'acquisition du consentement pour l'utilisation des cookies".