POLITIQUE DE CONFIDENTIALITÉ

Cette politique de confidentialité a pour but de détailler comment nous recueillons, stockons, utilisons et partageons les données personnelles des utilisateurs de notre application d'organisation personnelle, Game of Life.

Cette politique de confidentialité fonctionne parallèlement aux conditions générales d’utilisation de notre application.

Lois applicables

Conformément au Règlement général sur la protection des données (RGPD), cette politique de confidentialité est conforme aux règlements suivants.
Les données à caractère personnel doivent être :

  1. Licéité, loyauté et transparence du traitement. Les données personnelles doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée ». Cela signifie que les données ne doivent pas avoir été collectées et ne doivent pas être traitées, sans que la personne concernée en ait connaissance. Ce principe nécessite de fournir aux personnes concernées plusieurs informations, sur la finalité du traitement, mais aussi sur leurs droits (voir plus bas).

  2. La limitation des finalités. Les données personnelles doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Le RGPD prévoit toutefois que des données personnelles peuvent être traitées « à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques », même si elles n’avaient pas été initialement été collectées à cette fin : un tel traitement ultérieur n’est pas incompatible avec la finalité initiale de la collecte. C’est ce qui permet aux chercheurs de consulter des fonds existants contenant des données personnelles, sans enfreindre ce principe de limitation des finalités.

  3. La minimisation des données. Seules doivent être collectées les données strictement nécessaires à la finalité du traitement.

  4. L’exactitude des données. Les données personnelles collectées doivent être « exactes et, si nécessaire, tenues à jour ». Elles doivent sinon être rectifiées ou effacées.

  5. La limitation de la conservation. Les données personnelles ne doivent pas être conservées au-delà de la durée nécessaire à la finalité du traitement.

  6. L’intégrité et la confidentialité des données. Enfin, et c’est la grande nouveauté du RGPD, le responsable du traitement doit prendre « les mesures techniques ou organisationnelles appropriées » pour garantir la sécurité des données personnelles, y compris la protection contre le traitement non autorisé ou la perte des données. Cette obligation de prendre les mesures techniques ou organisationnelles appropriées est la pierre angulaire du RGPD. Le responsable du traitement doit, pour garantir l’intégrité et la confidentialité des données personnelles traitées, vérifier que l’organisation (humaine) et les moyens techniques (souvent, informatiques) mis en œuvre sont suffisamment sûrs pour protéger les droits et libertés des personnes concernées. Cela nécessite de sensibiliser et de former les personnes chargées du traitement, de conclure si nécessaire des contrats avec plusieurs d’entre elles, de mettre en œuvre des moyens techniques robustes (authentification pour avoir accès, cryptage des données, etc.). Dans certains cas (les données sont sensibles, le traitement de données est mené à grande échelle…), le RGPD exige que soit également menée une étude d’impact approfondie. La CNIL a publié en octobre 2018 la liste des traitements nécessitant impérativement une analyse d’impact sur les données personnelles (AIPD). NB. Avant le 25 mai 2018, le responsable du traitement était simplement tenu d’informer la CNIL qu’il détenait un fichier de données personnelles. La procédure d’information à la CNIL était plus ou moins lourde selon le type de données traitées : dispense de déclaration, déclaration simplifiée, déclaration normale (voire demande d’autorisation à la CNIL pour certains traitements considérés particulièrement à risque). Depuis le RGPD, le responsable du traitement n’a plus à informer la CNIL ; il lui incombe en revanche de prendre les mesures appropriées de protection des données personnelles, pour être en conformité avec le RGPD. Le RGPD a remplacé la logique d’information à la CNIL par une logique de compliance.