Recenser. Réutiliser. Valoriser.



Clauses réutilisation des données personnelles par les tiers

Variantes

2.0 pas de communication à des tiers
2.1 Engagement sur la viralité des conditions
2.2 Engagement sur la viralité des conditions uniquement pour les prestataires de services
2.3 pas d'engagement sur la viralité des conditions , soumission à des obligations contractuelles spécifiques
2.4 pas d'engagement sur la viralité

Le socle légal commun impose en principe cette viralité des conditions : il faut relever que les entreprises inscrites sur la liste du Safe Harbor s’engagent à en faire respecter ces règles « légales » aux tiers. Mais il s’agit ici d’aller plus loin : s’engagent-elles pour autant à faire respecter aux tiers les conditions de réutilisation des données personnelles prévues dans leurs CGU ? Ou à l’inverse, les données transmises sont-elles soumises à un régime d’opt-out vis-à-vis des tiers ?

En cas de prévision contractuelle de l’hypothèse de retransmission des données à des tiers, il importe d’imposer une viralité des conditions à l’origine de la collecte, notamment pour donner pleine mesure à la notion de "privacyleft".

Ainsi TomTom , Amazon , Google, PayPal, Twitter et Skype ( pour le partage avec Microsoft)  imposent le respect de leurs chartes de confidentialité aux ‘’tiers’’ destinataires des données des utilisateurs ( V 2.1). Comuto rappelle les dispositions de la norme simplifiée n° 48 applicable à l’accès aux données personnelles par ses salariés et ses prestataires de services.

D’autres comme AirbnB  ou Booking exonèrent explicitement les sociétés tierces ayant accès aux données pour la réalisation de services au respect de la politique de confidentialité  pour les soumettre à ‘’des obligations contractuelles’’ ( V 2.3) , des ‘’exigences raisonnables’’ ( CGU Instagram) ou ’’ferons leur possible pour s’assurer d’un niveau de sécurité adapté’’( CGU Blizzard) ou rappellent simplement à l’utilisateur ( comme Snapchat , Steam et Viber )  que les tiers qui interagissent à travers les services disposent de leurs propres politiques de confidentialité ( V 2.3).

Certains comme Spotify évoque même l’applicabilité de la  politique de confidentialité de Facebook pour l’utilisation de services intégrés ( comme facebook Connect).

Groupon envisage la viralité pour les prestataires de service ( V. 2.2) mais en dispense les partenaires commerciaux ( V 2.3, sauf pour la communication des données personnelles), ce qui constitue également la politique de Rue du commerce ou de Canal +.

Certaines CGU, sans prévoir une viralité de leur politique de confidentitialité, prévoient néanmoins une forme de viralité du niveau de protection minimale exigée par la CNIL.   ( ex CGU Allo Resto, V 2.3: qui prévoient ‘’d’être attentifs à la mise en oeuvre des règles de protection des données telles qu’elles sont arrêtées par la CNIL’’). Apple se limite aux règles locales applicables… lorsqu’elles existent. ( V 2.4).