Quand les mentions d'information vie privée s'appliquent et quoi faire ensuite

Les mentions d'information vie privée s'appliquent lorsqu'une entreprise SaaS collecte des données personnelles directement, les reçoit d'une autre source ou modifie un workflow existant d'une manière qui change aussi ce qu'il faut expliquer aux personnes concernées. Le bon réflexe n'est donc pas de vérifier s'il existe déjà une politique quelque part. Il faut identifier l'activité exacte, déterminer si l'analyse relève de l'article 13 ou 14 GDPR, nommer le responsable de la mise à jour, choisir l'endroit où l'information doit apparaître et conserver des preuves montrant que le texte publié correspond au traitement réel.

Quand cela s'applique

Cela couvre d'abord la collecte directe via inscription, demande de démo, support, événement ou télémétrie liée à un compte identifiable. Cela couvre ensuite la collecte indirecte via enrichissement de leads, import de contacts, données d'employés fournies par un client ou fichiers de due diligence. Enfin, cela couvre les changements matériels d'un workflow déjà existant, par exemple de nouveaux champs, de nouveaux fournisseurs, de nouveaux destinataires ou une nouvelle logique de suivi.

Quoi faire ensuite

1. Définir précisément le workflow et la source

Décrivez l'activité avec des mots concrets et précisez si les données viennent directement de la personne ou d'une autre source.

2. Vérifier les faits que la notice doit refléter

Confirmez:

• les catégories de données concernées;
• la finalité réelle;
• la base légale;
• les destinataires;
• l'existence éventuelle de transferts, de profilage ou de décisions automatisées;
• la logique de conservation.

3. Choisir le bon mode de diffusion

La réponse peut prendre la forme d'une mise à jour de la notice centrale, d'un texte sur formulaire, d'un message just-in-time dans le produit, d'un langage d'onboarding ou d'une combinaison. Le point clé est que la personne reçoive l'information là où le traitement devient concret.

4. Attribuer responsable et déclencheur

Définissez qui remonte les changements, qui décide qu'une mise à jour est nécessaire, qui approuve le texte, qui le publie et qui conserve les preuves.

5. Conserver les preuves utiles

Les éléments utiles sont souvent:

• le texte en ligne;
• l'historique des versions;
• des captures d'écran;
• les dates d'approbation et de publication;
• les notes d'analyse sur l'article 13 ou 14.

Erreurs fréquentes

Les équipes échouent souvent lorsqu'elles réduisent le sujet à un nettoyage de wording, lorsqu'elles supposent qu'une seule page web couvre tous les contextes, lorsqu'elles oublient la collecte indirecte ou lorsqu'elles ne révisent la notice qu'à date fixe plutôt qu'après un changement matériel. Sans preuve de ce qui a été publié et quand, le contrôle reste fragile.

Exemples concrets

Un nouveau formulaire de démo avec des champs supplémentaires exige d'aligner le texte du formulaire, l'usage CRM et la notice centrale. Une liste de leads importée fait souvent apparaître une question d'article 14. Un onboarding enterprise avec des données d'employés impose de clarifier les rôles et la logique de transparence. Une nouvelle télémétrie identifiable oblige à revoir finalité, destinataires, conservation et visibilité.

Conclusion pratique

Les mentions d'information vie privée s'appliquent dès que les personnes ont besoin d'une information claire, exacte et fournie au bon moment sur le traitement de leurs données personnelles. La suite est opérationnelle: cadrer l'activité, vérifier les faits, choisir le canal, attribuer l'ownership et conserver les preuves. Ainsi, la transparence devient une partie de la préparation au lancement et à l'audit, plutôt qu'une correction juridique de dernière minute.