A-TEC
AEA Airguns
AKAH
ASG
Aimpoint
Alpen Optics
Alpha Industries
Anschütz
Antonio Zoli
Ares
B&T Schalldämpfer
Baikal
Ballistol
Balzer
Barbour
Barnes
Barnett
Benelli
Beretta
Bergara
Blaser
Brandit
Bremer Tresor
Brenneke
Lorsque des données sont mal traitées lors d'une médiation sur une plateforme en ligne, cela entraîne non seulement des conflits, mais aussi des problèmes liés à la RGPD. Pour moi, le cœur du sujet est très simple : les données de médiation ne doivent être utilisées que pour le cas de conflit, l'accès doit être strictement limité, et les données doivent être supprimées ou conservées selon des délais fixes.
Je retiens surtout ces points de l'article :
- La RGPD, BDSG et la loi sur la médiation se complètent
- La confidentialité et la protection des données ne sont pas la même chose
- La plateforme, le médiateur et le prestataire de services informatiques ont des rôles différents
- Chaque phase nécessite une base légale propre
- Les droits d'accès et de suppression s'appliquent, mais pas sans limites
- Les erreurs typiques sont trop d'accès, des délais de suppression manquants et des transmissions non sécurisées
En résumé : si je veux mettre en place une médiation sur une plateforme comme Gunfinder de manière conforme à la loi, j'ai besoin de responsabilités claires, peu de données, dossiers de cas séparés, communication chiffrée et d'un plan de suppression avec des délais de 6 ou 10 ans, selon le document.
Mon bref constat : la protection des données dans la médiation n'est pas un point additionnel. Elle doit faire partie intégrante des formulaires, des processus, des contrats et des systèmes dès le départ.
RGPD : Les 5 questions les plus importantes des utilisateurs concernant le règlement général sur la protection des données
sbb-itb-1cfd233
Cadre juridique : RGPD, BDSG et loi sur la médiation
Après avoir examiné la confidentialité et la protection des données séparément, il s'agit maintenant des règles juridiques qui les sous-tendent. Pour les procédures de médiation en Allemagne, trois sources de droit sont particulièrement importantes. Elles se complètent, mais chacune couvre un aspect différent.
| Loi | Champ d'application | Obligations principales | Pertinence pour la médiation |
|---|---|---|---|
| RGPD | Tous les responsables au sein de l'UE | Principes selon l'art. 5, base légale (art. 6), amendes (art. 83) | Base pour le traitement des données dans la procédure |
| BDSG | Organismes publics et privés en Allemagne | Obligation de DPD (§ 38), données des employés (§ 26), restriction d'accès (§ 29) | Peut limiter les droits des personnes concernées en cas d'intérêts de confidentialité |
| MédiationG | Médiateurs et leurs assistants | Confidentialité (§ 4) | Protège le contenu de la procédure au-delà du simple traitement des données |
Pour les cas de médiation, trois points sont particulièrement importants : la finalité, une base légale claire et des rôles clairement définis. Dans le cas de Gunfinder, cela concerne principalement les données des utilisateurs, les données de transaction et les données de communication issues du litige.
Principes du RGPD concernant le traitement des données de médiation
L'article 5 du RGPD énonce les règles fondamentales qui s'appliquent à tout traitement de données personnelles – y compris dans les procédures de médiation [2]. C'est ici que ces règles sont plus que de simples formalités. Elles déterminent de manière pratique ce qui peut être fait avec les données de cas et ce qui ne peut pas l'être.
La finalité signifie que les données collectées pour la résolution de conflits ne peuvent pas soudainement être utilisées à d'autres fins. Un exemple typique serait l'évaluation pour des analyses marketing. Cela ne peut pas se faire simplement [2].
La minimisation des données signifie que les formulaires ne doivent demander que ce qui est nécessaire pour le cas concret. Tout ce qui pourrait "peut-être être utile" n'appartient pas automatiquement à la collecte de données. C'est précisément ici que la bonne pratique se distingue de la collecte de données inutile.
Il y a aussi la limitation de la conservation. Les données de cas doivent être supprimées dès que l'objectif est atteint, sauf si des délais de conservation fiscaux s'appliquent [2]. Pour la communication dans la procédure, le principe d'intégrité et de confidentialité s'applique également. En d'autres termes : la transmission doit être techniquement sécurisée, par exemple par TLS/SSL ou un chiffrement de bout en bout [2][8].
Le traitement repose généralement sur l'article 6, paragraphe 1, lettre b du RGPD. Pour certains canaux de communication, un consentement supplémentaire peut être nécessaire [2].
Comment ces règles sont appliquées dans les différentes phases de la procédure sera montré dans la partie suivante.
Comment le BDSG et la loi sur la médiation ajoutent des particularités allemandes
Le RGPD est le cadre au niveau de l'UE. Le BDSG le complète pour l'Allemagne. Pour la pratique, l'article 38 du BDSG est particulièrement important : quiconque emploie en règle générale au moins 20 personnes de manière permanente avec un traitement automatisé des données doit désigner un délégué à la protection des données [2][7]. Dès que ce seuil est atteint, l'obligation s'applique.
Le § 29 BDSG joue également un rôle important dans le domaine de la médiation. La disposition peut limiter le droit d'accès selon l'Art. 15 DSGVO, si la divulgation porte atteinte aux intérêts de confidentialité d'autres parties. En d'autres termes : une partie ne peut pas exiger sans raison toutes les informations concernant l'autre partie si celles-ci sont protégées par la confidentialité [2][4].
À cela s'ajoute le § 4 MediationsG. Il oblige les médiateurs et les parties à la confidentialité sur tout ce qui leur est connu dans le cadre de la médiation [5]. Cela va au-delà du simple traitement des données. Ne sont pas seulement protégées les données stockées, mais aussi les mots prononcés, les impressions et la communication non verbale [8][4].
Un point important à noter, souvent négligé dans la pratique : le médiateur a une obligation de confidentialité, mais pas de droit de confidentialité propre. Si les parties le déchargent de la confidentialité, il peut être contraint de témoigner [4].
Qui est responsable des données : plateforme, médiateur et prestataire de services
La responsabilité en matière de protection des données ne se situe pas toujours au même endroit dans le cadre de la médiation. Selon la phase, cela peut changer.
Gunfinder est d'abord responsable en tant que plateforme des données de compte utilisateur et de transaction ainsi que de la réception des litiges [2]. Le médiateur traite les données de cas pour la conduite de la procédure en tant que responsable propre [2].
La situation est différente pour les prestataires de services informatiques, comme les fournisseurs de cloud ou de vidéoconférence. Ils sont des sous-traitants selon l'Art. 28 DSGVO. Cela signifie : ils ne peuvent traiter les données que sur instruction du responsable. Pour cela, un contrat de sous-traitance écrit est nécessaire [2][8].
Le respect de ces règles est surveillé par les autorités de protection des données des Länder allemands. Les médiateurs sont également soumis à ce contrôle [2].
Confidentialité et protection des données dans la médiation
Obligations de confidentialité pour les médiateurs et les parties
Quiconque accompagne une procédure en tant que médiateur ou personne impliquée est soumis à la confidentialité. Cela s'applique également aux employés d'une plateforme lorsqu'ils ont accès à un dossier. Dans de tels cas, la confidentialité doit être stipulée contractuellement.
Pour les parties elles-mêmes, cette obligation ne s'applique pas automatiquement. Elle doit être expressément convenue, par exemple dans un accord de médiation ou dans un accord de confidentialité séparé [4][3]. C'est pourquoi une clause appropriée devrait figurer dans chaque accord de médiation.
Les déclarations faites lors de la médiation ne peuvent généralement pas être utilisées dans une procédure ultérieure sans autre forme de procès [3]. La protection des données et la confidentialité se chevauchent ici, mais ne signifient pas la même chose.
Il en résulte des directives claires concernant l'accès, le partage et le stockage. Il ne suffit donc pas de parler simplement de confidentialité. La sécurisation des données de dossier doit également être correctement réglementée.
Mesures de protection techniques et organisationnelles pour les données de dossier numériques
Pour que la confidentialité ne soit pas qu'une question de papier, des mesures de protection techniques et organisationnelles sont nécessaires.
Les documents de dossier ne devraient être accessibles qu'au médiateur responsable et aux parties directement impliquées [2]. En pratique, cela se fait généralement par des droits d'accès basés sur les rôles : chaque rôle ne voit que les données nécessaires pour le dossier concerné. De plus, il y a l'obligation de séparation. Les données de dossier doivent être stockées séparément des données générales du marché, de manière logique ou physique, afin que les employés sans lien avec le dossier n'aient pas accès [2].
Pour des contenus particulièrement sensibles, le chiffrement de bout en bout est judicieux, par exemple avec S/MIME ou PGP [2].
Du côté organisationnel, des règles claires sont également nécessaires. Cela inclut principalement :
- un registre des traitements conformément à l'art. 30 RGPD
- des délais de suppression fixes
- le respect des délais de conservation légaux, par exemple 10 ans selon § 147 AO en droit fiscal ou 6 ans pour les médiateurs avocats selon § 50 BRAO [1][2]
Ainsi, la confidentialité devient plus qu'une simple promesse dans le contrat. Elle est également pratiquement sécurisée dans le traitement quotidien des données de cas numériques.
Traitement des données conforme à la loi sur Gunfinder : de l'entrée du litige à la clôture du dossier
Médiation conforme au RGPD : Phases de données & bases juridiques en un coup d'œil
Collecte de données et bases juridiques à chaque phase de médiation
Après les mesures de protection, il s'agit maintenant du déroulement pratique du traitement des cas sur Gunfinder.
Il est important de noter : Chaque phase ne traite pas les mêmes données. Et c'est précisément pour cela que chaque étape a besoin de sa propre base juridique.
| Phase de médiation | Données traitées | Base juridique (Art. 6 RGPD) | Mesures de protection recommandées |
|---|---|---|---|
| Entrée du litige | Nom, coordonnées, ID Gunfinder, ID de transaction | Art. 6 par. 1 lit. b RGPD (précontractuel) | Formulaires d'entrée cryptés ; accès uniquement pour l'équipe d'entrée ; suppression après une courte période si aucune procédure ne suit [2] |
| Vérification d'identité | Copie de pièce d'identité masquée, preuve de propriété | Art. 6 par. 1 lit. c RGPD | Suppression de la copie de la pièce d'identité après vérification ; accès uniquement pour les personnes responsables |
| Examen des preuves | Historique de chat, photos d'articles, preuves de paiement, expertises | Art. 6 par. 1 lit. b RGPD | Masquage des données personnelles non pertinentes ; dossier de cas numérique sécurisé |
| Sessions | Témoignages, enregistrements vidéo/audio, notes du médiateur | Art. 6 par. 1 lit. b RGPD ; pour les enregistrements, en plus Art. 6 par. 1 lit. a RGPD | Consentement avant les enregistrements ; stockage séparé des notes du médiateur |
| Accord et clôture | Texte de l'accord, coordonnées bancaires pour les remboursements, signatures | Art. 6 par. 1 lit. b RGPD | Signatures numériques ; accès restreint à l'accord final |
| Conservation/Archivage | Factures, accords de clôture, communications fiscales | Art. 6 par. 1 lit. c RGPD | Conservation de 10 ans pour les documents fiscaux [1][2]; délais de suppression automatisés |
La logique derrière cela est assez claire : lors de l'entrée du litige, des données de base suffisent généralement pour attribuer le dossier. Plus tard, lors de la vérification d'identité ou de l'examen des preuves, cela devient beaucoup plus sensible. Au plus tard lors des sessions, des enregistrements et des documents de clôture, vous devriez donc bien séparer qui peut voir quoi et combien de temps les données seront nécessaires.
Droits des personnes concernées et confidentialité de la médiation
Les droits des personnes concernées s'appliquent également dans la procédure de médiation. Ils ne restent donc pas simplement inactifs parce qu'un litige est en cours.
Cependant, il existe des limites. Si une demande d'information ou de suppression mettait en danger la confidentialité de la médiation ou la protection de la procédure, ces droits peuvent être suspendus au cas par cas. L'article 29 de la BDSG peut également restreindre le droit à l'information. Les notes du médiateur doivent donc être conservées séparément dans le dossier ; elles ne sont généralement pas soumises à l'obligation d'information.
C'est précisément ici que l'importance d'une structure de dossier claire se manifeste. Si tout se retrouve dans un seul dossier, cela devient rapidement confus lors des demandes d'information ou des demandes de suppression.
Cas transfrontaliers et délais de conservation
Après la conclusion et l'archivage, quelques points délicats se posent souvent, surtout dans les cas ayant un lien avec l'étranger.
Au sein de l'UE et de l'EEE, le RGPD s'applique directement. Pour la Suisse, la décision d'adéquation s'applique. Pour d'autres pays tiers, vous avez besoin de clauses contractuelles types selon l'article 46 du RGPD [1][2].
En ce qui concerne les délais, la situation est également plus claire qu'elle n'y paraît au premier abord : la loi sur la médiation elle-même ne mentionne pas de délais fixes. Pour les documents pertinents sur le plan fiscal, des délais de 10 ans s'appliquent, et pour les médiateurs avocats, 6 ans supplémentaires [1][2]. Un calendrier de suppression automatisé est presque indispensable ici. Il aide à documenter les délais de manière claire et à initier les suppressions à temps.
Les plus grands risques ne résident souvent pas à l'entrée d'un cas, mais plus tard dans la vie quotidienne :
- droits d'accès trop larges
- suppression tardive
- documentation incomplète
C'est précisément là que se décide si le traitement des données sur Gunfinder se déroule correctement au quotidien ou si une petite erreur devient plus tard un problème sérieux de protection des données.
Gestion des risques et conclusion : maintenir la procédure de médiation conforme et fiable
Une fois que les étapes du processus sont établies, il devient rapidement évident dans la pratique ce qui est important : la gestion des risques fait la différence en matière de qualité.
Risques de conformité typiques dans les dossiers de médiation et la communication
Selon la logique du processus du paragraphe précédent, nous abordons maintenant le côté délicat de la pratique. En d'autres termes : Où cela tourne-t-il souvent mal dans la vie quotidienne ?
| Scénario de risque | Conséquence possible | Mesure corrective |
|---|---|---|
| Transmission non chiffrée | Des données sensibles peuvent être interceptées | Transmission et stockage chiffrés |
| Conservation des données trop longue | Violation de la limitation de stockage | Concept de suppression documenté avec des délais fixes |
| Droits d'accès internes trop larges | Violation de la confidentialité selon l'article 4 de la loi sur la médiation | Contrôles d'accès basés sur les rôles ; séparation physique et numérique des données |
| Utilisation des services d'IA cloud publics | Les données de cas confidentielles ne doivent pas être intégrées dans des outils d'IA publics | Systèmes d'IA gérés localement ou sécurisés ; consentement explicite des parties [6] |
| Violation de données (par exemple, appareil perdu) | Obligation de signalement ; amendes selon l'art. 83 RGPD ; dommages à la réputation | Chiffrement complet des disques ; suppression à distance (Remote Wipe) ; workflow de signalement de 72 heures [2] |
| Divulgation de contenus de médiation devant le tribunal | Le contenu de la médiation est utilisé comme preuve | Restriction contractuelle d'utilisation dans l'accord de médiation [4] |
Un point est souvent négligé : § 4 MediationsG lie le médiateur et les personnes auxiliaires. Pour les parties elles-mêmes, cela ne suffit pas automatiquement. Il faut une clause de confidentialité propre.
Documentation, formation et Privacy by Design
De ces risques découlent trois leviers : Documentation, formation et limitation technique.
Le registre des traitements selon l'art. 30 RGPD précise l'objectif, la phase et le délai de suppression. Ainsi, tout ne reste pas dans la tête ou dans des e-mails individuels, mais est proprement documenté. Cela est particulièrement important dans les procédures de médiation, car les flux de données peuvent sinon rapidement devenir autonomes.
À cela s'ajoutent des formations régulières pour les employés et les médiateurs. Cela peut sembler ennuyeux au premier abord, mais c'est souvent le point où les erreurs sont évitées dans la vie quotidienne. En effet, de nombreux problèmes ne proviennent pas d'une mauvaise intention, mais de la routine, de la pression temporelle ou d'un clic imprudent.
Pour les outils d'IA, une ligne claire s'applique : ils fonctionnent uniquement localement ou dans des systèmes sécurisés. Les données de cas confidentielles n'appartiennent pas à des services publics. Et lorsqu'un incident de protection des données se produit, le signalement doit être effectué dans les 72 heures.
Messages clés
Une médiation conforme au droit nécessite des responsabilités claires, le moins de données possible et des délais de suppression propres. Pour Gunfinder en tant que plateforme, cela signifie : bases juridiques claires pour chaque phase de traitement, droits d'accès strictement limités et un concept de suppression documenté.
FAQs
Quand ai-je besoin d'un consentement pour les données de médiation ?
Un consentement est nécessaire lorsque le traitement des données personnelles dans la médiation ne repose pas déjà sur un autre fondement juridique.
C'est surtout le cas pour les données sensibles, par exemple concernant la santé ou les opinions politiques. Même lorsque vous souhaitez utiliser des données à des fins qui n'ont pas été mentionnées dans l'information sur la protection des données d'origine, un consentement est nécessaire.
Qui est responsable sur le plan de la protection des données dans la médiation ?
La personne ou l'entité responsable au sens du RGPD est celle qui décide des objectifs et des moyens du traitement des données. Dans la médiation, ce sont les médiateurs.
Cela signifie concrètement : Vous êtes responsable de la gestion des données. Vous devez respecter les principes de protection des données, informer sur le traitement, préserver les droits des personnes concernées et mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données.
Quelles données de médiation dois-je conserver et pendant combien de temps ?
Les données personnelles ne peuvent être conservées que tant qu'il existe une base légale ou que les données sont encore nécessaires à la finalité concernée. Il n'existe pas de délai standard fixe.
Pour les avocats, la durée de conservation des dossiers selon l'article 50, paragraphe 2, BRAO est de cinq ans. Des délais plus longs peuvent cependant découler de l'article 147 AO, de litiges en cours ou de l'article 3, paragraphe 3, de la loi sur la médiation.
Dès que le but n'est plus valable, les données doivent être supprimées.
Enchère
