privacy-policy

Par mkurman · zorai

Lorsque l'utilisateur doit rédiger, réviser ou mettre à jour une politique de confidentialité pour son produit, ou qu'il a besoin de comprendre ses obligations en matière de protection des données selon les différentes juridictions.

npx skills add https://github.com/mkurman/zorai --skill privacy-policy

Politique de confidentialité

Quand l'utiliser

Activez cette compétence quand un fondateur doit créer une politique de confidentialité pour un nouveau lancement de produit, mettre à jour une politique existante pour de nouvelles pratiques de données ou fonctionnalités, s'étendre vers une nouvelle juridiction (UE, Californie, etc.), ou évaluer si la gestion actuelle des données est correctement divulguée. Activez également quand l'utilisateur pose des questions sur le RGPD, la CCPA, la CPRA ou la conformité générale en matière de confidentialité des données.

Contexte requis

  • À partir du contexte startup : type de produit, plateforme (web/mobile/API), segments de clientèle cibles, marchés géographiques, modèle commercial, stack technologique.
  • À partir de l'utilisateur : nom du produit et URL, dénomination sociale et adresse de l'entreprise, email de contact pour les demandes de confidentialité, quelles données personnelles sont collectées et comment, quels services tiers traitent les données (analytics, processeurs de paiement, CRM, fournisseurs d'IA), juridictions applicables, si le produit cible les mineurs, et toute documentation de confidentialité existante.

Processus

  1. Rechercher le produit -- Visitez le site web du produit ou examinez la description du produit. Identifiez toutes les méthodes de collecte de données, intégrations tierces et fonctionnalités principales impliquant des données personnelles.
  2. Cartographier la collecte de données -- Catégorisez toutes les données en : directement fournies (formulaires, création de compte), automatiquement collectées (cookies, infos d'appareil, données d'utilisation, adresses IP), sources tierces et catégories spéciales/sensibles. Construisez un inventaire structuré des données.
  3. Identifier les lois applicables -- En fonction de la localisation des utilisateurs et du siège de l'entreprise, déterminez quels cadres de confidentialité s'appliquent : RGPD, CCPA/CPRA, lois de confidentialité des états, COPPA, réglementations spécifiques à l'industrie. Notez les obligations spécifiques par juridiction.
  4. Structurer la politique -- Organisez en utilisant le modèle à 15 sections ci-dessous. Écrivez en langage clair à un niveau de lecture de 8e année. Soyez spécifique sur les pratiques réelles -- dites « Nous collectons votre adresse email quand vous vous inscrivez » plutôt que « Nous pouvons traiter les identifiants ».
  5. Signaler les domaines nécessitant un examen juridique -- Marquez les sections nécessitant un examen par avocat avec la notation [EXAMEN JURIDIQUE REQUIS]. Celles-ci incluent les déterminations de base juridique, les mécanismes de transfert international et les droits spécifiques à la juridiction.
  6. Fournir le contexte de mise en œuvre -- Expliquez pourquoi chaque section est importante, quelles décisions l'entreprise doit prendre et quelles considérations de conformité s'appliquent. Incluez une checklist pré-publication.
  7. Générer un résumé de conformité -- Produisez un document séparé avec un tableau d'inventaire des données, une matrice d'applicabilité des juridictions, des signaux de risque et une checklist de mise en œuvre.

Format de sortie

Livrable à trois parties :

Partie 1 : Résumé de référence rapide

Détails du produit, types de données collectées, juridictions applicables, résumé des droits des utilisateurs, aperçu de la rétention et informations de contact.

Partie 2 : Document politique complet (15 sections)

  1. Préambule -- Qui vous êtes, ce que couvre cette politique, date d'entrée en vigueur, méthodes de contact.
  2. Informations que nous collectons -- Catégories : informations personnelles, données d'utilisation, informations d'appareil, localisation, informations de paiement, communications, données sensibles.
  3. Comment nous collectons les informations -- Méthodes : saisie directe, suivi automatique, tiers.
  4. Comment nous utilisons les informations -- Objectifs : fourniture de service, assistance, améliorations, analytics, marketing, sécurité, conformité juridique.
  5. Base juridique du traitement -- Consentement, exécution de contrat, obligation légale, intérêts vitaux, intérêts légitimes (axé sur le RGPD).
  6. Partage des données et tiers -- Prestataires de services, partenaires, autorités juridiques, avec des détails sur qui et pourquoi.
  7. Transfert international de données -- Mécanismes de transfert transfrontalier (Clauses Contractuelles Type, décisions d'adéquation), localisations de stockage.
  8. Rétention des données -- Délais spécifiques pour les données de compte, les journaux, le contenu supprimé.
  9. Droits des utilisateurs -- Accès, suppression, correction, restriction du traitement, portabilité, opt-out, procédures de plainte -- organisés par juridiction.
  10. Cookies et suivi -- Outils utilisés, objectifs, options de gestion, exigences de consentement.
  11. Sécurité -- Chiffrement, contrôles d'accès, audits, réponse aux incidents, limitations.
  12. Confidentialité des enfants -- Consentement parental, filtres d'âge, conformité COPPA/UK Children's Code.
  13. Contact et demandes de droits -- Email de confidentialité, adresse, délais de réponse, infos DPD.
  14. Modifications de la politique -- Période de notification, méthodes de notification, options d'opt-out pour les utilisateurs.
  15. Dispositions supplémentaires -- Divulgation de vente de données, clauses de non-responsabilité pour les liens tiers, loi applicable, date d'entrée en vigueur.

Partie 3 : Notes de conformité

  • Sections signalées pour examen juridique avec justification
  • Considérations spécifiques à la juridiction
  • Checklist pré-publication (voir ci-dessous)
  • Modifications recommandées par type de produit

Cadres et bonnes pratiques

Exigences fondamentales du RGPD

  • Base juridique requise pour chaque activité de traitement (Art. 6).
  • Étude d'impact relative à la protection des données pour le traitement à haut risque (Art. 35).
  • Notification de violation dans les 72 heures à l'autorité de contrôle (Art. 33).
  • Contrats de traitement des données avec tous les sous-traitants (Art. 28).
  • Droit à l'effacement avec exceptions définies (Art. 17).
  • Protection des données dès la conception et par défaut (Art. 25).

Exigences fondamentales CCPA/CPRA

  • Lien « Ne pas vendre ou partager mes informations personnelles » obligatoire si applicable.
  • Droit de savoir, supprimer, corriger et opt-out de la vente/partage.
  • Lookback de 12 mois pour les divulgations de collecte de données.
  • Informations personnelles sensibles : droit de limiter l'utilisation (ajout CPRA).
  • Les distinctions prestataire de services vs. contractant vs. tiers importent.

Principes de langage clair

  • Écrivez à un niveau de lecture de 8e année avec des phrases courtes.
  • Utilisez des exemples concrets au lieu de catégories abstraites.
  • Évitez « peut » quand vous voulez dire « fait ». Soyez spécifique sur les pratiques réelles.
  • La politique doit correspondre à ce que votre produit fait réellement -- pas de sur-divulgation et pas de sous-divulgation.

Checklist pré-publication

  • [ ] Examen par avocat complété
  • [ ] La politique correspond aux pratiques réelles de données
  • [ ] Les processus de demande de droits de confidentialité sont accessibles et fonctionnels
  • [ ] Les mesures de sécurité technique sont mises en œuvre
  • [ ] Contrats de traitement des données en place avec tous les tiers
  • [ ] Base juridique documentée pour chaque activité de traitement
  • [ ] Mécanisme de consentement aux cookies implémenté (utilisateurs UE)
  • [ ] Système de notification utilisateur pour les modifications matérielles de la politique

Pièges courants des startups

  • Copier la politique de confidentialité d'une autre entreprise (leurs pratiques de données ne sont pas les vôtres).
  • Manquer les SDK d'analytics et de publicité dans les divulgations (Google Analytics, Mixpanel, Facebook Pixel collectent tous des données personnelles).
  • Aucun mécanisme pour réellement exécuter les demandes de suppression dans le code.
  • Supposer que B2B signifie pas d'obligations de confidentialité (vous traitez quand même les données des utilisateurs individuels).
  • Lister les catégories de données que vous ne collectez pas réellement (la sur-divulgation invite au contrôle).

Compétences associées

  • terms-of-service -- Rédiger en même temps que la politique de confidentialité ; elles devraient se renvoyer mutuellement et utiliser des définitions cohérentes.
  • soc2-prep -- Critères des services de confiance SOC 2 pour la confidentialité chevauchent directement les engagements de politique de confidentialité.
  • security-review -- Les mesures de sécurité décrites dans la politique de confidentialité doivent refléter les contrôles techniques réels.

Exemples

Exemple 1 : Nouveau produit SaaS se lançant aux US et en UE

Utilisateur : « Nous lançons notre SaaS de gestion de projet le mois prochain avec des utilisateurs des US et d'Europe. Nous utilisons Stripe, Mixpanel et AWS. »

Bonne sortie : Un livrable à trois parties. Le tableau d'inventaire des données mappant chaque catégorie de données à la méthode de collecte, l'objectif, la base juridique, les tiers et la rétention. Analyse de juridiction identifiant l'applicabilité du RGPD et le suivi du seuil CCPA. Signaux rouges pour la collecte d'IP par Mixpanel nécessitant divulgation et DPA, et mécanisme de consentement aux cookies manquant pour les utilisateurs UE.

Exemple 2 : Mise à jour de la politique après ajout de fonctionnalités IA

Utilisateur : « Nous avons ajouté un assistant IA qui traite les messages des clients. Devons-nous mettre à jour notre politique de confidentialité ? »

Bonne sortie : Identifie le nouveau traitement de données (contenu des messages traité par les modèles IA), le nouveau tiers (fournisseur IA en tant que sous-traitant), la nouvelle analyse de base juridique requise et la considération Art. 22 RGPD pour la prise de décision automatisée. Fournit les sections spécifiques de la politique qui doivent être mises à jour avec un langage de brouillon.

Disclaimer : Cette compétence génère des brouillons de politiques de confidentialité et des conseils de conformité à des fins éducatives et de planification uniquement. Cela ne constitue pas un avis juridique. Faites toujours examiner votre politique de confidentialité finale par un avocat qualifié licencié dans vos juridictions pertinentes avant publication. La non-conformité réglementaire peut entraîner des amendes importantes (jusqu'à 4 % du chiffre d'affaires annuel mondial en vertu du RGPD).

Skills similaires

build-dashboard
anthropics / knowledge-work-plugins

Créer un dashboard HTML interactif autonome avec graphiques, filtres et KPIs.

19 276
omni-admin
exploreomni / omni-agent-skills

Administrer une instance Omni via connexions, utilisateurs, groupes, permissions et planifications.

17
terms-of-service
mkurman / zorai

Rédiger des conditions d'utilisation complètes et adaptées au type de produit SaaS.

309
compliance-check
anthropics / knowledge-work-plugins

Évaluer la conformité réglementaire d'une initiative business selon les lois applicables.

19 276
zoom-meeting-sdk-web
anthropics / knowledge-work-plugins

Intégrer des réunions Zoom dans une application web via Client View ou Component View.

19 276