Voilà encore un point extrêmement important du RGPD : il s’agit en effet de l’ensemble des règles à respecter et des droits des personnes intéressées par le traitement de données personnelles.
Le Droit à l’Information
Transparence et loyauté
Le responsable de traitement doit aux personnes transparence et loyauté dans le traitement de leurs données, en particulier :
- informer des raisons de la collecte des données (que cette collecte soit directe ou indirecte, par exemple par l’acquisition de ces données auprès de tiers),
- expliquer comment ces données seront stockées et exploitées,
- garantir aux personnes concernées la maîtrise de leurs données (droit d’accès, de rectification, de suppression notamment).
À quel moment ?
Les personnes concernées par un traitement de données doivent être informées avant la collecte des données (en cas de collecte directe) ou dans un délai maximal d’1 mois (en cas de collecte indirecte).
Enfin, tout changement dans le traitement ou dans les conditions d’exploitation, de stockage, d’accès (etc…) doit faire l’objet d’une nouvelle information aux personnes concernées.
Et sous quelle forme ?
Le RGPD insiste sur la nécessité de diffuser ces informations « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ».
Si le volume d’informations est important, prévoyez un accès en deux temps : un texte qui résume l’essentiel des éléments à connaître et un lien vers l’information complète.
Veillez également à ce que les personnes n’aient pas à chercher ces informations. Elles doivent être facilement accessibles.
Sur un site internet
Placez un texte court à proximité de chaque outil de collecte de données personnelles (formulaire de contact, formulaire d’abonnement à la newsletter…) répondant aux questions Qui collecte / Pourquoi / Comment exercer ses droits, et insérez dans ce texte un lien vers votre page de Politique de confidentialité qui regroupera toutes les informations qu’impose le RGPD.
Cette page de Politique de confidentialité doit être facilement localisable sur votre site et son lien doit être présent sur toutes les pages (par exemple dans le menu de navigation ou dans la zone de pied de page.
Quelles sont les informations à fournir en cas de collecte directe ?
De façon systématique :
- Identité et coordonnées du responsable du traitement,
- Finalité et base juridique du traitement,
- Caractère obligatoire ou facultatif de la collecte ainsi que le fondement de l’exigence de la fourniture de ces données et les conséquences en cas de non-fourniture,
- Liste des destinataires des données,
- Durée de conservation en précisant les critères du calcul de cette durée,
- Droits des personnes sur les données traitées, et comment il peut exercer ces droits,
- Droit de réclamation auprès d’une autorité de contrôle.
Et selon les cas :
- Coordonnées du Délégué à la Protection des Données (DPO),
- Intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (si la base juridique est l’intérêt légitime),
- Existence du droit de retirer son consentement (si la base légale est le consentement),
- Existence d’un transfert des données hors Union Européenne et les moyens d’accéder aux documents l’autorisant (exemple : clauses contractuelles types de la Commission Européenne),
- Existence d’une prise de décision automatisée, y compris le profilage, et des informations utiles concernant la logique sous-jacente, l’importance du traitement et les conséquences pour la personne,
- Toute information pertinente concernant les projets et les traitements ultérieurs pour une finalité différente.
Quelles sont les informations à fournir en cas de collecte indirecte ?
- Les informations citées précédemment,
- Les catégories de données traitées,
- La source d’où proviennent les données.
Y a-t-il des exceptions au droit à l’information ?
Le RGPD prévoit quelques exceptions qui permettent au responsable du traitement de ne pas fournir les informations sur le traitement des données personnelles, notamment :
- Lorsque la personne concernée par le traitement des DP a déjà été informée (et le responsable du traitement doit ^pouvoir en apporter la preuve),
- Lorsque la fourniture de ces informations est impossible ou qu’elle nécessite des moyens disproportionnés,
- Lorsque la fourniture de ces informations compromettrait gravement la réalisation des objectifs du traitement,
- En cas de nécessité de confidentialité des données.
Le site de la CNIL fournit des exemples de mentions d’informations : https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation
CE QUE DIT LA LOI :
RGPD – Chapitre 3 – Article 12
Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.