Informer les personnes
27 janvier 2020
Le principe de transparence du RGPD exige que toute information ou communication relative au traitement de données à caractère personnel soit concise, transparente, compréhensible et aisément accessible en des termes simples et clairs.
Qui informer et quand le faire ?
- Il faut informer les personnes concernées :
- aussi bien en cas de collecte directe des données c'est-à-dire lorsque des données sont recueillies directement auprès des personnes (exemples : formulaire, achat en ligne, souscription d’un contrat, ouverture d’un compte bancaire) ou lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes (exemples : analyse de la navigation sur Internet, géolocalisation et Wi-Fi analytics/tracking pour la mesure d’audience, etc.) ;
- qu'en cas de collecte indirecte des données personnelles, lorsque les données ne sont pas recueillies directement auprès des personnes (exemples : données récupérées auprès de partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes).
- Les moments où cette information est nécessaire :
- au moment du recueil des données en cas de collecte directe ;
- dès que possible en cas de collecte indirecte (notamment lors du premier contact avec la personne) et au plus tard, dans le délai d’un mois (sauf exceptions) ;
- en cas de modification substantielle ou d'événement particulier. Par exemple : nouvelle finalité, nouveaux destinataires, changement dans les modalités d'exercice des droits, violation de données.
Quelles informations dois-je donner ?
- Dans tous les cas, il faut préciser :
- L'identité et les coordonnées de l’organisme qui collecte les données (qui traite les données ?) ;
- Les finalités (à quoi vont servir les données collectées ?) ;
- La base légale sur laquelle repose le traitement des données (retrouvez toutes les informations sur les bases légales) ;
- Le caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et les conséquences pour la personne en cas de non-fourniture des données ;
- Les destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants ?) ;
- La durée de conservation des données (ou critères permettant de la déterminer) ;
- L'existence des droits des personnes concernées ainsi que les moyens de les exercer (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) ;
- Les coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
- Le droit d’introduire une réclamation auprès de la CNIL.
- Dans certains cas particuliers, il faut fournir des informations supplémentaires, comme dans le cas de transferts de données hors UE, de prise de décision entièrement automatisée ou de profilage, ou encore lorsque la base légale du traitement est l’intérêt légitime poursuivi par l’organisme qui collecte les données.
- En cas de collecte indirecte, il faut ajouter :
- Les catégories de données recueillies ;
- La provenance des données (en indiquant notamment si elles sont issues de sources accessibles au public).
Sous quelle forme dois-je fournir ces informations ?
- L’information doit être facile d’accès : l’utilisateur doit la trouver sans difficultés.
- Elle doit être fournie de manière claire et compréhensible, c'est-à-dire avec un vocabulaire simple (phrases courtes, sans termes juridiques ou techniques, sans ambiguïtés) et une information adaptée au public visé (avec une attention particulière à l'égard des enfants et personnes vulnérables).
- Elle doit être écrite de manière concise. Afin d’éviter l’écueil du déluge d’informations noyant l’utilisateur, il faut amener les informations les plus pertinentes au bon moment.
- Les informations en rapport avec la protection des données doivent pouvoir être distinguées de celles qui ne sont pas spécifiquement liées à la vie privée (comme les clauses contractuelles ou les conditions générales d’utilisation).
Quelle communication effectuer lorsque la sécurité des données est compromise ?
- Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou malintentionnée, une violation de données personnelles, c’est à dire une atteinte à la sécurité des données, autrement dit la destruction, la perte, l'altération ou la divulgation non autorisée de données. Dans ce cas, l’organisme doit signaler la violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes.
- Si ces risques sont élevés, l’organisme doit également en informer les personnes concernées le plus rapidement possible et leur adresser des conseils pour protéger leurs données (ex. annulation d'une carte bancaire compromise, modification d'un mot de passe, modification des paramétrages vie privée…).
- La notification de la violation à la CNIL doit se faire via le site web de la CNIL.