Besoin d'aide
Posez votre question, la CNIL vous répond
Vous recherchez une information ? Les questions les plus fréquemment posées sont recensées ici.
Posez votre question dans l'encadré ci-dessous, notre système vous transmettra les questions-réponses en lien avec votre problématique.
Règlement européen : de quoi les personnes doivent-elles être informées ?
Avec le RGPD, l'information des personnes est renforcée. Le responsable du fichier doit être transparent avec les personnes dont il traite les données.
Ainsi, les personnes doivent être informées :
- De l'identité et des coordonnées du responsable du fichier.
- Des finalités du fichier : les personnes doivent comprendre à quoi vont servir les données collectées. Par exemple, la "gestion de notre fichier clients (commandes, livraisons, paiements, etc.)", la "sécurité des personnes et des biens" (vidéosurveillance, contrôle d'accès à des locaux professionnels), la "gestion de l'état civil", etc.
- Du caractère obligatoire ou facultatif des réponses. Par exemple, si un commerçant demande à ses clients leur date de naissance, il doit leur expliquer qu'il souhaite les faire bénéficier d'une promotion pour leur anniversaire mais qu'ils sont libres de donner, ou non, cette information.
- Des destinataires ou catégories de destinataires des données. Qui accède ou reçoit les données ? Par exemple, le service RH est destinataire des données permettant la gestion de la paie des salariés.
- De la durée de conservation des données : combien de temps les données seront conservées par l'organisme. Cette durée est fixée en référence à un texte légal (par exemple, le code de commerce pour les données comptables des entreprises impose une conservation pendant dix ans) ou, en l'absence de texte, par le responsable du fichier en fonction du but qu'il poursuit.
- Des droits des personnes : opposition, accès, rectification, effacement, limitation, portabilité.
- Des coordonnées du délégué à la protection des données de l'organisme ou, d'un point de contact sur les questions de protection des données personnelles.
- Du fondement juridique du traitement de données (c'est-à-dire ce qui autorise à traiter les données : il peut s'agir du consentement de la personne concernée, de l'exécution d'un contrat, du respect d'une obligation légale qui s'impose à vous, de votre "intérêt légitime".
- Du droit d'introduire une réclamation (plainte) auprès de la CNIL.
- Des catégories de données recueillies et de la source des données en cas de collecte indirecte des informations.
Et aussi, selon le cas :
- De l'existence d'une prise de décision automatisée ou d'un profilage, des informations utiles à la compréhension de l'algorithme et de sa logique, ainsi que des conséquences pour la personne concernée.
- Du droit au retrait du consentement à tout moment.
- De la faculté d'accéder aux documents autorisant le transfert de données hors de l'Union européenne (exemples : clauses contractuelles types de la Commission européenne).
En savoir plus : Comment informer les personnes et assurer la transparence ?
Voir aussi
- Règlement européen : le Délégué à la protection des données, c'est obligatoire ?
- Règlement européen : une analyse d'impact sur la protection des données, c'est quoi ?
- Règlement européen : existe-t-il des outils pour aider les TPE-PME ?
- Règlement européen : comment informer les personnes concernées par un fichier ?
- Règlement européen : quand informer les personnes concernées par un fichier ?