GESTION ET TRANSPARENCE DES CONSENTEMENTS

Le règlement général sur la protection des données (RGPD) demande une information concise, transparente, compréhensible et aisément accessible aux personnes concernées.

Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD.
L’obligation d’information existe déjà dans la loi Informatique et Libertés.

Elle est renforcée par le RGPD
L’information doit être plus complète et plus précise.

 

La transparence doit permettre aux personnes concernées :

  • de connaître la raison de la collecte des différentes données les concernant ;
  • de comprendre les traitements qui seront faits de leurs données ;
  • d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.

Pour les responsables de traitement, elle contribue à un traitement loyal des données, et permet d’instaurer une relation de confiance avec les personnes concernées.

 

Dans quels cas doit-on informer ?

En cas de collecte directe des données :

  • lorsque les données sont recueillies directement auprès des personnes (formulaire, achat en ligne, souscription d’un contrat, ouverture d’un compte bancaire) ou lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes (vidéosurveillance, analyse de la navigation sur Internet, géolocalisation et wifi analytics/tracking pour la mesure d’audience, etc.) ;
  • en cas de collecte indirecte des données personnelles : lorsque les données ne sont pas recueillies directement auprès des personnes (exemples : données récupérées auprès de partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes).

À quel moment dois-je informer ?

  • en cas de collecte directe : au moment du recueil des données ;
  • en cas de collecte indirecte : dès que possible (notamment lors du premier contact avec la personne concernée) et, au plus tard, dans le délai d’un mois (sauf exceptions);
  • en cas de modification substantielle ou d’événement particulier (nouvelle finalité, nouveaux destinataires, changement dans les modalités d’exercice des droits, violation de données).

Quelles informations doivent être fournies à l’utilisateur ?

  • Identité et coordonnées de l’organisme (responsable du traitement de données) ;
  • Finalités (à quoi vont servir les données collectées) ;
  • Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
  • Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies) ;
  • Durée de conservation des données (ou critères permettant de la déterminer) ;
  • Droits des personnes concernées (opposition, accès, rectification, effacement ; nouveaux droits RGPD : limitation, portabilité) ;
  • Selon le cas, sur l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale) et garanties associées.

Sous quelle forme ?

La personne concernée par un traitement de données doit recevoir une information délivrée de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

L’information doit être rédigée de la manière la plus claire, précise et simple possible.

  • Utiliser un vocabulaire simple, faire des phrases courtes et employer un style direct ; éviter les termes juridiques ou techniques, les termes abstraits ou ambigus et les formules telles que « nous pourrions utiliser vos données », « une possible utilisation de vos données », « quelques données vous concernant sont utilisées », etc.
  • Adapter l’information au public visé et prêter une attention particulière à l’égard des enfants et des personnes vulnérables. Des vidéos, animations, dessins animés ou bandes dessinées peuvent être un moyen adapté pour rendre l’information compréhensible. Concevoir un format lisible d’information
  • Être concis. Il ne faut pas présenter l’information dans une notice d’information composée d’un bloc de 20 pages ou faire des mentions d’informations illisibles sous un formulaire de collecte (par exemple un formulaire d’inscription sur un site internet ou un bon de commande).
  • Prioriser les éléments d’information. Sauf cas particuliers, la mise à disposition de l’ensemble des informations en un seul bloc permet difficilement d’atteindre l’objectif de lisibilité et il convient donc de favoriser une approche en plusieurs niveaux. Prioriser ne signifie pas transmettre une information incomplète aux personnes concernées : il s’agit de mettre en avant les informations essentielles et d’offrir un accès simple et immédiat aux autres informations.
  • Adapter la fourniture d’informations aux situations et aux supports. Une approche combinant différentes modalités d’information peut être suivie, qui tienne compte des spécificités de chaque traitement et permette de fournir les bonnes informations au bon moment.

Informations supplémentaires à donner en cas de collecte indirecte 

  • Catégories de données recueillies ;
  • Source des données (en indiquant notamment si elles sont issues de sources accessibles au public)
  • Analyse et structuration réglementaire de la demande client
  • Mise en place des conditions réglementaires d’obtention et de stockage des consentements
  • Renouvellement des consentements
Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées.
De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.