Javascript is required
logo-dastralogo-dastra

Le droit à l'information à l'égard des personnes concernées

Le droit à l'information à l'égard des personnes concernées
Romain Bidault
Romain Bidault
17 décembre 2020·5 minutes de lecture

Comment appliquer la transparence des traitements de données dans son organisation ?

Le droit à l'information

Le RGPD prévoit que le principe de loyauté et le principe de transparence prime à l'égard des personnes concernées. Cela veut dire que les responsables de traitement doivent fournir, au stade de la collecte ou de l’exploitation, un certain nombre d’informations aux intéressés. Le respect de cette obligation permet aux personnes de :

  • Connaître ce qui justifie la collecte,
  • Comprendre les conditions dans lesquelles leurs données sont traitées,
  • Garder la maîtrise de leurs données, notamment en facilitant l’exercice de leurs droits),

1. L’obligation de transparence :

En cas de collecte directe de données (formulaires, SSO, etc), en cas de collecte indirecte (données récupérées auprès de tiers, databrokers, sources accessibles, partenaires), lors d'un moment du recueil des données (à la collecte) et dans un délai d’1 mois, ou dans l’hypothèse d’une modification ou d’un évènement particulier (nouvelle finalité, nouveaux destinataires, violation de données, etc)., le responsable de traitement a une obligation de transparence à l'égard des personnes concernés.

Il dispose d'un délai de 30 jours, renouvelable 30 jours, pour transmettre les informations aux personnes concernées.

> Ce que dit l'article 12.1 du RGPD :

Les informations doivent être communiquées d’une façon :

  • Concise,
  • Transparente,
  • Compréhensible,
  • Aisément accessible,
  • En terme clairs et simple,

En particulier pour toute information destinée spécifiquement à un enfant.

2. En cas de collecte directe des données

Voici les informations que le responsable de traitement doit fournir en cas de collecte directe des données :

  • L’identité et les coordonnées de l’organisme responsable du traitement
  • La finalité et la base juridique du traitement
  • Le caractère obligatoire ou non de la collecte, mais aussi le fondement de la fourniture des données (preuve), et la conséquence d’une non-fourniture,
  • Les catégories de destinataires des données,
  • La durée de conservation des données, ou les critères utilisés pour la déterminer,
  • Ses droits sur les données traitées (accès, rectification, opposition, effacement, etc)
  • Son droit d’introduire une réclamation auprès de l’autorité de contrôle (CNIL).

Selon les cas, la collecte directe des données oblige aussi le responsable de traitement à transmettre :

  • Les coordonnées du DPO
  • Les intérêts légitimes poursuivis par le responsable de traitement ou le sous-traitant
  • L’existence du droit de retirer son consentement,
  • L’existence d”un transfer hors de l’UE, les moyens d’accéder aux documents l’autorisant.
  • L’existence d’une prise de décision automatisée (profilage)

et toute information pertinente concernant les projets et traitements ultérieur pour une nouvelle finalité.

3. En cas de collecte indirecte des données

En cas de collecte indirecte des données, toutes les informations pré-cités font foi, en plus de 2 éléments :

  • La ou les catégories de données traitées
  • La source d’où proviennent les données, et si ces données sont accessibles au public ou non.

4. Dérogations à l’obligation d’information

Lorsque la personne dispose déjà de ces informations, et en cas de collecte directe ou indirecte, il existe des dérogations à l'obligation d'information

De plus en cas de collecte indirecte seulement, d'autres dérogations existent :

  • la fourniture de telles informations se révèle impossible et exige des efforts disproportionnées susceptibles de compromettre totalement ou gravement la réalisation des objectifs.
  • L’obtention ou la communication des données est expressément prévue par le droit de l’Etat membre ou de l’Union Européenne.
  • Les données doivent rester confidentielles.

Les organismes qui se prévalent des dérogations précipitées doivent pouvoir justifier précisément de leur application au cas d’as d’espèce.

La forme de l’information

1. L'information doit être compréhensible

L’information doit être compréhensible (rédigée de manière claire, précise et simple), ce qui veut dire :

  • Vocabulaire simple
  • Phrase courte
  • Style direct,
  • Ne pas utiliser le conditionnel
  • Pas de phrases ambigus,
  • Eviter les termes juridiques et techniques

Une attention particulière sur la forme est réalisée à l’égard des enfants

2. Le format d'information doit être lisible

Il s'agit aussi de concevoir un format lisible d’information : être concis, prioriser les éléments d’information, etc. Quelques bonnes pratiques consistent à :

  • Être concis : ne pas présenter l’information dans une notice d’information indigeste
  • Favoriser une approche en plusieurs niveaux pour faciliter la lisibilité du document.
  • Mettre en avant les informations essentielles et offrir un accès simple et immédiat.
  • Adapter la fourniture d’informations aux situations et aux supports.

3. Veillez à l’accessibilité de l’information

Une bonne pratique consiste à ne pas avoir à chercher l’information, et avoir recours à des

  • QR Code,
  • Messages audios,
  • Vidéos,
  • Panneaux d’affichage,
  • Documentations,
  • Campagnes d’information, etc.
  • Par téléphone, physiquement, ou par écrits courrier comme mail, dans la documentation contractuelle, etc.
  • Objets connectés et technologies sans écran, applications mobiles, vidéos et drônes.

4. Donner une vision globale.

Le responsable de traitement doit centraliser les informations dans un document unique, ou un espace dédié de son site internet, pour que les personnes puissent prendre facilement connaissance de l’ensemble des informations. Elles peuvent prendre la forme sur le site internet d’une politique de protection des données.

Les éléments d’information sont distingués des autres clauses juridiques non liés à la protection des Données Personnelles.

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.