RGPD : le droit à l'information

Dans quels cas informer ?

Le responsable de traitement (RT) doit informer les personnes concernées :

• en cas de collecte directe de leurs données personnelles c’est-à-dire que les données sont recueillies directement auprès de la personne concernée via un formulaire, un contrat, un dispositif de vidéosurveillance ou de géolocalisation par exemple ;
• en cas de collecte indirecte de leurs données personnelles c’est-à-dire que les données ne sont pas recueillies directement auprès des personnes mais récupérées auprès de partenaires commerciaux ou d’autres sources. 

A quel moment informer ?

En cas de collecte directe, l’information doit se faire au moment de l’obtention des données personnelles et avant le consentement de la personne concernée. 

En cas de collecte indirecte l’information doit se faire dès que possible, a minima dès le premier contact, et, au plus tard, dans un délai d’un mois. 

Lorsque des ajouts ou des changements doivent être apportés aux informations fournies, le RT doit l’indiquer clairement aux personnes concernées par l’envoi d’un e-mail par exemple. 

Dans tous les cas une information régulière est gage de transparence, et est d’autant plus importante pour les traitements à grande échelle ou de données sensibles. 

Quelles sont les informations à fournir aux personnes concernées par la collecte de leurs données personnelles ?

L’information délivrée par le RT aux personnes concernées par la collecte de leurs données personnelles doit leurs permettre :

• de connaître la raison de la collecte des différentes données les concernant ;
• de comprendre le traitement qui sera fait de leurs données.

Concrètement, avant de consentir à la collecte de leurs données, le RT doit fournir aux personnes concernées, les informations suivantes : 

• identité et coordonnées du RT ;
• coordonnées du Délégué à la protection des données (DPO) s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
• la finalité de la collecte c’est-à-dire l’objectif poursuivie par le traitement ;
• le fondement juridique qui autorise l’entreprise à traiter ces données c’est-à-dire soit : 
  • le consentement de la personne concernée, 
  • l’exécution d’un contrat, 
  • le respect d’une obligation légale qui s’impose à l’entreprise,
  • l’intérêt légitime de l’entreprise ; poursuivis par le RT.
• les destinataires  des données dans le cadre du traitement ;
• la durée de conservation  des données ou les critères utilisés pour déterminer cette durée ;
• les droits des personnes concernées : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement ;
• les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits ;

  Pour cela, le RT peut mettre en place : 

  • un formulaire de contact spécifique en ligne
  • un numéro de téléphone 
  • une adresse de messagerie dédiée. 
    Le RT doit également prévoir le traitement des demandes des personnes concernées dans un délai court, idéalement 1 mois maximum. 
• le cas échéant si l’entreprise transfert des données hors de l’Union européenne (UE) en précisant le pays et l’encadrement juridique qui maintient le niveau de protection des données ;
• lorsque le traitement est fondé sur le consentement, le droit de le retirer à tout moment et les modalités de retrait du consentement ;
• le droit de déposer plainte auprès de la CNIL. 

Selon le cas, il faut ajouter :

• l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
• la faculté d’accéder aux documents autorisant le transfert de données hors de l’UE.

Des informations supplémentaires sont à donner en cas de collecte indirecte :

• Catégories de données recueillies ;
• Source des données en précisant si ce sont des sources accessibles au public ou non. 

Dans le cadre de la collecte de données personnelles via les traceurs ou cookies déposés sur le terminal de l’utilisateur (ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet), le RT doit fournir à ce dernier les informations suivantes : 
- les finalités des cookies de façon claire et synthétique ;
- la liste des RT du ou des traitements de données personnelles.

Comment informer les personnes ?

Le support de l’information 

Le support de cette information varie en fonction des caractéristiques du fichier tel que : 

• panneau d’information pour une vidéosurveillance, 
• mention d’information sur un formulaire, 
• lecture de cette information en cas de recueil de données par téléphone

Le RT adapte la fourniture des informations aux situations et aux supports. Il n’y a pas une seule façon de bien informer les personnes.

La qualité de l’information 

D’après le RGPD, la personne concernée par un traitement de données doit recevoir une information 

• concise en évitant les mentions trop longues ou illisibles et en favorisant une approche en plusieurs niveaux : 
  • qui met en avant les informations essentielles : identité du RT, finalités et droits des personnes ;
  • puis un accès simple et immédiat aux autres informations via des liens cliquables, menus dépliants ou supports distincts par exemple.
• transparente ;
• compréhensible par une rédaction de l’information claire, précise et simple ;
• aisément accessible via un message enregistré, une documentation papier, une brochure ou un email par exemple. 

Qu’est-ce que le droit d’opposition ?

Le droit d’opposition signifie que les personnes ayant consenti à la collecte de leurs données personnelles peuvent s’opposer à la réutilisation de leurs coordonnées à des fins de sollicitations, notamment commerciales. 

Par exception, les personnes concernées ne peuvent s’opposer au traitement de leurs données si celui-ci répond à une obligation légale. 

Qu’est-ce que le droit d’accès et de rectification ?

Le droit d’accès signifie que toute personne peut : 

• accéder à l’ensemble des informations la concernant ;
• connaître l’origine des informations le concernant ;
• accéder aux informations sur lesquelles le RT s’est fondé pour prendre une décision le concernant ;
• en obtenir la copie ;
• exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.

Le droit d’accès s’exerce soit par écrit soit dans les locaux de l’entreprise avec présentation d'une pièce d’identité. 

Lorsque la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur. 

En cas de demande incomplète, le RT peut demander les pièces manquantes. Le délai de traitement de la demande est alors suspendu et court à nouveau une fois ces éléments fournis.

En revanche, le responsable de traitement (RT) peut : 

• refuser la demande d’accès en motivant sa décision et en informant le demandeur des voies et délais de recours permettant de la contester ;
• ne pas répondre aux demandes qui sont manifestement abusives. 

Qu’est-ce que le droit à la portabilité des données ?

Le RT doit mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d’exporter ses données personnelles dans un format structuré (xml…) couramment utilisé et lisible par machine. 

Ces personnes peuvent ensuite transmettre ces données à un autre RT sans que le responsable de traitement (RT) auquel les données à caractère personnel ont été communiquées nepuisse faire obstacle.