Le RGPD1 demande que les personnes soient informées lorsque leurs données à caractère personnel sont collectées.

Les informations à communiquer se résument à :

  • l'identité et les coordonnées de l'entreprise en charge du traitement des données ;
  • les coordonnées du Délégué à la Protection des Données, son nom pouvant ne pas figurer ;
  • les droits que possèdent les personnes, notamment : le droit de recevoir une copie de leurs données, le droit de demander que les données soient modifiées ou supprimées, le droit de s'opposer à ce que leurs données soient collectées, et le droit de déposer une réclamation auprès de l'autorité de contrôle, c'est-à-dire la CNIL2 pour la France.

Chaque donnée ou catégorie de données collectée et traitée doit aussi être indiquée en précisant :

  • les finalités du traitement ;
  • La base juridique du traitement, c'est-à-dire si le traitement est conditionné au consentement de la personne ou s'il est nécessaire à : l'exécution d'un contrat, au respect d'une obligation légale, à la sauvegarde des intérêts vitaux de la personne ou à une autre condition définie dans l'article 6 du RGPD ;
  • les destinataires des données, en précisant si les données sont transférées, ou non, vers un pays tiers ;
  • la durée pendant laquelle les données sont conservées ;

Enfin, il est nécessaire d'indiquer si la collecte des données à caractère personnel est obligatoire et les conséquences éventuelles d'un refus de la personne.

Toutes ces informations sont détaillées dans les articles 13-1 et 13-2 du RGPD :

Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent ; et
f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ;

— Article 13-1 du RGPD, Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Puis :

En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données ;
c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
d) le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

— Article 13-2 du RGPD, Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Notes et références

  1. RGPD : Règlement Général de Protection des Données.
  2. CNIL : Commission Nationale de l'Informatique et des Libertés.