Les informations expliquant les traitements effectués sur des données personnelles devraient être publiées et contenues dans une page spécifique. Un lien vers cette page devrait être ajouté à chaque page du site. Un lien vers cette page doit aussi être affiché à la personne au moment où ses données sont collectées.

Lorsque des données à caractère personnel sont traitées, le RGPD demande que des informations[1] doivent être communiquées aux personnes pour leur permettre de comprendre la façon dont les données sont traitées et connaître leurs finalités. Ces informations doivent être publiées et « aisément accessibles ».

« Le responsable du traitement prend des mesures appropriées pour fournir toute information […] ainsi que pour procéder à toute communication […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible […] »

— RGPD, article 12-1, Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Une information « aisément accessible » signifie que :

  • l’internaute « ne devrait pas avoir à rechercher les informations, mais devrait pouvoir tout de suite y accéder »[2] ;
  • les informations devraient « être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale. »[3] ;

La façon dont les informations doivent être communiquées n’est pas imposée. Il est cependant recommandé :

  • d’insérer toutes les informations dans une seule page appelée « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée »[4] ;
  • d’ajouter un lien vers cette page sur chaque page du site Web ;
  • d’afficher un lien vers cette page au moment où les données sont collectées auprès de la personne[5], par exemple au sein des formulaires d’inscription.

Un accès compliqué à ces informations peut être sanctionné. De nombreuses sociétés ont d’ailleurs déjà été sanctionnées pour de tels manquements, notamment :

  • les magasins CARREFOUR, car les informations étaient « dispersées et morcelées entre plusieurs documents », notamment dans les mentions légales et dans les conditions générales de vente[6] ;
  • CARREFOUR BANQUE, car les informations étaient accessibles, soit dans un document appelée « Protection des données bancaires », intitulé jugé imprécis, soit à partir d’un lien présent dans les « Mentions légales », considéré inadapté[7] ;
  • GOOGLE, car les informations étaient « excessivement éparpillées dans plusieurs documents » et parfois « difficilement trouvables » par les utilisateurs d’Android[8] ;
  • l’hôtelier ACCOR, car le formulaire de création de compte et sur le formulaire d’adhésion au programme de fidélité du groupe contenaient uniquement un lien en bas de page[9] ;
  • la société spécialisée dans la livraison de déjeuners d’affaires, NESTOR, car le formulaire d’inscription ne contenait pas de lien pour accéder à la politique de gestion des données personnelles de l’entreprise[10].

Notes et références

  1. Le RGPD demande que des informations sur le traitement effectué soient communiquées aux personnes lorsque des données personnelles sont traitées (source: RGPD, article 12 à 14). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  2. L’EDPB a indiqué que l’internaute « ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §11).
  3. L’EDPB a indiqué que les informations devraient « être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale. » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §8).
  4. L’EDPB a indiqué que les informations devraient être contenues dans une page qui s’appelle « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §11).
  5. Le RGPD considère que « les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle » (source : RGPD, considérant 61). Il est donc recommandé d’ajouter un lien vers la politique au moment où les données personnelles sont collectées.
  6. La société Carrefour France a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  7. La société Carrefour Banque a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, N° SAN-2020-009, 18 novembre 2020, Carrefour Banque). Voir « CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
  8. La société GOOGLE a été sanctionnée par la CNIL, car les informations relative à la protection des données n’étaient pas aisément accessibles aux utilisateurs d’Android (source : CNIL, n° SAN-2019-001, 21 janvier 2019, Google LLC). Voir « GOOGLE sanctionné pour n’avoir pas correctement informé les utilisateurs d’appareils Android ».
  9. Le groupe ACCOR a été sanctionné par la CNIL, notamment car les informations relative à la protection des données n’étaient pas aisément accessibles sur le formulaire de création de compte et sur le formulaire d’adhésion au programme de fidélité du groupe (source : CNIL, SAN-2022-017, 3 août 2022, ACCOR). Voir « Le groupe hôtelier ACCOR sanctionné pour l’envoi d’e-mails de prospection sans consentement, un manque d’information et des manquements de sécurité ».
  10. La société Nestor a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, SAN-2020-018, 8 décembre 2020, Nestor). Voir « La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires ».
Voir les sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données