Comment fournir les informations relatives à un traitement de données à caractère personnel ?
Les informations expliquant les traitements effectués sur des données personnelles devraient être publiées et contenues dans une page spécifique. Un lien vers cette page devrait être ajouté à chaque page du site. Un lien vers cette page doit aussi être affiché à la personne au moment où ses données sont collectées.
Lorsque des données à caractère personnel sont traitées, le RGPD demande que des informations[1] doivent être communiquées aux personnes pour leur permettre de comprendre la façon dont les données sont traitées et connaître leurs finalités. Ces informations doivent être publiées et « aisément accessibles ».
« Le responsable du traitement prend des mesures appropriées pour fournir toute information […] ainsi que pour procéder à toute communication […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible […] »
Une information « aisément accessible » signifie que :
- l’internaute « ne devrait pas avoir à rechercher les informations, mais devrait pouvoir tout de suite y accéder »[2] ;
- les informations devraient « être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale. »[3] ;
La façon dont les informations doivent être communiquées n’est pas imposée. Il est cependant recommandé :
- d’insérer toutes les informations dans une seule page appelée « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée »[4] ;
- d’ajouter un lien vers cette page sur chaque page du site Web ;
- d’afficher un lien vers cette page au moment où les données sont collectées auprès de la personne[5], par exemple au sein des formulaires d’inscription.
Un accès compliqué à ces informations peut être sanctionné. De nombreuses sociétés ont d’ailleurs déjà été sanctionnées pour de tels manquements, notamment :
- les magasins CARREFOUR, car les informations étaient « dispersées et morcelées entre plusieurs documents », notamment dans les mentions légales et dans les conditions générales de vente[6] ;
- CARREFOUR BANQUE, car les informations étaient accessibles, soit dans un document appelée « Protection des données bancaires », intitulé jugé imprécis, soit à partir d’un lien présent dans les « Mentions légales », considéré inadapté[7] ;
- GOOGLE, car les informations étaient « excessivement éparpillées dans plusieurs documents » et parfois « difficilement trouvables » par les utilisateurs d’Android[8] ;
- l’hôtelier ACCOR, car le formulaire de création de compte et sur le formulaire d’adhésion au programme de fidélité du groupe contenaient uniquement un lien en bas de page[9] ;
- la société spécialisée dans la livraison de déjeuners d’affaires, NESTOR, car le formulaire d’inscription ne contenait pas de lien pour accéder à la politique de gestion des données personnelles de l’entreprise[10].
Notes et références
- ↑Le RGPD demande que des informations sur le traitement effectué soient communiquées aux personnes lorsque des données personnelles sont traitées (source: RGPD, article 12 à 14). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
- ↑L’EDPB a indiqué que l’internaute « ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §11).
- ↑L’EDPB a indiqué que les informations devraient « être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale. » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §8).
- ↑L’EDPB a indiqué que les informations devraient être contenues dans une page qui s’appelle « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §11).
- ↑Le RGPD considère que « les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle » (source : RGPD, considérant 61). Il est donc recommandé d’ajouter un lien vers la politique au moment où les données personnelles sont collectées.
- ↑La société Carrefour France a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
- ↑La société Carrefour Banque a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, N° SAN-2020-009, 18 novembre 2020, Carrefour Banque). Voir « CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
- ↑La société GOOGLE a été sanctionnée par la CNIL, car les informations relative à la protection des données n’étaient pas aisément accessibles aux utilisateurs d’Android (source : CNIL, n° SAN-2019-001, 21 janvier 2019, Google LLC). Voir « GOOGLE sanctionné pour n’avoir pas correctement informé les utilisateurs d’appareils Android ».
- ↑Le groupe ACCOR a été sanctionné par la CNIL, notamment car les informations relative à la protection des données n’étaient pas aisément accessibles sur le formulaire de création de compte et sur le formulaire d’adhésion au programme de fidélité du groupe (source : CNIL, SAN-2022-017, 3 août 2022, ACCOR). Voir « Le groupe hôtelier ACCOR sanctionné pour l’envoi d’e-mails de prospection sans consentement, un manque d’information et des manquements de sécurité ».
- ↑La société Nestor a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, SAN-2020-018, 8 décembre 2020, Nestor). Voir « La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires ».
Voir les sigles et acronymes
- ↑RGPD : Règlement Général sur la Protection des Données