Comment fournir les informations relatives à un traitement de données à caractère personnel ?
Les informations expliquant les traitements effectués sur des données personnelles devraient être publiées et contenues dans une page spécifique. Un lien vers cette page devrait être ajouté à chaque page du site. Un lien vers cette page doit aussi être affiché à la personne au moment où ses données sont collectées.
Lorsque des données à caractère personnel sont traitées, le RGPD[1] demande que des informations[2] doivent être communiquées aux personnes pour leur permettre de comprendre la façon dont les données sont traitées et connaître leurs finalités. Ces informations doivent être publiées et « aisément accessibles ».
« Le responsable du traitement prend des mesures appropriées pour fournir toute information […] ainsi que pour procéder à toute communication […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible […] »
Une information « aisément accessible » signifie que :
- l’internaute « ne devrait pas avoir à rechercher les informations, mais devrait pouvoir tout de suite y accéder »[3] ;
- les informations devraient « être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale. »[4] ;
La façon dont les informations doivent être communiquées n’est pas imposée. Il est cependant recommandé :
- d’insérer toutes les informations dans une seule page appelée « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée »[5] ;
- d’ajouter un lien vers cette page sur chaque page du site Web ;
- d’afficher un lien vers cette page au moment où les données sont collectées auprès de la personne[6].
Un accès compliqué à ces informations peut être sanctionné. De nombreuses sociétés ont d’ailleurs déjà été sanctionnées pour de tels manquements, notamment :
- les magasins Carrefour, car les informations étaient « dispersées et morcelées entre plusieurs documents », notamment dans les mentions légales et dans les conditions générales de vente[7] ;
- Carrefour Banque, car les informations étaient accessibles, soit dans un document appelée « Protection des données bancaires », intitulé jugé imprécis, soit à partir d’un lien présent dans les « Mentions légales », considéré inadapté[8] ;
- la société spécialisée dans la livraison de déjeuners d’affaires, NESTOR, car le formulaire d’inscription ne contenait pas de lien pour accéder à la politique de gestion des données personnelles de l’entreprise[9].
Notes et références
- ↑RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
- ↑Le RGPD demande que des informations sur le traitement effectué soient communiquées aux personnes lorsque des données personnelles sont traitées (source: RGPD, article 12 à 14). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
- ↑L’EDPB a indiqué que l’internaute « ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §11).
- ↑L’EDPB a indiqué que les informations devraient « être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale. » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §8).
- ↑L’EDPB a indiqué que les informations devraient être contenues dans une page qui s’appelle « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §11).
- ↑Le RGPD considère que « les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle » (source : RGPD, considérant 61). Il est donc recommandé d’ajouter un lien vers la politique au moment où les données personnelles sont collectées.
- ↑La société Carrefour France a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
- ↑La société Carrefour Banque a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, N° SAN-2020-009, 18 novembre 2020, Carrefour Banque). Voir « CARREFOUR BANQUE sanctionnée pour avoir traité partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
- ↑La société Nestor a été sanctionnée par la CNIL, car les informations n’étaient pas aisément accessibles (source : CNIL, SAN-2020-018, 8 décembre 2020, Nestor). Voir « La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires ».