Le RGPD[1] demande que les personnes soient informées lorsque leurs données à caractère personnel sont collectées.

Les informations à communiquer se résument à :

  • l’identité et les coordonnées de l’entreprise en charge du traitement des données ;
  • les coordonnées du Délégué à la Protection des Données, son nom pouvant ne pas figurer ;

Chaque donnée ou catégorie de données[2] collectée et traitée doit aussi être indiquée en précisant :

  • les finalités du traitement ;
  • La base légale[3] du traitement, c’est-à-dire ce qui autorise son traitement, avec des explications sur ce choix ;
  • les destinataires des données, en précisant si les données sont transférées, ou non, vers un pays étranger. Si les données sont transférées vers un pays tiers, des informations vers les garanties[4] apportées par le pays ou l’entreprise concernée ;
  • la durée pendant laquelle les données sont conservées[5] ;
  • Le caractère obligatoire ou facultatif, et les conséquences éventuelles d’un refus de la personne.
  • les droits que possèdent les personnes, c’est-à-dire : le droit de recevoir une copie de leurs données, le droit de demander que les données soient modifiées ou supprimées, le droit de s’opposer à ce que leurs données soient collectées, et le droit de déposer une réclamation auprès de l’autorité de contrôle, c’est-à-dire la CNIL[6] pour la France ;
  • l’existence d’une prise de décision automatisée ou d’un profilage[7], c’est-à-dire un traitement automatisé, basé notamment sur des algorithmes, permettant d’analyser et de prédire le comportement la personne.

Toutes ces informations sont détaillées dans les articles 13-1 et 13-2 du RGPD :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et
f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition »

— RGPD, article 13-1, informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Puis :

« En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
d) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. »

— RGPD, article 13-2, informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Si les données sont collectées auprès d’un tiers, il est également nécessaire de fournir la source de ces données :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes: […]
f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ; »

— RGPD, article 14-1, informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée

D’autres informations peuvent être communiquées à l’utilisateur si cela lui permet de comprendre, ou de mieux comprendre, la nature des traitements effectués. L’idée est d’être le plus transparent possible :

« Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. »

— RGPD, considérant 60

Enfin, les informations transmises doivent être expliquées de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. »

— RGPD, article 12, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Il est recommandé[8] d’insérer toutes ces informations dans une page appelée « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée », et qu’un lien vers cette page soit inséré dans chaque page du site Internet, pour permettre à tous d’y accéder facilement, en un clic. Un lien vers cette page doit être proposée à l’utilisateur au moment où ses données sont collectées.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. Une catégorie de données correspond à plusieurs données qui ont la même finalité. Par exemple, le numéro, le nom de la rue, le code postal, la ville et le pays font partie d’une catégorie qui pourrait être appelées « coordonnées ».
  3. Les bases légales peuvent être, par exemple, le consentement de la personne ou l’application d’un contrat. Voir « Quelle raison, ou base légale, peut-on utiliser pour stocker des données à caractère personnel ? ».
  4. Les données à caractère personnel peuvent être transférées vers des pays étrangers, à conditions que des garanties sont apportées. Voir « Peut-on transférer des données à caractère personnel vers un pays étranger ou vers une entreprise étrangère ? ».
  5. Il est recommandé que la durée de conservation soit indiquée de sorte que les personnes puissent facilement comprendre leur durée, c’est-à-dire en indiquant une période fixe, ou en expliquant les critères utilisés pour calculer cette période. Il n’est pas permis d’utiliser des termes généraux comme : « la durée de conservation dépend de la réglementation », « les données sont gardées aussi longtemps que nécessaire », etc.
  6. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  7. La CNIL a publié des informations complémentaires sur le profilage et la prise de décision entièrement automatisé. Voir « Profilage et décision entièrement automatisée ».
  8. Le groupe de travail (G29) sur la protection des données propose que le noms de la page qui contient les informations relatives aux données à caractère personnel s’appelle « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée ». Voir « Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 du 11 avril 2018 ».