Le RGPD demande aux personnes traitant des données à caractère personnel d’être transparentes sur le traitement qu’elles effectuent. L’objectif est de permettre aux internautes de comprendre la nature du traitement réalisé et ses « principales conséquences »[1].

Pour répondre à cette exigence de transparence, les explications données doivent contenir certaines informations spécifiques, mais aussi être écrites et présentées d’une façon adaptée.

Les informations à communiquer obligatoirement

Concernant le contenu des explications, les informations à communiquer diffèrent légèrement selon que les données sont collectées auprès de la personne concernée[2] ou auprès d’un tiers[3].

Dans les deux cas, il est nécessaire de communiquer :

  • l’identité et les coordonnées de la personne en charge du traitement des données (le « responsable du traitement ») ;
  • les coordonnées de l’éventuel Délégué à la Protection des Données, c’est-à-dire son adresse e-mail, son numéro de téléphone et/ou son adresse postale ;

Ensuite, pour chaque donnée ou catégorie de données[4] traitée, il est nécessaire de communiquer :

  • les finalités du traitement ;
  • la base légale[5] du traitement, c’est-à-dire ce qui autorise son traitement, avec des explications sur ce choix ;
  • la durée de conservation des données[6] ;
  • le caractère obligatoire, notamment si les données doivent être traitées en accord avec une règlementation ou un contrat ;
  • les éventuelles conséquences d’une opposition de la personne ;
  • les éventuels destinataires des données, c’est-à-dire « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers »[7][8] ;
  • les détails des éventuels transferts de données vers des pays tiers, en précisant les garanties permettant de justifier la conformité du pays avec les exigences du RGPD[9][10] ;
  • les droits que possèdent les personnes, c’est-à-dire : le droit de recevoir une copie des données, le droit de demander que les données soient modifiées ou supprimées, le droit de s’opposer au traitement et le droit de déposer une réclamation auprès de l’autorité de contrôle, c’est-à-dire la CNIL pour la France. Le droit de retirer son consentement doit aussi être précisé, si le traitement dépend du consentement ;
  • l’existence d’une prise de décision automatisée basée notamment sur des algorithmes ou un profilage[11], en expliquant la logique utilisée ainsi que l’importance et les conséquences de ce traitement pour la personne ;

Lorsque les données ne sont pas collectées auprès de la personne concernée, il est également nécessaire de communiquer la source exacte[12] de ces données, en précisant si cette source est publiquement accessible[13].

La façon dont communiquer les informations

Pour permettre aux personnes de bien comprendre le traitement réalisé, toutes ces informations doivent être communiquées de façon adaptée. Concrètement, les informations communiquées doivent être :

  • fiables, c’est-à-dire que les informations reflètent fidèlement le traitement réellement réalisé ;
  • concrètes, c’est-à-dire que des formulations ambigües ou vagues comme « peut », « notamment » ou « possible » ne devraient pas être utilisées et que les informations ne devraient pas pouvoir être interprétées de différentes façons ;
  • compréhensibles, c’est-à-dire que les informations devraient être écrites dans la langue de l’utilisateur[14], « en des termes clairs et simples »[15] et être « comprises par la majorité du public visé »[16]. Les informations ne devraient pas non plus « contenir de termes trop juridiques, techniques ou spécialisés »[17] ;
  • concises, c’est-à-dire que seules les informations utiles doivent être données[18] et que les informations ne devraient pas être inutilement répétées.

Enfin, la présentation des informations importent aussi. L’objectif est, encore une fois, de présenter les éléments d’une façon adaptée pour permettre aux internautes de s’y retrouver facilement, surtout si les informations communiquées sont particulièrement longues.

La jurisprudence

Un manque de transparence sur les traitements effectués ou le fait de ne pas communiquer une information obligatoire peut être sanctionné. De nombreuses sociétés ont déjà été sanctionnées pour de tels manquements, notamment :

  • les magasins CARREFOUR[19] et CARREFOUR BANQUE[20], car des informations imprécises étaient communiquées aux clients ;
  • le spécialiste de la livraison de repas FOODINHO, car des informations imprécises ou inexactes étaient communiquées à ses livreurs[21] ;
  • le vendeur en ligne SPARTOO, car les informations publiées ne précisaient pas que les données étaient transférées vers Madagascar[22] ;
  • le vendeur en ligne BRICO PRIVÉ, car les informations publiées ne contenaient pas les coordonnées du Délégué à la Protection des Données, ni les durées de conservation des données, ni les bases légales des traitements[23] ;
  • l’assureur AG2R LA MONDIALE, car les appels téléphoniques passés avec les prospects étaient enregistrés sans qu’ils ne soient informés[24] ;
  • l’application de messagerie WHATSAPP, car les utilisateurs n’étaient pas correctement informés et les personnes n’utilisant pas WhatsApp n’étaient pas du tout informées[25] ;
  • le géant américain GOOGLE, car les informations communiquées n’étaient pas complètes et ne permettaient aux utilisateurs d’Android de comprendre les conséquences des traitements réalisés[26] ;
  • le fournisseur d’énergie TOTAL ENERGIES, car les appels téléphoniques avec les prospects étaient enregistrés sans qu’une information adaptée soit communiquée aux personnes[27].

Notes et références

  1. L’EDPB a indiqué que les informations fournies devraient permettre aux internautes de comprendre « principales conséquences du traitement » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §10).
  2. Les informations à communiquer lorsque les données sont collectées auprès de la personne sont détaillées dans l’article 13 du RGPD.
  3. Les informations à communiquer lorsque les données ne sont pas collectées auprès de la personne sont détaillées dans l’article 14 du RGPD.
  4. Une catégorie de données correspond à plusieurs données qui ont la même finalité. Par exemple, le numéro, le nom de la rue, le code postal, la ville et le pays font partie d’une catégorie qui pourrait être appelée « coordonnées ».
  5. Les bases légales peuvent être, par exemple, le consentement de la personne ou l’application d’un contrat. Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
  6. Concernant la durée de conservation des données, l’EDPB recommande que l’information « devrait être formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation » et que « le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, Annexe, page 46).
  7. Le RGPD définit un destinataire comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers » (source : RGPD, article 4-9).
  8. Concernant la communication des destinataires des données, l’EDPB considère que « les responsables du traitement doivent fournir aux personnes concernées les informations les plus significatives sur les destinataires » et qu’« il s’agit généralement de destinataires nommément désignés afin que les personnes concernées puissent savoir exactement qui détient leurs données à caractère personnel » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, Annexe, page 45).
  9. Les données à caractère personnel peuvent être transférées vers des pays étrangers, à condition que des garanties soient apportées. Voir « Peut-on transférer des données à caractère personnel vers un pays étranger ou vers une entreprise étrangère ? ».
  10. Concernant les transferts de données vers les pays tiers, l’EDPB considère que « les informations fournies […] devraient être aussi utiles que possible aux personnes concernées » et que « cela nécessite généralement la désignation des pays tiers. » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, Annexe, page 46).
  11. La CNIL a publié des informations complémentaires sur le profilage et la prise de décision entièrement automatisé. Voir « Profilage et décision entièrement automatisée ».
  12. Dans le cas où les données des personnes sont collectées auprès de plusieurs sources, l’EDPB considère que le responsable du traitement doit être en mesure de « déterminer la source dont proviennent les données à caractère personnel des personnes concernées », même si ce travail est « chronophage ou fastidieux » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §60).
  13. Lorsque des données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement doit fournir à la personne « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public » (source : RGPD, article 14-1-f).
  14. L’EDPB a indiqué qu’« une traduction dans une ou plusieurs langues devrait être fournie lorsque le responsable du traitement cible des personnes concernées parlant ces langues. ». Les personnes sont considérées comme « ciblées » « si le responsable du traitement exploite un site internet dans la langue en question et/ou offre des options spécifiques à un pays et/ou facilite le paiement de biens ou services dans la monnaie d’un État membre en particulier (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §13).
  15. Lorsque des données personnelles sont traitées, le RGPD demande aux responsables de traitement de communiquer des informations sur le traitement « en des termes clairs et simples » (source : RGPD, article 12-1).
  16. Concernant le caractère « compréhensible » des informations, l’EDPB a indiqué que les informations « devraient être fournies de la façon la plus simple possible, en évitant des phrases et des structures linguistiques complexe » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §12) et que les informations « devraient pouvoir être comprises par la majorité du public visé » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §9).
  17. L’EDPB a indiqué que « Les informations fournies à une personne concernée ne devraient pas contenir de termes trop juridiques, techniques ou spécialisés. » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §3).
  18. Concernant le caractère « succin » des informations, l’EDPB a indiqué que le responsable de traitement devrait « présenter les informations de façon efficace et succincte afin d’éviter de noyer d’informations les personnes concernées » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §8).
  19. La société Carrefour France a été sanctionnée par la CNIL, car les informations fournies aux clients étaient imprécises (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  20. La société Carrefour Banque a été sanctionnée par la CNIL, car les informations fournies aux clients étaient imprécises (source : CNIL, N° SAN-2020-009, 18 novembre 2020, Carrefour Banque). Voir « CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles ».
  21. La société Foodinho a été sanctionnée par l’autorité italienne, car des informations imprécises ou inexactes étaient communiquées à ses livreurs (source : GPDP, N° 9675440, 10 juin 2021, Foodinho s.r.l.). Voir « La société FOODINHO sanctionnée suite au traitement illicite des données personnelles de ses livreurs ».
  22. La société Spartoo a été sanctionnée par la CNIL, car la société ne précisait pas que les données étaient transférées vers Madagascar (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  23. La société Brico Privé a été sanctionnée par la CNIL, car l’information fournie aux clients était incomplète (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité ».
  24. Le groupe AG2R La Mondiale a été sanctionnée par la CNIL, car les appels téléphoniques passés avec les prospects étaient enregistrés sans qu’ils ne soient informés (source : CNIL, SAN-2021-010, 20 juillet 2021, AG2R). Voir « L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé trop longtemps des données personnelles sur ses clients et prospects ».
  25. L’application de messagerie WhatsApp été sanctionnée par l’autorité irlandaise, car les personnes n’étaient pas correctement informées (source : DPC, 20 août 2021, WhatsApp Ireland Limited). Voir « WHATSAPP sanctionnée pour avoir manqué de transparence sur la façon dont les données personnelles étaient traitées ».
  26. La société GOOGLE a été sanctionnée par la CNIL, car les informations fournies aux utilisateurs d’Android étaient incomplètes et ne permettaient pas de comprendre les conséquences des traitements réalisés (source : CNIL, n° SAN-2019-001, 21 janvier 2019, Google LLC). Voir « GOOGLE sanctionné pour n’avoir pas correctement informé les utilisateurs d’appareils Android ».
  27. La société TOTAL ENERGIES a été sanctionnnée par la CNIL, car les appels téléphoniques passés avec les prospects étaient enregistrés sans qu’une information complète ne soit communiquée aux personnes (source : CNIL, SAN-2022-011, 23 juin 2022, TOTALENERGIES). Voir « Le pétrolier TOTAL ENERGIES sanctionné pour avoir effectué des campagnes de prospection sans le consentement des personnes ».
Voir les sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données
  • CNIL : Commission Nationale de l'Informatique et des Libertés