L’information des personnes : comment et à quel moment ?

Le droit à l’information

Avant que les données personnelles ne soient au cœur de l’actualité, les entreprises qui collectaient nos données ne se rendaient pas forcément compte qu’elles devaient nous en informer, ou alors que nous pouvions exercer certains droits à l’égard de ces données.
Par conséquent, nous nous sommes tous retrouvés dans des situations où nos données étaient collectées à notre insu, en particulier à des fins de prospection ou de publicité ciblée.

Avec l’entrée en application du RGPD le 25 mai 2018, les entreprises commencent à prendre conscience de l’enjeu que représente l’information des personnes. Il est précisé aux articles 13 et 14 du Règlement que le responsable de traitement [1] doit fournir aux personnes certaines informations afin de leur donner assez de visibilité sur l’utilisation qui est faite de leurs données.

Mais en pratique, par quel moyen le responsable de traitement doit-il fournir ces informations ? Que doivent contenir ces informations ?

Comment informer les personnes ?

Le moyen utilisé pour informer la personne est adapté au cas qui se présente. Quelques exemples :

  • Si la personne télécharge une application, l’information pourra être incluse dans les Conditions Générales d’Utilisation ou dans un portail dédié au sein de cette application.
  • S’il s’agit de cartes de visite recueillies lors de salons, le responsable de traitement peut envoyer un mail d’information le lendemain de l’événement.
  • Si la personne effectue un achat sur un site e-commerce, elle pourra être informée avant de valider ses achats par les Conditions Générales de Vente ou par les mentions sur le formulaire d’achat.
  • Si le responsable de traitement ne traite que les noms et prénoms des personnes, collectés via internet, et qu’il n’a aucun moyen de les contacter, il pourra les informer par sa politique de confidentialité accessible sur son site.

En pratique, certaines difficultés se présentent. Les mentions d’information que le RGPD exige vont souvent dépasser les quelques lignes. Mais dans le cas d’un formulaire en ligne, comment faire pour informer ? D’un point de vue technique ou simplement visuel, il est difficile d’imaginer des paragraphes qui viendraient se greffer au début d’un formulaire. Surtout qu’un même site internet peut avoir plusieurs formulaires (abonnement à la newsletter, formulaire de contact, etc.). Faut-il répéter toutes les mentions pour chaque formulaire ?
Il est possible, dans ce cas, de fournir des informations partielles, en renvoyant vers une politique de confidentialité qui contiendrait les mentions complètes exigées par le Règlement. Le RGPD n’est cependant pas clair sur la question et ne précise pas si un tel renvoi est suffisant pour informer. Le sujet est donc laissé à l’appréciation de chaque responsable de traitement.

A quel moment informer les personnes ?

Le RGPD distingue la collecte directe de la collecte indirecte.
Lorsque les données personnelles sont collectées directement auprès de la personne, les informations doivent être fournies au moment de la collecte.

Lorsque les données personnelles sont collectées indirectement, à partir de sources tierces, la personne doit être informée dans un délai raisonnable, et au plus tard un mois suivant la collecte. Cependant :

  • Si les données sont utilisées pour communiquer avec la personne, l’information doit se faire au plus tard à la première communication.
  • Si les données ont vocation à être communiqué à un tiers, l’information doit se faire au plus tard lorsque les données sont communiquées au tiers pour la première fois.

Dans les deux cas, si cette première communication est prévue un ou plusieurs mois après la collecte, le délai d’information est ramené à un mois.

Quelles informations doivent être fournies aux personnes concernées ?

Certaines mentions doivent obligatoirement être fournies aux personnes dont les données personnelles sont collectées.

1. L’identité et les coordonnées du responsable de traitement (et le cas échéant du représentant [2])

Lorsque les données sont collectées par un formulaire en ligne, l’identité est précisée par le nom du site (exemple : www.mon-frigo-intelligent.fr).
De même, lorsqu’il s’agit d’un mail d’information, l’identité est normalement déjà précisée via le nom de l’expéditeur (exemple : contact@mon-frigo-intelligent.com).
La personne sait alors qui s’adresse à elle. Il faudra éviter d’envoyer des mails d’une adresse électronique ambigüe, qui ne permet pas à la personne d’identifier son interlocuteur (exemple : contact@xmail.com).

Dans tous les cas, que ce soit un mail d’information, un courrier d’information ou même une politique de confidentialité, il est préférable de commencer le texte en présentant l’activité de l’entreprise en une ligne.

Exemple : « Mon-frigo-intelligent est une société basée en France et qui commercialise des réfrigérateurs connectés. »

Les coordonnées du responsable de traitement doivent également être précisées. Si elles sont les mêmes que celles du DPO et qu’elles sont déjà précisées au point 8 ci-dessous, vous pouvez ne pas les préciser à ce niveau-là.

2. Le cas échéant, les coordonnées du délégué à la protection des données (DPD ou DPO)

Même si l’entreprise ne se retrouve pas dans l’obligation de désigner un délégué à la protection des données, elle peut au moins désigner une personne référente à qui pourront s’adresser les personnes pour exercer leurs droits (voir ci-dessous point 8). A défaut, le service juridique peut s’en charger.

3. Les finalités du traitement et sa base juridique

Il s’agit pour l’entreprise d’expliquer d’une manière simple et explicite dans quel but elle collecte les données de la personne, et sur quelle base légale [3] elle se fonde.

Exemple : « Nous collectons vos données personnelles afin de vous proposer nos meilleures promotions et offres commerciales, sur la base de votre consentement. »

Lorsque les données sont collectées pour plusieurs finalités, elles devront toutes être précisées.

Exemple : « Vos données personnelles seront traitées dans le cadre de la gestion administrative du personnel, gestion de la paie, inscription à la mutuelle, suivi des congés et absences, gestion des formations. »

4. Les intérêts légitimes du responsable de traitement (ou d’un tiers), lorsqu’ils constituent la base légale

L’intérêt légitime est le bénéfice qui peut être tiré du traitement. Il ne peut constituer une base légale que lorsqu’il respecte les intérêts des personnes concernées. Une société peut avoir un intérêt légitime à connaître les préférences des clients pour adapter son offre, mais si elle doit surveiller ses clients en ligne et hors ligne, sans aucune limite, elle ne peut se fonder sur l’intérêt légitime comme base légale. Il faut qu’il y ait en contrepartie des garanties pour les droits et libertés des personnes.
Toutefois, dans les mentions d’information, il suffit de préciser les intérêts légitimes en une ligne, sans détailler le reste.

Exemple : « Ce traitement est effectué sur la base des intérêts légitimes de la société Mon-frigo-intelligent, dans la mesure où il nous permet d’adapter et d’améliorer les services que nous vous proposons. »

5. Le cas échéant, les destinataires ou catégories de destinataires

Cette information concerne les personnes ou organismes qui auront accès aux données collectées, que ce soit en interne (différents départements ou filiales de la société) ou en externe (partenaires commerciaux, prestataires, clients B2B).

Exemple : « Vos données seront traitées par notre département Commercial et notre département Marketing. Elles seront transmises à certains de nos prestataires de campagne emailing. »

6. L’existence d’un transfert hors UE et les garanties afférentes

Si les données personnelles sont transférées en dehors de l’Union Européenne (à une filiale, à un prestataire…), il faut le préciser en indiquant sur quelle base ce transfert se fonde : décision d’adéquation ? BCR [4] ? CCT [5] ?
Si possible, il faut aussi préciser le pays de destination.

Exemple : « Vos données pourront être transférées à nos filiales qui se trouvent au Brésil et au Vietnam, et avec lesquelles nous avons conclu des clauses contractuelles types. »

7. La durée de conservation et à défaut les critères pour la déterminer

Il faut préciser pendant combien de temps l’entreprise conserve les données. Cette durée ne doit pas dépasser les durées légales prévues.

Exemple : « Elles seront conservées pour toute la durée de notre relation commerciale, et pour les 3 ans qui suivent la fin de cette relation. »

8. Les droits des personnes

Il ne suffit pas de lister les droits des personnes, il faut également indiquer à la personne par quels moyens elle peut les exercer (courrier, email, portail dédié…).
C’est à ce moment-là qu’il faut préciser les coordonnées du DPO ou du service juridique.

Exemple : « Vous disposez d’un droit d’accès, de rectification, de suppression, d’opposition, de portabilité, ainsi qu’un droit à la limitation du traitement. Vous pouvez exercer ces droits à tout moment en contactant notre Service Juridique :
– par mail : servicejuridique@mon-frigo-intelligent.com
– par courrier :
Mon-frigo-intelligent
A l’attention du Service juridique
1 rue de la donnée
750XX Paris »

9. Le droit de retirer son consentement lorsque le traitement est fondé sur le consentement

Il faut également inclure le moyen (par exemple un lien de désinscription à la newsletter ou à la prospection) qui permet de retirer son consentement aussi facilement que celui-ci a été obtenu.

Exemple : « Pour vous désinscrire de notre newsletter, cliquez ici. »

10. Le droit d’introduire une réclamation auprès d’une autorité de contrôle

La personne peut porter plainte auprès de l’autorité de contrôle de son choix : celle de son pays, celle du pays du responsable de traitement…
Généralement, le responsable de traitement peut indiquer l’autorité de contrôle du pays où il se trouve. S’il a des filiales dans plusieurs pays, il pourra soit faire référence à son autorité de contrôle chef de file, soit à l’autorité de contrôle locale (du pays où se trouve les personnes concernées à qui s’adressent les informations).
Il est également possible d’inclure les coordonnées de l’autorité (mais le RGPD ne précise pas si c’est obligatoire).

Exemple : « Vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris. »

11. Le cas échéant, l’obligation réglementaire ou contractuelle pour la personne de fournir les données, ou la nécessité de les fournir pour conclure un contrat, et les conséquences de la non-fourniture [6]

Il s’agit du cas dans lequel le refus de la personne de fournir ses données personnelles est soit contraire à une obligation réglementaire, soit contraire à une obligation contractuelle, soit empêcherait de conclure un contrat.
Par exemple, le fait de fournir certaines informations à l’état civil constitue une obligation réglementaire. Certaines données peuvent en outre être obligatoires pour la fourniture d’un service, telle que l’adresse email dans un formulaire de contact.

Exemple : « Les champs marqués d’un astérisque sont obligatoires, il s’agit de données nécessaires à la fourniture de nos services. Si vous décidez de ne pas remplir ces champs, nous ne pourrons pas vous fournir les services demandés. »

12. Le cas échéant, l’existence d’une prise de décision automatisée [7], y compris le profilage [8], et la logique sous-jacente, l’importance et les conséquences du traitement

Le responsable de traitement doit trouver des moyens simples pour informer la personne concernée des critères de prise de décision.
Pour expliquer la logique sous-jacente, il faut donner des informations simples permettant à la personne concernée de comprendre les raisons de la décision, sans donner d’explication complexe sur les algorithmes utilisés.
Il faut aussi expliquer les conséquences du traitement pour la personne, c’est-à-dire comment il pourrait l’affecter (il est possible de donner des exemples concrets sur les impacts potentiels) [9].
Enfin, il faut inclure les coordonnées permettant à la personne de contester la décision [10].

  • Exemple : « Vous êtes informé que les données financières que nous collectons feront l’objet d’un scoring qui nous permet d’évaluer votre solvabilité et de prendre notre décision concernant votre demande de prêt. Ce traitement nous permet de prendre des décisions équitables et judicieuses. Nous nous basons sur les informations fournies lors du remplissage du formulaire mais aussi sur les informations résultant de votre activité bancaire, telles que des retards de paiement. Nos méthodes de scoring sont régulièrement testées afin de garantir leur efficacité et leur impartialité.
    Vous pouvez contester une décision qui vous concerne et demander une réévaluation de votre dossier en vous adressant à notre Délégué à la protection des données :
    par mail : dpo@banquedumonde.fr
  • par courrier :
    Banque du Monde
    A l’attention du DPO
    2 rue du délégué
    750XX Paris »

Et en cas de collecte indirecte ?

Lorsque les données personnelles ne sont pas collectées directement auprès de la personne concernée (par exemple elles sont obtenues via l’achat de bases de données, via un partenaire commercial, etc.), il faudra fournir en plus des informations listées ci-dessus, les informations suivantes :

1. Les catégories de données personnelles traitées

Exemple : « Les données personnelles ainsi collectées sont vos données d’identification (nom, prénom), l’intitulé de votre poste et vos coordonnées professionnelles. »

2. La source d’où proviennent les données personnelles et l’indication du fait que la source est ou non accessible au public

Exemple 1 : « Vos données nous ont été transmises par notre partenaire La Voiture Volante, et n’ont pas été recueillies de sources accessibles au public. »

Exemple 2 : « Vos données ont été collectées à partir de sources accessibles au public (presse quotidienne, pages jaunes, journaux spécialisés). »

En conclusion

Les mentions d’information exposées ci-dessus semblent être nombreuses, mais selon les cas, elles ne seront pas toutes applicables et vos mentions ne seront pas aussi longues.

L’essentiel est que l’information des personnes soit :

  • Complète
  • Concise
  • Claire
  • Facilement accessible

Il ne s’agit pas de noyer la personne dans des pages d’informations et des détails parfois complexes et incompréhensibles. Il s’agit simplement de l’informer de la collecte de ses données et de l’utilisation qui en est faite, en lui exposant les garanties prises pour assurer la loyauté du traitement et en lui donnant la possibilité d’exercer tous ses droits.


[1] : Il s’agit de l’entité qui décide d’initier un traitement, elle détermine les finalités (quel est l’objectif ?) et les moyens (quelles sont les données à collecter ? quelles personnes seront concernées ? combien de temps seront conservées les données ?).
[2] : Le responsable de traitement doit désigner un représentant lorsqu’il n’est pas établi dans l’UE mais que le RGPD s’applique à lui (par exemple parce-qu’il propose ses produits à des personnes qui se trouvent dans l’UE).
[3] : Il s’agit d’une justification légale qui donne au responsable de traitement la possibilité de collecter les données personnelles, par exemple le consentement de la personne, l’exécution d’un contrat avec la personne, l’existence d’une obligation légale qui impose le traitement, etc. (cf. article 6 du RGDP).
[4] : Les Binding Corporate Rules, ou règles internes d’entreprise, encadrent les transferts au sein d’un groupe international.
[5] : Les Clauses Contractuelles Types sont conclues entre responsables de traitement conjoints ou entre responsable de traitement et sous-traitant pour encadrer leurs transferts de données personnelles.
[6] : Article 13-2 : « e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données. »
[7] : Il s’agit d’une décision prise par des moyens purement technologiques.
[8] : Le profilage consiste en un traitement de données automatisé, ayant pour but d’évaluer certains aspects personnels liés à l’individu, notamment pour analyser ou prédire certains comportements (par exemple : des données de connexion collectées afin de connaître les préférences de l’individu, sur quels sites il se connecte, et lui envoyer de la publicité ciblée).
[9] : Pour plus d’informations, voir les guidelines du G29 sur la prise de décision automatisée et le profilage, http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49826
[10] : Dans le respect de l’article 22-3 du RGPD.

Retour