4 ans après l’entrée en application du RGPD, l’information et la transparence vis-à-vis des personnes concernées sont toujours au cœur de l’actualité. Si les entreprises sont de plus en plus conscientes de cette obligation d’information imposée par le RGPD, des questions subsistent toujours sur les points suivants : le contenu et le degré de précision de l’information à fournir aux personnes concernées, le moment de fourniture de l’information et surtout les modalités pratiques.
Au-delà des précisions apportées les lignes directrices du CEPD sur la transparence et des recommandations pratiques présentes sur le site de la CNIL, on peut désormais, pour atteindre le bon niveau de conformité sur l’information des personnes, également s’inspirer de quelques précisions apportées par la CNIL dans les sanctions publiées depuis 2020.
Le droit à l’information des personnes est consacré par les articles 13 et 14 du RGPD. Ces articles listent de manière exhaustive l’ensemble des informations à fournir par le responsable de traitement à la personne concernée dès lors qu’il y a une collecte de données personnelles.
Avant de s’intéresser au contenu et au moment de l’information à fournir, deux points sont importants à retenir : la responsabilité de la fourniture de l’information à la personne concernée et les différents modes de collecte des données.
Concernant la responsabilité de la fourniture de l’information, le RGPD précise que cette obligation incombe au responsable de traitement. Il est donc important pour une entreprise de déterminer pour toute collecte de données personnelles si elle a la qualité ou le statut de responsable de traitement et est donc responsable de délivrer l’information aux personnes concernées. Ce point prend toute son importance lorsqu’un traitement de données personnelles est réalisé par plusieurs acteurs qui peuvent être des partenaires ou des prestataires. Il faut garder à l’esprit que la responsabilité de l’information des personnes n’incombe pas au sous-traitant même si celui-ci réalise entièrement le traitement. Elle incombe à toutes les parties qui ont la qualification de responsable de traitement.
Concernant les différents modes de collecte des données, les articles 13 et 14 du RGPD font une distinction entre la collecte directe et la collecte indirecte. En cas de collecte indirecte, des informations complémentaires doivent être fournies à la personne concernée. On parle de collecte directe lorsque les données sont collectées directement auprès des personnes concernées par exemple, par l’intermédiaire d’un formulaire de collecte des données en ligne (exemple : formulaire de contact, formulaire de création de compte, formulaire d’abonnement à la newsletter, collecte de données à travers les cookies, collecte orale d’informations auprès de la personne concernée, collecte des données à travers des dispositifs de vidéosurveillance, de géolocalisation, utilisation des outils informatiques, etc.). Par opposition, on parle de collecte indirecte lorsque les données n’ont pas été collectées directement auprès de la personne concernée. Les données peuvent avoir été transmises par un partenaire (exemple : achat ou location de bases de données ou de fichiers, collecte de données auprès d’organismes sociaux ou administrations, etc.).
Afin d’adapter le contenu des mentions à fournir, il est important d’identifier tous les moyens de collecte ou d’obtention des données au sein de l’entreprise. Ce travail préalable permettra de garantir la conformité des mentions fournies.
Ensuite, quand, par quel moyen le responsable de traitement doit-il fournir ces informations ? Que doivent contenir ces informations ?
Le moment de l’information des personnes dépend de l’origine de la collecte. En effet, le RGPD précise que lorsque les données personnelles sont collectées directement auprès de la personne, les informations doivent être fournies au moment de la collecte. Par opposition, lorsque les données personnelles sont collectées indirectement, la personne doit être informée dans un délai raisonnable, et au plus tard un mois suivant la collecte. Dans ce cas de figure, deux options peuvent être envisagées :
Dans les deux cas, si cette première communication est prévue un ou plusieurs mois après la collecte, le délai d’information est ramené à un mois.
En pratique, le responsable de traitement doit identifier toutes les sources de collecte des données au sein de son entreprise, les classer et s’assurer qu’une mention d’information est présente pour chaque source de collecte. Par exemple, pour les cas de collecte directe, la mention d’information doit être présente sur chaque formulaire de collecte des données présent sur le site internet. S’il existe des formulaires papier de collecte des données, la mention doit être présente sur chaque formulaire papier.
Pour les cas de collecte indirecte, il est important d’identifier ou de planifier la première communication avec la personne après l’acquisition de la base de données. Il est donc important de dater l’acquisition d’une base de données pour pouvoir respecter les exigences du RGPD. Dans la démarche de conformité, un modèle de mention ou d’email doit être établi avec une formulation qui inclut de manière compréhensible et transparente toutes les différentes sources de collecte indirecte.
Le moyen utilisé pour informer la personne doit être adapté au moyen de collecte des données. L’objectif est de garantir la transparence vis-à-vis des personnes concernées.
Un des moyens les plus stables de fournir l’information aux personnes concernées est de mettre en place une politique de protection des données personnelles ou politique de confidentialité complète sur le site internet de l’entreprise. Cette politique de confidentialité ne doit pas se limiter aux traitements de données réalisés uniquement à travers le site internet, mais inclure tous les traitements de données personnelles réalisés par l’entreprise.
La CNIL liste quelques moyens qui peuvent être acceptables : un message enregistré pour les appels téléphoniques, une notice d’information sous format papier remise en main propre ou affichée dans les locaux de l’entreprise, des mentions dans la documentation contractuelle ou dans des brochures d’informations, des emails, des panneaux d’information visibles, des icônes, etc. La liste n’est pas exhaustive. Il revient au responsable de traitement de trouver la modalité la plus adéquate en fonction du service ou produit fourni.
Quelques exemples pratiques :
Quel que soit le moyen de collecte des données, une information doit être fournie à la personne concernée. La CNIL à récemment rappelé dans une sanction prononcée à l’encontre de TOTALENERGIE l’obligation d’informer les personnes concernées même en cas d’appel téléphonique. Elle a précisé que : « Les informations essentielles concernant le traitement de leurs données n’étaient pas communiquées aux personnes contactées qui ne se voyaient pas non plus offrir la possibilité d’accéder à plus d’informations, par exemple en activant une touche de leur clavier de téléphone […] Il suffit de donner l’accès à un message préenregistré aux personnes concernées en appuyant sur une touche :
Exemple : « Pour accéder aux mentions d’informations merci d’appuyer sur la touche 2 ».
Concernant les formulaires de collecte de données en ligne, il faut noter que les mentions doivent être présentes sur chaque formulaire présent sur le site internet. La mention doit être clairement visible et présenter les mentions requises par la CNIL.
Concernant la forme et la clarté de l’information, l’article 12 du RGPD précise que les informations doivent être transmises « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». En pratique, cela doit se traduire par l’utilisation de termes clairs et non-juridiques. Sur ce point, la CNIL a mis à disposition un tableau permettant de vulgariser certains termes juridiques afin de les rendre plus compréhensibles et ainsi satisfaire à cette obligation.
L’exigence de clarté de compréhension est encore plus forte lorsqu’il s’agit de mineurs. En effet, la CNIL recommande de délivrer une information et un design adapté pour les services utilisés par les mineurs. Pour cela, l’information doit être claire, concise et compréhensible, car la difficulté d’exercer ses droits est encore plus forte chez un public mineur.
Cette exigence de clarté doit être un critère pour analyser la conformité des mentions d’information rédigées par les entreprises. La CNIL a eu l’occasion de le rappeler dans les sanctions à l’encontre des sociétés Carrefour Banque et Carrefour France du 18 novembre 2020. Elle a en effet estimé que : « L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées. »
Le contenu de l’information à fournir aux personnes concernées est précisé dans les articles 13 et 14 du RGPD. Ces mentions sont obligatoires et non facultatives. Le fait de ne pas mentionner une information qui serait applicable est constitutif d’une non-conformité au RGPD. La CNIL a eu l’occasion de le rappeler à la société Bricoprivé qui s’est vu infliger une amende de 500 000 euros pour non-respect de l’information des personnes, car l’information délivrée sur le site de l’entreprise ne reprenait pas toutes les mentions obligatoires exigées par le RGPD.
La seule dérogation accordée par la CNIL concerne l’environnement en ligne pour lequel la CNIL précise qu’il est possible, dans ce cas, de fournir des informations partielles, en renvoyant vers une politique de confidentialité plus complète qui contiendrait toutes les mentions exigées par le RGPD. Cela signifie qu’un formulaire de collecte des données présent sur un site internet doit contenir des mentions prioritaires moins complètes. Cela sera considéré comme conforme seulement si les mentions sont accompagnées d’un lien hypertexte renvoyant vers une mention ou politique plus complète. Les mentions prioritaires dans ce cas sont les suivantes :
La mention plus complète doit quant à elle contenir obligatoirement toutes les mentions requises par les articles 13 et 14 du RGPD. En effet, dans une sanction prononcée à l’encontre de la Société Nestor, la CNIL a relevé que les mentions obligatoires n’étaient pas toutes présentes sur le formulaire de collecte et que ce dernier : « Ne renvoyait pas non plus vers une page dédiée qui aurait contenu les informations manquantes. »
Les mentions listées aux articles 13 et 14 sont les suivantes :
Le nom de la société qui est responsable du traitement des données doit être clairement indiqué. Lorsque les données sont collectées par un formulaire en ligne, l’identité peut également être précisée par le nom du site (exemple : www.mon-frigo-intelligent.fr).
De même, lorsqu’il s’agit d’un email d’information, l’identité est normalement déjà précisée via le nom de l’expéditeur (exemple : contact@mon-frigo-intelligent.com).
La personne sait alors qui s’adresse à elle. Il faut en effet éviter d’envoyer des emails à partir d’une adresse électronique ambigüe, qui ne permet pas à la personne d’identifier son interlocuteur (exemple : contact@xmail.com).
Dans tous les cas, qu’il s’agisse d’un mail d’information, un courrier d’information ou même une politique de confidentialité, il est préférable de commencer le texte en présentant l’activité de l’entreprise en une ligne. Exemple : « Mon-frigo-intelligent est une société basée en France et qui commercialise des réfrigérateurs connectés. »
L’identité du responsable de traitement doit être accompagnée par ses coordonnées. Par exemple, l’adresse principale ou celle du siège social de l’entreprise. Si les coordonnées sont identiques à celles du DPO, il faudra également les indiquer de nouveau dans la section dédiée de la mention afin que les personnes concernées puissent savoir qu’elles doivent contacter l’entreprise ou le DPO à cette adresse.
Lorsque l’entreprise n’est pas située sur le territoire de l’Union européenne et qu’elle a une obligation de désigner un représentant au sein de l’Union européenne, ce représentant ainsi que ces coordonnées doivent être indiquées dans la mention.
Même si l’entreprise ne se retrouve pas dans l’obligation de désigner un délégué à la protection des données, elle peut au moins désigner une personne référente à laquelle pourront s’adresser les personnes concernées pourront s’adresser pour exercer leurs droits. A défaut, le service juridique ou le service client peut s’en charger. Dans tous les cas, si un DPO a été désigné, ses coordonnées (adresse email et postale) doivent être indiquées.
Il s’agit pour l’entreprise d’expliquer d’une manière simple et explicite dans quel but elle collecte les données de la personne, et sur quelle base légale elle se fonde.
Exemple : « Nous collectons vos données personnelles afin de vous proposer nos meilleures promotions et offres commerciales, sur la base de votre consentement. »
Lorsque les données sont collectées pour plusieurs finalités, elles devront toutes être précisées.
Exemple : « Vos données personnelles seront traitées dans le cadre de la gestion administrative du personnel, gestion de la paie, inscription à la mutuelle, suivi des congés et absences, gestion des formations. »
En cas de traitement impliquant un système d’Intelligence Artificielle, la CNIL indique que le Responsable de Traitement devra veiller à délivrer une information claire aux personnes, notamment quant à l’utilisation d’un tel système.
Toutes les finalités de traitement doivent être indiquées, aussi bien celles qui sont réalisées directement à travers le site internet que celles qui sont réalisées hors site internet.
Pour garantir l’exhaustivité des finalités listées, le responsable de traitement peut réaliser une analyse comparative avec le registre des traitements en s’assurant que tous les traitements identifiés ont bien fait l’objet d’une information aux personnes concernées.
La base légale ne doit pas être indiquée de manière globale pour l’ensemble des finalités indiquées. Une base légale doit être indiquée pour chaque finalité.
Pour les finalités ayant pour base légale l’intérêt légitime du responsable de traitement cet intérêt légitime doit être détaillé. L’intérêt légitime est le bénéfice qui peut être tiré du traitement. Il ne peut constituer une base légale que lorsqu’il respecte les intérêts des personnes concernées. Une entreprise peut avoir un intérêt légitime à connaître les préférences des clients pour adapter son offre, mais si elle doit surveiller ses clients en ligne et hors ligne, sans aucune limite, elle ne peut se fonder sur l’intérêt légitime comme base légale. Il faut qu’il y ait en contrepartie des garanties pour les droits et libertés des personnes. Exemple : « Ce traitement est effectué sur la base des intérêts légitimes de la société Mon-frigo-intelligent, dans la mesure où il nous permet d’adapter et d’améliorer les services que nous vous proposons. »
Cette information concerne les personnes ou organismes qui auront accès aux données collectées, que ce soit en interne (différents départements ou filiales de la société) ou en externe (partenaires commerciaux, prestataires, clients B2B). Tous les destinataires internes et externes doivent être identifiés. Dans les catégories de destinataires, on peut avoir :
Exemple : « Vos données seront traitées par notre département Commercial et notre département Marketing. Elles seront transmises à certains de nos prestataires de campagne emailing. »
Si les données personnelles sont transférées en dehors de l’Union européenne (à une filiale, à un prestataire…), il faut le préciser en indiquant sur quelle base ce transfert se fonde : décision d’adéquation ? BCR ? CCT ?
Si possible, il faut aussi préciser le pays de destination.
Exemple : « Vos données pourront être transférées à nos filiales qui se trouvent au Brésil et au Vietnam, et avec lesquelles nous avons conclu des clauses contractuelles types. »
Dans la délibération sanctionnant Carrefour France et Carrefour Banque, la CNIL a relevé que : « Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers). »
En cas de transfert de données, le Responsable de traitement devra donc veiller à bien préciser le pays de destination ainsi que les garanties mises en place pour assurer le transfert.
La durée de conservation des données fixée par l’entreprise doit être indiquée. Cette durée ne doit pas dépasser les durées légales prévues. Une durée de conservation doit être indiquée pour chaque finalité de traitement listée. La mention d’une durée globale pour l’ensemble des traitements peut être considérée comme non-conforme pour la CNIL, exemple « Elles seront conservées pour toute la durée de notre relation commerciale, et pour les 3 ans qui suivent la fin de cette relation. »
L’ensemble des droits des personnes tels que prévus par le RGPD doivent être listés. Toutefois, il ne suffit pas de les lister, il faut également indiquer à la personne par quels moyens elle peut les exercer (courrier, email, portail dédié…).
C’est à ce moment-là qu’il faut préciser les coordonnées du DPO ou du service en charge de la gestion des demandes. Exemple : « Vous disposez d’un droit d’accès, de rectification, de suppression, d’opposition, de portabilité, ainsi qu’un droit à la limitation du traitement. Vous pouvez exercer ces droits à tout moment en contactant notre Service Juridique : par mail : servicejuridique@mon-frigo-intelligent.com
-par courrier : Mon-frigo-intelligent A l’attention du Service juridique, 1 rue de la donnée,750XX Paris ».
Il faut également inclure le moyen (par exemple un lien de désinscription à la newsletter ou à la prospection) qui permet de retirer son consentement aussi facilement que celui-ci a été obtenu. Exemple : « Pour vous désinscrire de notre newsletter, vous pouvez cliquer sur le lien de désinscription présent directement au bas de l’email. »
La personne concernée a le droit d’introduire une réclamation ou plainte auprès de l’autorité de contrôle de son choix : celle de son pays de résidence ou celle du pays du responsable de traitement.
De manière générale, le responsable de traitement peut indiquer l’autorité de contrôle du pays où il se trouve. S’il a des filiales dans plusieurs pays, il pourra soit faire référence à son autorité de contrôle chef de file, soit à l’autorité de contrôle locale (du pays où se trouvent les personnes concernées à qui s’adressent les informations).
Il est également possible d’inclure les coordonnées de l’autorité (mais le RGPD ne précise pas si c’est obligatoire).
Exemple : « Vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris. »
Il s’agit du cas de figure dans lequel le refus de la personne de fournir ses données personnelles est soit contraire à une obligation réglementaire, soit contraire à une obligation contractuelle, soit empêcherait de conclure un contrat.
Par exemple, le fait de fournir certaines informations à l’état-civil constitue une obligation réglementaire. Certaines données peuvent en outre être obligatoires pour la fourniture d’un service, telle que l’adresse email dans un formulaire de contact.
Exemple : « Les champs marqués d’un astérisque sont obligatoires, il s’agit de données nécessaires à la fourniture de nos services. Si vous décidez de ne pas remplir ces champs, nous ne pourrons pas vous fournir les services demandés ».
Le responsable de traitement doit trouver des moyens simples pour informer la personne concernée des critères de prise de décision.
Pour expliquer la logique sous-jacente, il faut donner des informations simples permettant à la personne concernée de comprendre les raisons de la décision, sans donner d’explication complexe sur les algorithmes utilisés.
Il faut aussi expliquer les conséquences du traitement pour la personne, c’est-à-dire comment il pourrait l’affecter (il est possible de donner des exemples concrets sur les impacts potentiels).
Enfin, comme le précise les guidelines du G29 indique qu’il faut inclure les coordonnées permettant à la personne de contester la décision.
Exemple : « Vous êtes informé que les données financières que nous collectons feront l’objet d’un scoring qui nous permet d’évaluer votre solvabilité et de prendre notre décision concernant votre demande de prêt. Ce traitement nous permet de prendre des décisions équitables et judicieuses. Nous nous basons sur les informations fournies lors du remplissage du formulaire, mais aussi sur les informations résultant de votre activité bancaire, telles que des retards de paiement. Nos méthodes de scoring sont régulièrement testées afin de garantir leur efficacité et leur impartialité.
Vous pouvez contester une décision qui vous concerne et demander une réévaluation de votre dossier en vous adressant à notre Délégué à la protection des données :
par mail : dpo@banquedumonde.fr
par courrier : Banque du Monde A l’attention du DPO
2 rue du délégué
750XX Paris ».
Lorsque les données personnelles ne sont pas collectées directement auprès de la personne concernée (par exemple lorsqu’elles sont obtenues via l’achat de bases de données, via un partenaire commercial, etc.), il faudra fournir en plus des informations listées ci-dessus, les informations suivantes :
– Les catégories de données personnelles traitées
Exemple 1 : « Les données personnelles ainsi collectées sont vos données d’identification (nom, prénom), l’intitulé de votre poste et vos coordonnées professionnelles. »
– La source d’où proviennent les données personnelles et l’indication du fait que la source est ou non accessible au public
Exemple 1 : « Vos données nous ont été transmises par notre partenaire La Voiture Volante, et n’ont pas été recueillies de sources accessibles au public. »
Exemple 2 : « Vos données ont été collectées à partir de sources accessibles au public (presse quotidienne, pages jaunes, journaux spécialisés). »
En conclusion
Les mentions d’information exposées ci-dessus semblent être nombreuses, mais selon les cas, elles ne seront pas toutes applicables et vos mentions ne seront pas aussi longues.
Il est essentiel que l’information des personnes soit :
Il faut éviter de noyer la personne dans des pages d’informations et des détails parfois complexes et incompréhensibles. Les mentions d’informations font désormais l’objet d’une analyse détaillée par la CNIL. Il est dès lors important d’associer le DPO à la rédaction de ces mentions ou de se faire aider par un expert pour garantir la conformité des mentions rédigées.
Si vous souhaitez être accompagné par nos experts en protection des données personnelles, n’hésitez pas à vous rendre sur notre site internet et à nous nous contacter.
Dans le même thème : Comment anonymiser et conserver les données ?
Chaimae Attahiri