Conformité RGPD : comment informer les personnes et assurer la transparence ?
Conformité RGPD : comment informer les personnes et assurer la transparence ?
29 juillet 2019
Le règlement général sur la protection des données (RGPD) impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD. La CNIL fait le point sur les mesures permettant de respecter cette obligation.
Ce contenu a été mis à jour le 26 juillet 2019
Le RGPD impose une information complète et précise. Les modalités de fourniture et de présentation de cette information doivent être adaptées au contexte.
La transparence permet aux personnes concernées :
de connaître la raison de la collecte des différentes données les concernant ;
de comprendre le traitement qui sera fait de leurs données ;
d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.
Pour les responsables de traitement, elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées.
Dans quels cas dois-je informer ?
Vous devez informer les personnes concernées :
en cas de collecte directe des données : lorsque les données sont recueillies directement auprès des personnes (exemples : formulaire, achat en ligne, souscription d’un contrat, ouverture d’un compte bancaire) ou lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes (exemples : , analyse de la navigation sur Internet, et wifi analytics/tracking pour la mesure d’audience, etc.) ;
en cas de collecte indirecte des données personnelles : lorsque les données ne sont pas recueillies directement auprès des personnes (exemples : données récupérées auprès de partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes).
À quels moments dois-je informer ?
Dans le cadre de la collecte
en cas de collecte directe : au moment du recueil des données ;
en cas de collecte indirecte : dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans le délai d’un mois (sauf exceptions).
En cas de modification substantielle ou d'événement particulier
exemples : nouvelle finalité, nouveaux destinataires, changement dans les modalités d'exercice des droits, .
Enfin, une information régulière participe de l’objectif de transparence, en particulier pour les traitements à grande échelle ou de données sensibles. Elle peut être fournie notamment lorsque le communique avec les personnes concernées.
Quelles informations dois-je donner ?
Dans tous les cas :
Identité et coordonnées de l’organisme (responsable du traitement de données) ;
Finalités (à quoi vont servir les données collectées) ;
Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « » des données) et conséquences pour la personne en cas de non-fourniture des données ;
Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
Durée de conservation des données (ou critères permettant de la déterminer) ;
Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
Droit d’introduire une réclamation auprès de la CNIL.
Selon les cas :
les intérêts légitimes poursuivis par le responsable du traitement (exemple : prévention de la fraude) si le traitement est fondé sur la de l’intérêt légitime ;
le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les de la Commission européenne) ;
l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’ et de sa logique, ainsi que les conséquences pour la personne concernée ;
le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
les autres droits applicables au traitement, en fonction de sa base légale : et droit à la portabilité.
Informations supplémentaires à donner en cas de collecte indirecte :
Catégories de données recueillies ;
Source des données (en indiquant notamment si elles sont issues de sources accessibles au public).
Sous quelle forme dois-je fournir ces informations ?
Ce que dit le RGPD
La personne concernée par un traitement de données doit recevoir une information délivrée :
de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
Vous devez donc :
Veiller à ce que l’information soit compréhensible
L’information doit être rédigée de la manière la plus claire, précise et simple possible.
Cela implique les mesures suivantes :
Utiliser un vocabulaire simple, faire des phrases courtes et employer un style direct ; éviter les termes juridiques ou techniques, les termes abstraits ou ambigus et les formules telles que « nous pourrions utiliser vos données », « une possible utilisation de vos données », « quelques données vous concernant sont utilisées », etc.
Adapter l’information au public visé et prêter une attention particulière à l’égard des enfants et des personnes vulnérables. Des vidéos, animations ou dessins animés ou bandes dessinées peuvent être un moyen adapté pour rendre l’information compréhensible.
Délivrer une information concise
L’information doit être présentée de manière efficace et succincte afin d’éviter de noyer d’informations les personnes.
Cela signifie qu’il faut :
Faire court et lisible. Il ne faut pas présenter l’information dans une notice d’information composée d’un bloc de 20 pages ou faire des mentions d’information illisibles sous un formulaire de collecte (par exemple, un formulaire d’inscription sur un site internet ou un bon de commande).
Adapter la fourniture d’informations aux situations et aux supports. Une approche combinant différentes modalités d’information peut être suivie, qui tienne compte des spécificités de chaque traitement et permette de fournir les bonnes informations au bon moment.
Les personnes ne doivent pas avoir à chercher l’information ni rencontrer de difficultés à la trouver : elles doivent être dirigées vers l’emplacement de ces informations.
Pour cela, il convient de :
Permettre aux personnes de voir immédiatement comment et où accéder à l’information, quel que soit le contexte ou l’environnement (numérique ou autre) du traitement. Cette information doit être clairement distinguée des autres clauses ou informations que vous fournissez et qui ne sont pas liées à la protection des données personnelles.
Adapter les méthodes choisies en fonction du contexte et des modalités d’interaction avec les personnes. Différents outils et techniques peuvent ainsi être utilisés pour rendre l’information aisément accessible selon les environnements ou les technologies (QR code, message audio, vidéo, panneaux d’affichage, documentation papier, campagne d’information, fenêtres contextuelles, etc.).
Exemples
environnement téléphonique : information fournie par l’interlocuteur ou via un message enregistré ; il est possible de prévoir des options pour obtenir une information plus détaillée ;
présence physique de la personne qui donne l’information : information délivrée par l’interlocuteur, documentation papier ;
échanges écrits : information fournie dans la documentation contractuelle, envoyée par courrier postal, brochure, infographie ;
objets connectés et technologies sans écran : icônes, QR codes, alertes vocales, message envoyé par SMS ou par courriel, documentation papier fournie avec le manuel, signalisation, informations écrites sur l’objet, campagnes d’information publiques ;
applications mobiles : information disponible avant le téléchargement de l’application (sur l’espace du magasin), information écrite aisément accessible au sein de l’application avec un onglet dédié au sein du menu (cf. conseils ci-dessous sur le format pour la présentation de l’information en plusieurs niveaux) ;
La fourniture de l’information doit être adaptée au contexte du traitement mis en œuvre : plus il est complexe ou intrusif, plus la transparence est impérative à l’égard des personnes et doit être garantie par des dispositifs efficaces.
Pour de tels traitements, les mesures suivantes permettent d’atteindre cet objectif de transparence :
Prioriser les éléments d’information
Dans certains cas, la mise à disposition de l’ensemble des informations en un seul bloc ne permet pas d’atteindre l’objectif de lisibilité et il convient donc de favoriser une approche en plusieurs niveaux.
Prioriser ne signifie pas transmettre une information incomplète aux personnes concernées : il s’agit de mettre en avant les informations essentielles et d'offrir un accès simple et immédiat aux autres informations.
Quelles informations prioriser ?
Dans tous les cas
l’identité du ;
les finalités ;
les droits des personnes.
Dans certains cas
Il peut être nécessaire d’ajouter une information essentielle (exemples : prise de décision automatisée ou mise à disposition de données à des partenaires commerciaux) ou les principales conséquences du traitement pour les personnes concernées.
Une information en plusieurs niveaux et via différents canaux
Dans un environnement numérique par exemple, vous pouvez fournir l’information à différentes étapes du parcours utilisateur. Les informations à prioriser peuvent être données à la personne concernée au moment de la création de son compte, directement sur la page d’inscription. Sur cette même page, un lien peut renvoyer vers une notice d’information complète. Celle-ci doit être également lisible et peut dès lors se présenter sous la forme de menus dépliants.
Exemple d'information de premier niveau sur le téléservice de désignation d'un . Un lien renvoie vers une page permettant d'accéder à l'information détaillée.
La page d'information est constituée de menus dépliants permettant un accès rapide au plan et au détail de l'information en un clic.
La bonne information au bon moment
L’avantage d’une notice d’informationpar niveau (liens cliquables, menus dépliants, supports distincts, etc.) est que les personnes peuvent naviguer aisément dans le document. Elle permet également d’apporter des informations plus détaillées, voire descriptives sur le plan technique, sans nuire à l’ergonomie et à la lisibilité de l’information.
D’autres outils peuvent être particulièrement utiles pour assurer la transparence de l’information, comme le recours à des pop-ups d’information contextuelle (push notices) sur un formulaire en ligne, à des icônes ou à des vidéos. Cela permet de donner l’information adéquate au moment opportun pour indiquer, par exemple, à quoi servira l’adresse électronique communiquée.
Donner une vision globale sur les traitements de données réalisés
Si vous utilisez différentes modalités d’information ou si vous fournissez de l’information relative à plusieurs traitements, pensez en complément à centraliser ces informations dans un document unique ou un espace dédié de votre site internet, pour que les personnes puissent prendre facilement connaissance de l’ensemble de l’information. Si vous optez pour un document unique, assurez-vous qu’il est lisible et compréhensible.
Par exemple, sur un site internet, vous pouvez utiliser un lien renvoyant directement vers la politique de protection des données, clairement visible sur chaque page du site, intitulé de manière claire (« Données personnelles » ou « Confidentialité » par exemple).
Cette politique de confidentialité doit être distincte des conditions générales de vente (CGV) ou des conditions générales d’utilisation (CGU) du site internet.
Pour aller plus loin : le tableau de bord « gérer mes données »
Des outils permettent également aux personnes de mieux maîtriser l’utilisation de leurs données, en leur permettant de gérer leurs préférences et d’exercer leurs droits (dashboards).
En résumé
Il n’y a pas une seule façon de bien informer les personnes. Cette information doit être :
adaptée aux situations et aux supports de collecte ;
accessible et compréhensible.
Le RGPD pousse ainsi à la mise en place de solutions innovantes. Une approche combinant différentes modalités d’information, par étapes complémentaires, permet d’atteindre l’objectif de transparence.