Comment remplir son obligation de transparence ?

De wikidatamarketing
Sauter à la navigation Sauter à la recherche


Cette obligation de transparence s’articule autour de deux obligations : l’information de la personne concernée par le traitement de données personnelles, via une mention d’information, et la mise en place d’une politique de protection des données personnelles.


L’information

L’information s’impose principalement au moment de la collecte de données personnelles ou préalablement au recueil du consentement mais celle-ci est également nécessaire en cas de modification substantielle ou d'événement particulier : nouvelle finalité, nouveaux destinataires, changement dans les modalités d'exercice des droits, violation.

Cette obligation est plus flexible que sous l’empire de l’ancienne réglementation puisque le RGPD incite les acteurs à déterminer une politique de protection des données adaptée à leur activité, en appréciant eux-mêmes les informations prioritaires à fournir au moment de la collecte des données ou préalablement au recueil du consentement.

Le sous-traitant ou l’un des co-responsables peuvent être amenés à fournir cette information.

Le but n’est pas d’indiquer toutes les informations au moment de la collecte de données ou préalablement au recueil du consentement mais de les prioriser. L’information donnée doit être claire, précise, simple, concise, adaptée à la situation et au support.

Doivent être renseignés dans tous les cas (source CNIL) :

- l’identité du responsable de traitement

- les finalités

- les droits des personnes

Il peut être nécessaire d’ajouter d’autres informations essentielles : prise de décision automatisée ou mise à disposition de données à des partenaires commerciaux ou transfert hors UE.


La politique de protection des données personnelles

Le responsable de traitement doit prendre les mesures organisationnelles et techniques appropriées à son activité pour la sécurité des données. Il veille également à l’information des personnes concernées et assure un accès effectif à cette information et à leurs droits. C’est ce qui est appelé « politique de protection des données personnelles ».

Il est vivement recommandé aux entités ayant des activités en ligne impliquant des traitements de données personnelles d’utilisateurs, d’afficher leur politique de protection des données sur leur site Internet ou plateforme (sur une page ou rubrique dédiée ou, selon les cas, dans une clause distincte figurant aux conditions générales d’utilisation). Sont indiquées les mesures prises pour garantir une utilisation des données respectueuse de la vie privée des personnes, y compris en termes de sécurité des données (exigeant des précautions particulières selon la sensibilité des données traitées, l’échelle du traitement, etc.).

Les informations à fournir dans le cadre du droit d’accès sont (source RGPD, article 15) :

- les finalités du traitement ;

- les catégories de données à caractère personnel concernées ;

- les destinataires ou les catégories de destinataires des données, en particulier les destinataires établis en dehors de l’UE (les prestataires n’ont pas à être mentionnés) ;

- la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;

- l'existence du droit d'accès aux données traitées, de rectification, d'effacement (droit à l’oubli), de limitation du traitement, de s'opposer au traitement et à la portabilité des données ;

- le droit d'introduire une réclamation auprès d'une autorité de contrôle ;

- la source d’où viennent les données personnelles lorsqu’elles n’ont pas été collectées directement auprès de la personne concernée ;

- le cas échéant, l’existence d'une prise de décision automatisée, y compris un profilage ;

Dans l’esprit du RGPD, si l’information fournie au moment de la collecte n’a pas à être exhaustive mais au contraire adaptée, la politique de protection des données personnelles doit, elle, permettre une information complète et l’exercice effectif des droits des personnes concernées. Le formulaire de collecte de données ou de recueil du consentement peut renvoyer vers cette politique de protection des données pour toute information complémentaire.

Attention : le renvoi vers la politique de protection des données ne suffit pour valider le consentement en matière de cookies et autres traceurs. Il faut, en effet, que l’utilisateur puisse choisir les finalités.

Cette contribution vous a été fournie par Alexandra Basset, Responsable des affaires juridiques, AACC