Entré en application il y a presque 4 ans, le Règlement européen sur la protection des données 2016/679 du 27 avril 2016 (RGPD) entend assurer une meilleure protection des données des personnes.
En dépit des principales nouveautés relatives à la responsabilisation des acteurs et au renforcement des sanctions, plusieurs droits ont été introduits pour les personnes concernées. Ces droits sont prévus aux articles 12 et suivants du RGPD et visent notamment à leur permettre de reprendre le contrôle sur leurs données. Ainsi, l’individu peut à titre d’exemple décider de ne plus traiter ses données ou encore de les effacer.
Parmi ces droits, l’obligation d’information des articles 13 et 14 du RGPD vise à informer les personnes sur le traitement de leurs données et à assurer par conséquence la transparence du traitement. La personne doit dès lors avoir notamment connaissance des raisons pour lesquelles les données sont collectées, comment elles sont traitées et pendant combien de temps elles sont conservées. Elle doit également être informée de ses droits et des modalités de leur mise en œuvre.
Pour garantir un respect effectif de cette obligation d’information, plusieurs conditions doivent être respectées liées à la modalité de présentation de l’information, à l’objet de l’information ou encore au moment de sa communication.
Qui informer ?
Toute personne dont les données sont collectées doit recevoir les informations obligatoires relatives au traitement concerné.
Cette obligation peut être rapprochée de l’exigence portant sur le consentement. En effet, pour que le consentement soit collecté de manière libre et éclairée[1], la personne concernée doit avoir reçu au préalable les informations nécessaires lui permettant de décider en connaissance de cause quant à la communication ou non de ses données.
[1] Règlement européen sur la protection des données 2016/679 du 27 avril 2016, article 4 11
Sur quoi informer ?
L’objet de l’information dépend de la modalité de collecte des données personnelles. Les informations à transmettre aux personnes concernées ne sont pas identiques selon qu’il s’agit d’une collecte directe ou d’une collecte indirecte. La collecte directe concerne les cas où les données sont obtenues directement auprès de la personne concernée. La collecte indirecte correspond toutefois aux cas où les informations sont obtenues via une source tierce.
En cas de collecte directe, les informations devant être transmises portent sur l’identité et les coordonnées du responsable de traitement, voire de son représentant, les coordonnées du délégué à la protection des données le cas échéant, les finalités du traitement, la base juridique du traitement, les destinataires ou les catégories de destinataires des données personnelles, le fait que le responsable du traitement a l’intention de transférer les données vers un pays situé hors UE et les garanties permettant de légitimer ce transfert ainsi que les moyens d’en obtenir une copie. Dans le cas où la base légale du traitement est l’intérêt légitime, la personne concernée doit également être informée des intérêts légitimes poursuivis par le responsable du traitement ou par le tiers. D’autres informations devant être fournies portent sur la durée de conservation, les droits dont bénéficient les personnes, le caractère obligatoire ou facultatif de la collecte, les conséquences éventuelles de la non fourniture des données, l’existence le cas échéant d’une prise de décision automatisée, y compris un profilage et la logique sous-jacente.
Des informations supplémentaires doivent être fournies en cas de collecte indirecte. Celles-ci portent sur les catégories de données à caractère personnel concernées et sur la source d’où proviennent les données.
Comment informer ?
Des exigences portent également sur la modalité d’affichage de l’information. Ainsi, au titre de l’article 12 du RGPD, les informations doivent être transmises « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Ces obligations impliquent d’adapter la forme de présentation au support sur lequel est communiquée l’information et en tenant compte du destinataire de l’information, « en particulier pour toute information destinée spécifiquement à un enfant ».
Il convient à titre d’exemple de prendre en compte les difficultés que peut rencontrer la personne lors de l’intégration de l’information affichée sur un support électronique. L’utilisateur ne doit en effet pas devoir faire des efforts pour pouvoir bien assimiler la totalité des informations et le responsable de traitement doit veiller à assurer une prise de connaissance effective du contenu.
Ainsi, Carrefour a été sanctionnée par la CNIL pour avoir notamment manqué à l’obligation d’informer les personnes[1]. L’exigence d’accessibilité de l’information n’a en effet pas été respectée au vu de « la multiplicité des pages à consulter, des liens présents dans les différentes pages, ainsi que [de] la redondance des informations ». La CNIL précise que « l’accès à ces informations n’était pas aisé et que l’utilisateur devait faire preuve d’une détermination particulière pour accéder aux informations sur ces questions ». Elle rappelle ainsi que l’information doit être présentée « de manière efficace et succincte afin d’éviter de noyer l’information à délivrer parmi d’autres contenus informatifs ». Elle ajoute de plus, tout en remettant en cause la clarté et la simplicité de l’information, « que les mentions d’information doivent s’attacher, autant que faire se peut, à utiliser un vocabulaire simple, faire des phrases courtes et employer un style direct, mais aussi éviter les termes juridiques ou techniques, les termes abstraits ou ambigus ».
[1] Délibération de la formation restreinte n° san-2020-008 du 18 novembre 2020 concernant la société Carrefour France
Quand informer ?
Le moment de transmission de l’information à la personne concernée varie selon qu’il s’agit d’une collecte directe ou d’une collecte indirecte.
En cas de collecte directe, les informations doivent être communiquées au moment de l’obtention des données, voire dès avant le début du cycle de traitement. En cas de collecte indirecte, le moment de fourniture de l’information n’est pas identique et il revient au responsable de traitement d’effectuer un choix parmi plusieurs possibilités :
- Dans un délai raisonnable et au plus tard dans un mois après avoir obtenu les données
- Au plus tard au moment de la première communication, dans le cas où les données personnelles seront utilisées pour communiquer avec la personne concernée
- Dans le cas où il est envisagé de communiquer les données à un autre destinataire, au plus tard lors de la première communication
Quand ne pas informer ?
Des exceptions à cette obligation d’information en cas de collecte indirecte existent et le responsable de traitement n’est pas tenu de transmettre les informations à la personne concernée dans le cas où la personne dispose déjà de ces informations ou lorsque la fourniture des informations se révèle impossible ou exigerait des efforts disproportionnés. Dans ce cas, des mesures appropriées pour protéger les droits et libertés des personnes doivent être mises en place. D’autres exceptions portent sur les cas où l’obtention ou la communication des informations sont prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ou lorsque les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel.
Que faire en cas d’évolution des traitements ?
L’obligation d’information imposée au responsable de traitement s’applique non seulement au moment où les données sont collectées mais concerne également tout le cycle du traitement. Ainsi, en cas d’évolution des traitements, voire dans le cas où le responsable de traitement envisage de traiter les données pour des finalités non prévues au préalable, une mise à jour des informations déjà transmises et une communication sur les nouveautés relatives aux traitements concernés est en effet exigée. Pour garantir la transparence du traitement, il est nécessaire de communiquer sur ces évolutions et sur toute modification substantielle dans l’information.
Dans ses lignes directrices sur la transparence, le CEPD (ex-G29) considère que constitue une modification substantielle toute modification portant sur la finalité du traitement, l’identité du responsable de traitement ou encore la manière dont les responsables de traitement peuvent exercer leurs droits. En revanche, ne constitue pas une modification substantielle celle portant sur des fautes d’orthographe ou de syntaxe.
Le responsable de traitement doit ainsi prendre les mesures nécessaires afin de garantir que ces nouvelles informations soient bien portées à la connaissance des personnes concernées en utilisant un moyen adapté tel que le mail ou tout autre moyen permettant de capter l’attention de la personne concernée.