Coup d’œil :

• Sous quelle forme dois-je donner des informations sur le recueil et le traitement des données personnelles ?
• 12 informations à donner quand vous collectez les données personnelles directement auprès de la personne
• Cas particulier: transférer les données hors EEE.
• 13 informations si les données ne sont pas directement collectées auprès de la personne
• Quand doit être transmise l’information sur des données non-directement recueillies auprès des personnes ?
• Cas du changement du but du traitement après la collecte initiale
• Vous êtes dispensé de cette procédure d’information de la personne dans certains cas

Trop souvent encore des sites ou des communications d’entreprises ne sont pas conformes à la loi dans leurs informations sur l’utilisation des données personnelles.

Ce guide vous permettra de démarrer un audit sur vos polices de données personnelles, de vie privée.

La conformité à l’ensemble du nouveau Règlement sur la Protection des Données Personnelles (RGPD) démarre le 25 mai 2018, c’est une date butoir.

Le RGPD, par son principe d’ « ACCOUNTABILITY » = vous devez rendre des comptes, demande plus de précisions sur votre façon de recueillir et d’utiliser les données personnelles de vos clients, prospects ou simples visiteurs de votre site qui s’inscrivent à votre newsletter par exemple.

Le défi est de transmettre votre information de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » [1]

Le RGPD place l’individu au centre des décisions sur ses données personnelles, lui donne des droits et les moyens de les utiliser [2]

Votre communication doit être à jour et légale, c’est important quelle que soit la taille de votre entreprise, vous ne pouvez renvoyer une impression d’amateurisme et de manque de considération pour les précieuses données personnelles que l’on vous a remises.

 

Sous quelle forme donner des informations sur le recueil et le traitement des données personnelles ?

Votre police des données personnelles doit figurer dans un document séparé,aisément identifiable sur votre communication et clairement intitulé

Votre communication doit être

• concise
• transparente
• compréhensible
• aisément accessible
• en des termes clairs et simples [3]

Concise

Attention la concision ne veut pas dire mettre sous silence des éléments importants et obligatoires.

Votre police de données personnelles sera probablement plus longue que celle que vous utilisiez jusqu’alors

Attention à la communication destinée aux enfants :

> Elle doit être particulièrement adaptée au groupe d’âge visé

> La limite d’âge pour un consentement valide, sans avoir besoin de l’autorisation de l’autorité parentale, est de 16 ans

> Mais un État Membre peut prévoir une limite d’âge inférieure pour un consentement valide, elle ne sera jamais en dessous de 13 ans

Vous êtes aussi soumis au droit spécifique de l’État de résidence de l’enfant pour les communications avec des enfants.

Transparente 

Il faut donner au « sujet » la possibilité de s’informer simplement sur votre utilisation de ses données :

• Qu’allez-vous réellement faire de ses données ?
• Les vendre, les garder pour vous, les transmettre à des tiers ?
• Pourquoi ? (Obligation légale ou entreprises du même groupe)

Compréhensible, accessible, en termes clairs

• N’utilisez pas de jargon marketing ou juridique, dites simplement à quoi peut s’attendre la personne
• Pas de texte en petites lettres serrées
• Utilisez une police de caractère très lisible
• Ne serrez pas vos lignes, le texte doit être aéré et agréable à lire
• De grâce, pas de texte cauchemardesque, intentionnellement ou non, illisible et indigeste

Risques si vous ne respectez ces conseils (de bon sens) :

• Il pourrait vous être reproché de ne pas avoir fourni une information conforme au RGPD
• L’information de la personne est capitale si vous avez choisi le consentement comme base légale du recueil et du traitement des données personnelles
• Vous pourriez faire face à de très fortes pénalités administratives [5] d’une autorité centrale de contrôle des données (telle la CNIL en France)
• Ne pas oublier que l’Autorité de contrôle a la possibilité de réaliser des audits dans votre société!
• Un utilisateur pourrait vous reprocher de ne pas l’avoir correctement informé de l’utilisation de ses données et vous poursuivre par un recours juridictionnel [6]
• Un utilisateur peut réclamer la réparation d’un dommage matériel ou moral en violation du règlement [7]

L’information peut être transmise

• Par écrit
• Par d’autres moyens : par exemple sous forme électronique (lien dans votre communication, sur votre site…)
• Oralement, sur demande de l’intéressé, à condition qu’il ait été identifié
• Elle peut être accompagnée d’icônes normalisées [8] , cliquables si le l’information est sous forme électronique.

Le texte ne donne pas plus d’informations sur la forme de ces icônes.

Il faut attendre que les normes soient établies.

12 informations à transmettre quand vous collectez les données personnelles directement auprès de la personne

1. Identité et coordonnées du responsable du traitement

ou du représentant du responsable du traitement [10] pour le cas où votre société n’a pas d’établissement sur le territoire de l’EEE mais recueille des données personnelles de sujets résidant dans l’EEE (Espace Économique Européen)

2. Les coordonnées du Délégué à la Protection des Données (DPD)  [11]

sous certaines conditions, selon la nature des données et l’échelle du traitement, vous devrez désigner un délégué [12]  . Informations sur votre obligation, ou non, de désigner un DPD ici

3. Les finalités du traitement auquel sont destinées les données personnelles ainsi que la base juridique du traitement

Rappel : il y a 6 bases licites [13] pour opérer un traitement des données personnelles. Plus d’informations ici

4. Lorsque le traitement est fondé sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, il faut détailler ces intérêts.

5. Les destinataires ou les catégories de destinataires des données personnelles, s’ils existent (par exemple des sous-traitants aux fins d’analyse, de ciblage…)

6. CAS PARTICULIER : TRANSFERT DES DONNÉES DANS DES PAYS TIERS 

• Si en tant que responsable du traitement, vous décidez de transférer les données personnelles vers un pays tiers hors Espace Économique Européen [15] ou une organisation internationale, vous devez le signaler
• Vous ne pouvez transférer les données personnelles de résidents européens sans leur donner des garanties

Vous devez mentionner

• L’existence ou l’absence d’une décision d’adéquation rendue par la Commission
• Une liste de pays autorisés pour le transfert des données personnelles est consultable sur le site de la Commission Européenne [16]
• Il existe aussi des accords internationaux généraux de transfert des données personnelles tels le Privacy Shield avec les États-Unis

Dans le cas de transferts basés sur d’autres garanties appropriées comme

• Des Règles d’entreprise contraignantes
• L’utilisation de Clauses Types de protection des données approuvées par la Commission
• L’adoption d’un code de conduite approuvé, (un label européen de protection des données est annoncé [17])

Vous devrez mentionner sur quelle garantie précédente vous vous basez

Vous devrez indiquer les moyens d’obtenir une copie du document de garantie ou l’endroit où il peut être consulté (par exemple les Règles d’entreprise contraignantes, le code de conduite)

Patience, ce n’est pas fini… vous devrez aussi inclure dans vos informations :

Informations complémentaires nécessaires pour garantir un traitement équitable et transparent 

7. Durée de conservation des données personnelles

ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée

8. Le « sujet » des données personnelles a des droits, vous devez l’en informer

• Droit d’accès à ses données personnelles
• Droit à la rectification ou l’effacement des données personnelles le concernant
• Droit à une limitation du traitement (pour des données sensibles de santé, génétiques, biométriques)
• Droit de s’opposer au traitement, y compris aux fins de marketing direct
• Droit à la portabilité des données

9. Si le traitement est fondé sur le consentement exprès de la personne

elle a le droit de retirer son consentement à tout moment

Attention:

les traitements opérés avant le retrait du consentement restent licites.

La conformité au RGPD est une forme de gouvernance continue de vos données.

10. Droit d’introduire une réclamation auprès d’une autorité de contrôle

11. Si des données personnelles sont exigées

• Il faut dire à la personne pourquoi
• Est-ce exigé par un règlement, un contrat ?
• Est-ce la condition pour la conclusion d’un contrat ?
• Il faut informer la personne des conséquences si elle refuse de fournir ses données

12. Cas des décisions automatisées ou de profilage

La personne doit être informée sur l’existence d’une décision automatisée, y compris par profilage

• Donner des informations utiles pour expliquer ce type de prise de décision
• Expliquer l’importance et les conséquences de ce type de traitement pour la personne

Quand informer ?

Vous devez informer la personne au maximum au moment où vous recueillez la donnée personnelle

13 informations à donner si les données ne sont pas directement collectées auprès de la personne  [18]

1. Identité et coordonnées du responsable du traitement

ou du représentant du responsable du traitement [19]

Cas où votre société n’a pas d’établissement sur le territoire de l’EEE mais recueille des données personnelles de sujets résidants dans l’UE)

2. Les coordonnées du Délégué à la Protection des Données(DPD ou DPO)
   

   sous certaines conditions, selon la nature des données et l’échelle du traitement, vous devrez désigner un Délégué) [20]

3. Les finalités du traitement auquel sont destinées les données personnelles ainsi que la base juridique du traitement

   Rappel : il y a 6 bases licites [21] pour opérer un traitement des données personnelles. Informez-vous ici 

4. Les catégories de données personnelles concernées

5. Les destinataires ou les catégories de destinataires des données personnelles

   s’ils existent (par exemple des sous-traitants aux fins d’analyse, de ciblage…)

6. CAS PARTICULIER : TRANSFERT DES DONNÉES DANS DES PAYS TIERS 

• Si en tant que responsable du traitement, vous décidez de transférer les données personnelles vers un pays tiers hors Espace Économique Européen [22] ou une organisation internationale, vous devez le signaler
• Vous ne pouvez transférer les données personnelles de résidents européens sans leur donner des garanties

À savoir :

Vous devrez mentionner l’existence ou l’absence d’une décision d’adéquation rendue par la Commission 

• Une liste de pays autorisés pour le transfert des données personnelles est consultable sur le site de la commission Européenne [23]
• Il existe aussi des accords internationaux généraux de transfert des données personnelles tels le Privacy Shield avec les États-Unis

Dans le cas de transferts basés sur d’autres garanties appropriées

comme

• Des Règles d’entreprise contraignantes
• L’utilisation de Clauses Types de protection des données approuvées par la Commission
• L’adoption d’un code de conduite approuvé, (un label européen de protection des données est annoncé [24])

> Vous devrez mentionnez sur quelle garantie précédente vous vous basez

> Vous devrez indiquer les moyens d’obtenir une copie du document de garantie ou l’endroit où il peut être consulté (par exemple les Règles d’entreprise contraignantes, le code de conduite)

Informations complémentaires nécessaires pour garantir un traitement équitable et transparent 

7. Durée de conservation des données personnelles

ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée

8. Le « sujet » des données personnelles a des droits, vous devez l’en informer 

• Droit d’accès à ses données personnelles
• Droit à la rectification ou l’effacement des données personnelles le concernant
• Droit à une limitation du traitement (pour des données sensibles de santé, génétiques, biométriques)
• Droit de s’opposer au traitement, y compris aux fins de marketing direct
• Droit à la portabilité des données

9. Si le traitement est fonde le consentement exprès de la personne,

elle a le droit de retirer son consentement à tout moment (les traitements opérés avant le retrait du consentement restent licites)

10. Droit d’introduire une réclamation

    auprès d’une autorité contrôle (CNIL en France)
    

11. Si des données personnelles sont exigées

• Il faut dire à la personne pourquoi
• Est-ce exigé par un règlement, un contrat ?
• Est-ce la condition pour la conclusion d’un contrat ?
• Il faut informer la personne des conséquences si elle refuse de fournir ses données

12. Informer sur l’existence d’une décision automatisée, y compris par profilage

• Donner des informations utiles pour expliquer ce type de prise de décision
• Expliquer l’importance et les conséquences de ce type de traitement pour la personne

13. Les mêmes exigences d’informations qu’au cas de collecte directe s’appliquent mais il est en plus exigé

• La source d’où proviennent les données personnelles
• le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public

 

Quand doit être donnée l’information sur des données non-directement recueillies auprès des personnes ?

• dans un délai raisonnable après avoir obtenu les données
• ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données personnelles sont traitées
• si les données personnelles doivent être utilisées pour communiquer avec la personne concernée
  • au plus tard au moment de la première communication
• S’il est envisagé de communiquer les informations àun autre destinataire
  • au plus tard lorsque les données sont communiquées pour la première fois.

CAS DU CHANGEMENT DU BUT DU TRAITEMENT APRÈS LA COLLECTE INITIALE

Si la finalité du traitement est différente de celle présentée à la personne au moment où les données avaient été recueillies :

• Le responsable du traitement doit à nouveau informer la personne sur les modalités de la nouvelle finalité
• Le responsable du traitement devra donner toute information au sujet de la nouvelle finalité
• Le responsable devra reprendre le processus d’information des points 7 à 13 ci-dessus
  

Vous êtes dispensé de cette procédure d’information de la personne dans certains cas

1. Si vous avez collecté directement les données personnelles et que la personne dispose déjà de l’information
2. Si les données n’ont pas été directement collectées auprès de la personne, vous êtes dispensé

• Quand la personne dispose déjà des informations

• Quand la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés en particulier pour le traitement dans le but d’archivage
  • dans l’intérêt public
  • pour la recherche scientifique ou historique
  • pour des statistiques sous réserve des conditions et garanties tels la minimisation des données comme leur pseudonymisation [25]
  • S’il est impossible dans les faits d’informer la personne ou si cette obligation d’information compromettait gravement la réalisation du traitement
    • le responsable doit cependant prendre des mesures « appropriées » pour protéger les droits et libertés, les intérêts légitimes des personnes concernées par le traitement
    • par exemple en rendant les informations sur le traitement des données non directement collectées publiquement disponibles

• Des mesures d’informations sont déjà expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis

• Les données doivent rester confidentielles à cause d’une obligation de secret professionnel règlementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

NOTES

[1] Art 12-1, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données) GDPR ou RGPD, http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[2]  » Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. » Récital 7, GDPR, ibid.

[3] Art 12, GDPR, Supra note 1

[4] VOIR mon article, si vous choisissez le consentement : « RGPD (GDPR) : Comment enregistrer le consentement des personnes ? » https://mementosafe.com/consentement-rgpd/

[5] Art 83, GDPR, supra note 1

[6] Art 79, GDPR, Ibid.

[7] Art 82, Ibid.

[8] Art 12-7, ibid.

[9] Art 13, ibid.

[10] Art 27 :  » Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union », ibid.

[11] VOIR mon article : « Dois-je désigner un Délégué à la Protection des Données sous le RGPD ? » https://mementosafe.com/rgpd-delegue-protection-donnees-rgpd/

[12] Art 37, ibid.

[13] Art 6, ibid.

[14] VOIR mon article, si vous choisissez le consentement : « RGPD (GDPR) : Comment enregistrer le consentement des personnes ? » https://mementosafe.com/consentement-rgpd/

[15] EEE: comprend tous les États membres de l’Union Européenne + le Liechtenstein, la Norvège et l’Islande

[16] Liste des pays autorisés pour y transférer des données personnelles de sujets résidents en Europe http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm en anglais, 12 pays en mai 2017.

[17] Art 42-5, supra note 1

[18] Art 14, supra note 1

[19] Art 27 :  » Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union », ibid.

[20] Art 37, ibid.

[21] Art 6, ibid.

[22] EEE : comprend tous les États membres de l’Union Européenne + le Liechtenstein, la Norvège et l’Islande

[23] Liste des pays autorisés pour y transférer des données personnelles de sujets résidents en Europe http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm en anglais, 12 pays en mai 2017.

[24] Art 42-5, supra note 1

[25] Art 89- 1, supra. note 1

[ninja_form id=2]