Le règlement général sur la protection des données (RGPD) impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD. La CNIL fait le point sur les mesures permettant de respecter cette obligation.
Quelles informations dois-je donner ?
1. Dans tous les cas :
- Identité et coordonnées de l’organisme (responsable du traitement de données) ;
- Finalités (à quoi vont servir les données collectées) ;
- Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
- Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
- Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
- Durée de conservation des données (ou critères permettant de la déterminer) ;
- Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) ;
- Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
- Droit d’introduire une réclamation auprès de la CNIL.
2. Selon les cas :
- les intérêts légitimes poursuivis par le responsable du traitement (exemple : prévention de la fraude) si le traitement est fondé sur la base légale de l’intérêt légitime ;
- le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
- l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;
- l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
- le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
- les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité.
Informations supplémentaires à donner en cas de collecte indirecte :
- Catégories de données recueillies ;
- Source des données (en indiquant notamment si elles sont issues de sources accessibles au public).
Sommaire du Chapitre « 6. LA COLLECTE ET LE CONSENTEMENT »
Source : CNIL : Conformité RGPD : comment informer les personnes et assurer la transparence ? (26/07/2019)
Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.
Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.
LeNetExpert Formations