Définition :
Le responsable de traitement a l’obligation d’informer les personnes concernées du ou des traitement(s) effectué(s) sur leurs données à caractère personnel lorsque ces données sont collectées directement auprès de la personne concernée ou lorsque les données sont collectées de manière indirecte (exemple : données publiques ou sur des réseaux sociaux).
Articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD
A retenir :
Quelles informations l’entreprise doit-elle transmettre aux personnes concernées ?
Les informations qui doivent apparaître au sein d’une mention d’information sont les suivantes :
- Identité et coordonnées du responsable de traitement
- Le cas échéant, identité et coordonnées du représentant du responsable du traitement
- Le cas échéant, coordonnées du délégué à la protection des données (« DPO »)
- Finalités du traitement
- Base juridique du traitement (consentement, exécution d’un contrat, respect d’une obligation légale, etc.)
- Le caractère obligatoire ou facultatif du recueil des données à caractère personnel et conséquences pour la personne en cas de non-fourniture des données
- Le cas échéant, les intérêts légitimes du responsable de traitement ou du tiers, si le traitement est nécessaire aux fins de ces intérêts légitimes
- Destinataires ou catégories de destinataires des données à caractère personnel, s’ils existent
- Détails concernant les transferts de données dans des pays tiers et les garanties associées
- Durée de conservation des données à caractère personnel, ou critères permettant de déterminer cette durée de conservation
- Mention de chacun des droits des personnes concernées (accès, rectification, effacement, limitation du traitement, opposition et portabilité, etc.)
- Mention du droit de retirer le consentement à tout moment, si applicable
- Mention du droit d’introduire une réclamation auprès d’une autorité de contrôle
- Mention de l’existence d’une prise de décision automatisée, si elle existe, y compris un profilage
- En cas de collecte indirecte : catégories et source des données recueillies
Quelle forme peut prendre cette information ?
Cette information peut prendre la forme :
- d’une politique de Confidentialité pour les traitements de données à caractère personnel effectués via un site Internet,
- d’une politique interne à destination des salariés,
- des mentions d’information en bas de formulaire, devis ou emails ;
- dans une clause Protection des données personnelles dans les contrats de travail, client ou prestataires/ fournisseurs.
Nos conseils :
- Éviter toute copie de politiques de confidentialité existantes qui ne sont pas adaptées aux traitements de données à caractère personnel effectués par votre entreprise et qui ne sont parfois pas mises à jour.
- Privilégier un format lisible, compréhensible et aisément accessible.
- Utiliser des termes simples et clairs.
- Fournir l’information à différentes étapes du parcours utilisateur
- Prioriser les informations et les communiquer à la personne concernée au moment de la création de son compte, directement sur la page d’inscription
- Renvoyer, sur cette même page, vers une notice d’information complète via un lien.
Je veux connaître mes obligations relatives aux droits des personnes concernées, que dois-je faire concrètement ?
- Consulter nos prochaines formations pour apprendre à se mettre en conformité avec la réglementation RGPD ou mieux connaître mon rôle de DPO ;
- Nous vous mettons en relation avec un avocat spécialisé et expérimenté qui répondra à vos obligations relatives à la réglementation RGPD.
