Définition :

Le responsable de traitement a l’obligation d’informer les personnes concernées du ou des traitement(s) effectué(s) sur leurs données à caractère personnel lorsque ces données sont collectées directement auprès de la personne concernée ou lorsque les données sont collectées de manière indirecte (exemple : données publiques ou sur des réseaux sociaux). 

Articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD

A retenir :

Quelles informations l’entreprise doit-elle transmettre aux personnes concernées ?

Les informations qui doivent apparaître au sein d’une mention d’information sont les suivantes :

  • Identité et coordonnées du responsable de traitement
  • Le cas échéant, identité et coordonnées du représentant du responsable du traitement
  • Le cas échéant, coordonnées du délégué à la protection des données (« DPO »)
  • Finalités du traitement
  • Base juridique du traitement (consentement, exécution d’un contrat, respect d’une obligation légale, etc.)
  • Le caractère obligatoire ou facultatif du recueil des données à caractère personnel et conséquences pour la personne en cas de non-fourniture des données
  • Le cas échéant, les intérêts légitimes du responsable de traitement ou du tiers, si le traitement est nécessaire aux fins de ces intérêts légitimes
  • Destinataires ou catégories de destinataires des données à caractère personnel, s’ils existent
  • Détails concernant les transferts de données dans des pays tiers et les garanties associées
  • Durée de conservation des données à caractère personnel, ou critères permettant de déterminer cette durée de conservation
  • Mention de chacun des droits des personnes concernées (accès, rectification, effacement, limitation du traitement, opposition et portabilité, etc.)
  • Mention du droit de retirer le consentement à tout moment, si applicable
  • Mention du droit d’introduire une réclamation auprès d’une autorité de contrôle
  • Mention de l’existence d’une prise de décision automatisée, si elle existe, y compris un profilage
  • En cas de collecte indirecte : catégories et source des données recueillies

Quelle forme peut prendre cette information ?

Cette information peut prendre la forme :

  • d’une politique de Confidentialité pour les traitements de données à caractère personnel effectués via un site Internet,
  • d’une politique interne à destination des salariés,
  • des mentions d’information en bas de formulaire, devis ou emails ;
  • dans une clause Protection des données personnelles dans les contrats de travail, client ou prestataires/ fournisseurs.

Nos conseils :

  • Éviter toute copie de politiques de confidentialité existantes qui ne sont pas adaptées aux traitements de données à caractère personnel effectués par votre entreprise et qui ne sont parfois pas mises à jour.
  • Privilégier un format lisible, compréhensible et aisément accessible.
  • Utiliser des termes simples et clairs.
  • Fournir l’information à différentes étapes du parcours utilisateur
  • Prioriser les informations et les communiquer à la personne concernée au moment de la création de son compte, directement sur la page d’inscription
  • Renvoyer, sur cette même page, vers une notice d’information complète via un lien.

Je veux connaître mes obligations relatives aux droits des personnes concernées, que dois-je faire concrètement ?

  1. Consulter nos prochaines formations pour apprendre à se mettre en conformité avec la réglementation RGPD ou mieux connaître mon rôle de DPO ;
  2. Nous vous mettons en relation avec un avocat spécialisé et expérimenté qui répondra à vos obligations relatives à la réglementation RGPD.