RGPD : zoom sur les mentions d'information

Le règlement général sur la protection des données personnelles (« RGPD ») impose de nombreuses obligations légales, dont une principale à savoir la communication de certaines informations spécifiques auprès des personnes dont les données sont collectées.

Cette information doit être concise, transparente, compréhensible et aisément accessible des personnes concernées, notamment lorsque les données sont recueillies directement auprès des personnes (ex : formulaire de collecte en ligne).

L’article 13 du RGPD renseigne sur les informations à disposer pour les responsables de traitement de données personnelles. Voici les informations.

La finalité du traitement de données personnelles mis en place

L’élément principal est la détermination du périmètre de traitement. L’étendue du traitement doit être définie en priorité avant de préciser le détail des finalités. Il est nécessaire pour les responsables de traitement de bien s’assurer de ne pas traiter les données collectées de manière incompatible avec ce qui a été communiqué initialement aux personnes concernées.

Par ailleurs, il convient de bien indiquer les finalités commerciales le cas échéant.

La base légale du traitement

La seconde étape est de définir la base légale du traitement de données personnelles mis en place par le responsable de traitement. A ce titre, le RGPD détaille six bases légales sur lesquelles peuvent reposer un traitement de données personnelles a savoir :

• Le consentement des personnes ;
• L’exécution d’un contrat, ou de mesure précontractuelle ;
• Une obligation légale ;
• La sauvegarde des intérêts vitaux d’une personne ;
• Une mission d’intérêt public / autorité publique ;
• Les intérêts légitimes du responsable du traitement.

A titre d’exemple, concernant la mise en place un traitement de données personnelles dans le cadre d’un site de e-commerce, concernant la gestion des commandes et des achats notamment, la base légale sera l’exécution d’un contrat.

Concernant la dernière base légale potentielle, à savoir les intérêts légitimes du responsable de traitement, il convient de préciser que cette finalité présente des risques juridiques important en cas de mauvaises rédaction.

Les destinataires ou catégories de destinataires des données personnelles 

L’étape suivante est de définir les destinataires des données personnelles. Le RGPD impose de détailler précisément l’ensemble des personnes ayant accès aux données personnelles collectées, à savoir les destinataires ou le cas échéant les catégories de destinataires des données à caractère personnel.

À ce titre, il est nécessaire de communiquer aux personnes concernées toutes les personnes ayant accès à leurs données personnelles.

La durée de conservation des données personnelles

Le RGPD précise également l’obligation de communiquer aux personnes concernées la durée de conservation des données personnelles lorsque les données sont collectées.

Dans l’éventualité où cette durée n’est pas possible à déterminer, les critères utilisés pour déterminer cette durée doivent être mise en place.

L’indication du caractère obligatoire ou non de la fourniture des données personnelles 

Le responsable du traitement est tenu de renseigner les personnes dont les données personnelles sont collectées, si cette collecte a un caractère réglementaire ou bien si elle conditionne la conclusion d’un contrat, et si la collecte d’information a un caractère obligatoire ou non.

À titre d’exemple, si la base légale du traitement de données personnelles est une obligation légale, il sera nécessaire d’indiquer le caractère obligatoire de la collecte à la personne concernée et les conséquences en cas de non-communication de ces informations.

Les autres mentions obligatoires d’information

Les autres mentions obligatoires mis en place par le RGPD sont :

• L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement.
• Les droits des personnes concernées : les droits d’accès, de rectification, d’effacement et de limitation pour tous les traitements, et le droit d’opposition et à la portabilité des données le cas échéant, pour certains traitements en fonction de leurs bases légales.
• Le droit au retrait du consentement à tout moment, si la base légale du traitement est le consentement.
• Les coordonnées du délégué à la protection des données (DPO) de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles.
• Le droit d’introduire une réclamation auprès de la CNIL.

Enfin certains cas spécifiques peuvent entrainer la réalisation d’autres actions adaptées à savoir :

• Si le traitement met en place du profilage ou une prise de décision automatisée, une analyse d’impact relative à la protection des données personnelles (AIPD) devra être réalisée en raison des risques accrus que présentent ce type de traitements.
• En cas de transfert de données hors de l’Union Européenne, il sera nécessaire de mettre en place des clauses de protection adéquates sur les contrats avec les sous-traitants de données personnelles établis hors de l’Union européenne, conformément aux clauses contractuelles types de la Commission européenne.

Conclusion

La rédaction des mentions légales est un exercice imposé par le RGDP, pour lequel la Commission Nationale d’Informatique et Liberté (CNIL) est de plus en plus stricte et sensible.

Afin de pouvoir répondre à ces nouvelles obligations, le plus simple est de fournir ces informations dans un document unique telle qu’une politique confidentialité claire et accessible, afin que les personnes concernées puissent prendre facilement connaissance de l’ensemble des informations obligatoires préconisées par la CNIL et la Commission européenne.

Il est par ailleurs recommandé par la CNIL que cette politique de confidentialité soit distincte des conditions générales de vente (CGV) ou des conditions générales d’utilisation (CGU) d’un site internet.