Une personne dûment et clairement informée sur la manière dont ses données à caractère personnel seront traitées par une organisation aura davantage confiance en cette dernière. Et aura donc plus facilement tendance à lui confier ses données personnelles.


Vous avez manqué les étapes 1 et 2 ?  Retrouvez les ici :

La transparence constitue l'un des principes fondamentaux du règlement général sur la protection des données (RGPD ou GDPR). Ceci implique que l'organisation (le responsable du traitement qui détermine les finalités et les moyens du traitement des données à caractère personnel) est tenue de fournir à la personne concernée des informations concernant le traitement de ses données à caractère personnel. Le but est que la personne concernée sache ce qu'il adviendra de ses données à caractère personnel et comment celles-ci seront traitées.

Il est important pour l'organisation de bien comprendre l'idée sous-jacente du principe de transparence. Une personne dûment et clairement informée aura davantage confiance dans l'organisation et dans la manière dont ses données à caractère personnel seront traitées. Par conséquent, elle confiera également plus facilement ses données à caractère personnel à cette organisation.

Quand ?

Dès qu'une organisation collecte des données à caractère personnel, que ce soit directement auprès de la personne concernée (dans le cadre de l'exécution d'un contrat, de l'inscription à un événement professionnel ou à un séminaire, de l'inscription à une newsletter ou à des mails de prospection, ...) ou indirectement (auprès d'un tiers bénéficiaire d'une assurance, de partenaires commerciaux, ...), cette organisation est tenue d'en informer la personne concernée.

Ces informations doivent être communiquées à la personne concernée au plus tard au moment où ses données sont collectées.

Comment ?

Le GDPR n'impose aucune exigence formelle concernant la communication des informations à la personne concernée. En revanche, un principe de responsabilité s'applique. Cela signifie que le responsable du traitement (l'organisation qui détermine les finalités et les moyens du traitement) doit pouvoir démontrer qu'il a satisfait à ses obligations, et notamment à l'obligation d'information. Dès lors, il est préférable de communiquer ces informations sur papier ou par voie électronique, de manière à ce que l'organisation puisse démontrer par la suite qu'elle a bien fait le nécessaire. En outre, ces informations doivent être facilement accessibles.

Le GDPR précise que les informations relatives au traitement doivent être communiquées d'une façon concise, transparente et compréhensible. Par conséquent, il convient d'utiliser des termes clairs et simples. Le GDPR impose également à l'organisation de faire particulièrement attention au langage utilisé lorsque celle-ci collecte des données concernant des enfants.

L'organisation devra examiner au cas par cas comment mettre en oeuvre son obligation d'information afin de satisfaire au mieux au principe de transparence. Dans le contexte du droit du travail, l'organisation devra peut-être joindre une annexe au règlement de travail (p. ex. vidéosurveillance). Un webshop informera quant à lui la personne concernée via une politique publiée en ligne. Enfin, le fournisseur d'une application mobile pourra procéder au moyen de messages pop-up contenant des informations succinctes et renvoyant vers une politique plus détaillée, etc.

Contenu ?

En comparaison avec la loi Vie privée, le GDPR impose à l'organisation de fournir à la personne concernée davantage d'informations relatives au traitement :

  • L'identité et les coordonnées du responsable du traitement (donc l'organisation qui détermine les finalités et les moyens du traitement).
  • Si un Data Protection Officer (DPO) a été désigné, ses coordonnées. Vous trouverez ici de plus amples informations concernant l'obligation de désigner un DPO.
  • Les finalités du traitement. Exemples de finalités : gestion du personnel, gestion des clients, prospection, ... 
  • La base juridique du traitement des données à caractère personnel. Le responsable du traitement doit faire reposer le traitement sur (au moins) un fondement juridique pour pouvoir traiter les données à caractère personnel de manière légitime.

    Ex. Dans le cadre de la gestion du personnel, l'exécution du contrat de travail et l'obligation légale constituent la base juridique. Dans le cas de l'envoi d'e-mails de prospection, c'est le consentement.

    Les différents fondements juridiques possibles sont les suivants :
  • la personne concernée a donné son consentement ;
  • le traitement est nécessaire aux fins de l'exécution d'un contrat ;
  • le responsable du traitement est soumis à une obligation légale de traiter les données à caractère personnel ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement. Lorsque le responsable du traitement s'appuie sur ce fondement pour traiter des données à caractère personnel, il est tenu de justifier ces intérêts légitimes et de prouver qu'ils prévalent sur les intérêts individuels de la personne concernée (p. ex. transmission de données à caractère personnel de travailleurs vers la société mère afin de tout centraliser au sein d'un même système logiciel) ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
  • le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.

Attention : pour certaines catégories de données à caractère personnel (données sensibles), un régime particulier s'applique, avec des fondements juridiques spécifiques.

  • Les droits de la personne concernée (notamment le droit de retirer son consentement).
  • Le droit d'introduire une plainte auprès de l'Autorité de protection des données (anciennement commission Vie privée).
  • Les (catégories de) destinataires des données à caractère personnel (p. ex. secrétariat social, services publics, ...).
  • Le transfert de données à caractère personnel vers des pays tiers (en dehors de l'UE) ou des organisations internationales et les garanties (p. ex. PrivacyShield, Binding corporate rules, Standard Contractual Clauses, …) sur lesquelles repose le transfert.
  • Le délai de conservation des données à caractère personnel ou les critères en vertu desquels le délai de conservation est défini.
  • L'existence d'une prise de décision automatisée et/ou d'un profilage automatisé et les conséquences potentielles pour la personne concernée. Le credit scoring en est un bon exemple. Cela permet aux banques de décider, sur la base des informations dont elles disposent (patrimoine, historique de paiement, etc.), d'octroyer un crédit ou non et, le cas échéant, de déterminer le montant de ce crédit.
  • Si les données à caractère personnel n'ont pas été obtenues directement auprès de la personne concernée, l'organisation qui a reçu les données d'un tiers doit informer la personne concernée concernant les catégories de données dont il s'agit (p. ex. identité, coordonnées, profession et emploi, formation, ...) et le tiers qui lui a communiqué ces données (la source).

    Dans ce dernier cas, l'organisation doit fournir les informations dans le mois suivant l'obtention des données à caractère personnel. Si les données sont utilisées aux fins de la communication avec la personne concernée, les informations doivent être fournies au plus tard au moment du premier contact.

Lorsque l'organisation a l'intention de traiter les données à caractère personnel pour une autre finalité ou de les transmettre à un tiers, elle doit en informer au préalable la personne concernée si cela n'a pas encore été fait.

L'obligation d'information ne s'applique pas dans quelques rares cas :

  • lorsque la personne concernée dispose déjà de ces informations,
  • lorsque la communication est impossible (l'on ne dispose pas des coordonnées) ou
  • lorsque cette communication exigerait des efforts disproportionnés.

Cet article montre toute la portée de l'obligation d'information. Il en ressort que pratiquement aucune note d'information, politique, annexe au règlement de travail, ... ne contiendra toutes les informations requises : tous ces documents devront donc être vérifiés.

L'on en retiendra surtout qu'une personne bien informée aura davantage confiance dans l'organisation et confiera plus facilement ses données à caractère personnel aux fins du traitement visé.

Points d'action :

  • Examiner attentivement les notes d'information, politiques, etc. afin de vérifier que toutes les mentions obligatoires y figurent bien.
  • Le registre peut être utilisé comme fil conducteur pour la rédaction de la note d'information. Lire ici.
  • Le GDPR Compass contient une section détaillée sur l'obligation de transparence dans le cadre de l'obtention directe et indirecte de données et vous indique, sur la base de vos réponses, comment vous devez compléter votre note d'information. Le GDPR Compass est disponible sur www.gdprcompass.be
  • Utiliser des termes clairs et simples.
  • Veiller à ce que les informations soient facilement accessibles.
  • Choisir une forme adaptée pour le document d'information.
  • Agoria met à disposition différents modèles (p. ex. politique RH, vidéosurveillance, etc.).

 

Lisez aussi les autres articles de cette série de blogs :