Comment communiquer avec les personnes dont vous collectez les données ?

Le droit à l’information constitue l’un des points centraux du nouveau règlement sur la protection des données. Ainsi, l’article 12 du RGPD impose « une information concise, transparente, compréhensible et aisément accessible des personnes concernées ». Des termes généraux qui méritent des explications supplémentaires.

Quelles sont les informations à transmettre ?

Si pour mener à bien votre activité vous devez collecter des données personnelles, sachez que le RGPD vous oblige à transmettre plusieurs informations aux personnes concernées (les propriétaires des données). Parmi les informations que vous devrez communiquer il y a :

  • L’identité de votre entreprise ou de votre organisation : adresse, téléphone, SIRET…
  • L’identité de votre DPO si vous en avez un ;
  • Les raisons de la collecte et/ou de l’utilisation des données ;
  • Les catégories de données à caractère personnel que vous traitez ;
  • La raison légale du traitement ;
  • La durée de conservation des données ;
  • Les autres destinataires s’il y en a ;
  • Les modalités du transfert si un des destinataires est situé hors de l’UE ;
  • Les droits fondamentaux des personnes concernées : droit d’accès, droit à la portabilité, droit à l’oubli, droit de modification… ;
  • L’existence ou non d’une prise de décision automatisée ;

Comment devrait-être ces informations ?

Les informations communiquées aux personnes concernées devraient être « concises, transparentes, compréhensibles et aisément accessibles » :

  • Concises et transparentes : il ne s’agit pas de noyer les personnes concernées d’information juridique. Il faut aller à l’essentiel ;
  • Compréhensibles : les informations à communiquer devraient être aisément comprises par la majorité du public visé. Il est fortement conseillé de privilégier l’utilisation de termes clairs et simples ;
  • Aisément accessibles : cela signifie que les personnes concernées ne devraient pas avoir à rechercher les informations mais devraient, au contraire y accéder avec la plus grande facilité (via un lien, via un questionnaire aisément compréhensible…) ;
  • Gratuites : le responsable du traitement n’a pas le droit d’exiger des personnes concernées un quelconque paiement pour la fourniture d’informations portant sur le sort de leurs données ;

Quel support d’information ?

L’article 12, paragraphe 1 du RGPD précise que les informations et les communications doivent être adressées aux personnes concernées par écrit. Bien évidemment, le RGPD autorise également l’utilisation « d’autres moyens de communication », notamment électroniques. Le G29 précise que sur un site internet, les informations à fournir à l’internaute doivent être exposées à différents niveaux tout en étant accessibles à un endroit unique ou dans un même document.

Il est également possible d’utiliser les avis apparaissant dans des fenêtres contextuelles, par déplacement de l’écran ou encore des tableaux de bord. À part tout cela, il est important de noter que les informations peuvent être fournies oralement, si la personne concernée en fait la demande. Toutefois, la personne concernée doit apporter la preuve de son identité.

Quand communiquer les informations ?

Les articles 13 et 14 du RGPD précisent les délais à respecter pour communiquer les informations aux personnes concernées. Plusieurs cas de figure sont prévus par ces articles :

  • Si les données ont été collectées directement auprès de la personne concernée (remplissage d’un formulaire, utilisation d’un appareil de saisie automatique…), les informations doivent être « fournies au moment où les données en question sont obtenues » ;
  • Si les données ont été obtenues de manière indirecte, les informations doivent être communiquées dans un « délai raisonnable » qui ne dépasse pas 1 mois. Ce délai d’un mois peut être raccourci si les données sont utilisées « aux fins de la communication avec la personne concernée ». Il sera également réduit si les données sont communiquées à un autre destinataire : dans ce cas-là, les informations doivent être fournies au cours de la première communication ;

En définitive, le délai maximal à respecter pour communiquer des informations aux personnes concernées est de 1 mois. Malgré tout, en vertu des principes d’équité et de responsabilité, le responsable du traitement devrait faire tout ce qui est en son pouvoir pour communiquer ces informations le plus tôt possible.