DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
14 - [Focus] Le principe de transparence et l'information des personnes concernées
Le Règlement européen sur la protection des données impose aux organisations de fournir aux personnes concernées une information complète sur les traitements de leurs données personnelles: c'est le principe de transparence. Zoom sur cet aspect du règlement avec le cabinet BDO.
1 - Le principe de transparence: décryptage
Le RGPD (Règlement européen sur la protection des données) exige queles personnes concernées soient informées du traitement de leurs données à caractère personnel. C'est le principe de transparence. Les données ne peuvent être traitées qu'après communication aux personnes concernées d'une information complète sur le traitement.
Le principe de transparence vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font qu'il est difficile, pour la personne concernée, de savoir et de comprendre si des données personnelles la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Toutefois, le principe de transparence doit être respecté pour tout traitement de données personnelles.
Le règlement énumère un ensemble d'informations devant être obligatoirement communiqué aux personnes concernées. Les informations à fournir ne sont pas les mêmes selon que celles-ci ont été collectées directement auprès de la personne concernée, ou que celles-ci proviennent d'une voie indirecte, i.e. via un tiers (exemple: location de bases clients).
Quelles que soient les modalités de collecte, le responsable de traitement devra informer les personnes concernées de:
- Son identité, de ses coordonnées, et de celles du DPO (délégué à la protection des données);
- La finalité du traitement et de la base juridique (consentement, contrat, etc.);
- L'identité des destinataires des données;
- L'existence de transferts en dehors de l'UE;
- La durée de conservation des données;
- L'existence des droits d'accès, de rectification, d'effacement, de limitation et d'opposition au traitement et du droit à la portabilité (tout en gardant en mémoire que certains droits ne s'appliquent pas à certains traitements);
- L'existence du droit d'introduire une réclamation auprès d'une autorité de contrôle (exemple: Cnil);
- L'existence d'une prise de décision automatisée le cas échéant (exemple: profilage).
En cas de collecte indirecte, il conviendra également de repréciser les catégories de données à caractère personnel concernées et la source de ces données.
En cas de collecte directe, il faudra indiquer le caractère règlementaire ou contractuel de l'exigence de la fourniture des données, ainsi que les conséquences de leur non-fourniture.
La communication de ces informations est obligatoire, à quatre exceptions près:
- Si la personne concernée dispose déjà de ces informations;
- Si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés;
- Si le droit de l'Union Européenne ou celui d'un État membre prévoient l'obtention ou la communication des données;
- S'il s'agit de données confidentielles en vertu d'une obligation de secret professionnel.
2 - Implications opérationnelles
Cette information doit être délivrée de façon "concise, transparente, compréhensible, et aisément accessible, en des termes clairs et simples" et apparaître sur différents supports. Par exemple, pour les données RH, l'information pourra être communiquée au travers:
- de documents contractuels (contrats de travail),
- du site internet de l'entreprise en cas de formulaire de collecte de données (exemple: candidature en ligne),
- du livret d'accueil (données relatives à la formation ou à la mobilité par exemple),
- de la politique générale "Privacy" de l'entreprise.
On pourra s'inspirer des modèles de mentions d'information diffusés par la Cnil pour faciliter le travail rédactionnel.
Pour être certain d'informer systématiquement les personnes concernées, il conviendra d'identifier les moyens de collecte propre à chaque traitement. Le plus simple est de réaliser ce recensement au moment de l'élaboration du registre des traitements.
L'auteur
Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).