Information des personnes : Quelles informations devez-vous donner ?
Le règlement général sur la protection des données (RGPD) impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. Cette obligation de transparence est définie aux articles 12, 13 et 14 du RGPD. La CNIL fait le point sur les mesures permettant de respecter cette obligation.
1. Dans tous les cas :
- Identité et coordonnées de l’organisme (responsable du traitement de données) ;
- Finalités (à quoi vont servir les données collectées) ;
- Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
- Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
- Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
- Durée de conservation des données (ou critères permettant de la déterminer) ;
- Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements)
- Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
- Droit d’introduire une réclamation auprès de la CNIL.
2. Selon les cas :
- les intérêts légitimes poursuivis par le responsable du traitement (exemple : prévention de la fraude) si le traitement est fondé sur la base légale de l’intérêt légitime ;
- le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
- l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;
- l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
- le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
- les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité.
Informations supplémentaires à donner en cas de collecte indirecte :
- Catégories de données recueillies ;
- Source des données (en indiquant notamment si elles sont issues de sources accessibles au public).
Le dossier complet sur l’information des personnes :
1. Dans quels cas devez-vous informer ?
2. À quels moments devez-vous informer ?
3. Sous quelle forme devez-vous fournir ces informations ?
4. Quelles informations devez-vous donner ?
5. Exemples de mentions pour les formulaire de collecte
Remarque
Le fait de mettre des mentions en dessous ou en parallèle de vos formulaires de collecte n’est pas suffisant pour rendre votre organisme conforme pour répondre aux exigences du RGPD.
En effet, la démarche de mise en conformité avec le RGPD est une action qui couvre l’ensemble des processus de traitements de données à caractère personnel au sein de votre organisme. La démarche concerne aussi bien les documents papier que les informations numériques.
Contactez-nous pour être accompagné dans vos démarches de mise en conformité avec le RGPD.
Communiquez-nous les détails sur l’infrastructure à mettre en conformité.
Source : Conformité RGPD : comment informer les personnes et assurer la transparence ? | CNIL
Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.
Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.
Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.
- Vous souhaitez réagir ?
Profitez-en pour laisser un commentaire ci-dessous.
- Vous souhaitez mettre votre établissement en conformité avec le RGPD ?
Consultez nos bons conseils, contactez-nous, demandez-nous un devis.
- Vous êtes futur ou actuellement DPO et souhaitez être rassuré ou accompagné dans vos démarches ? Nous proposons des accompagnements sur mesure
- Vous souhaitez mettre en place des démarches pour améliorer votre cybersécurité ? Nous pouvons vous accompagner