Obligation d'information du RGPD

đź“• Les articles 12, 13 et 14 du RGPD concernent le droit Ă  l’information de l’utilisateur dont les donnĂ©es sont collectĂ©es, que va devoir rendre effectif le responsable de traitement. 

L’article 12 impose la transparence des informations que le responsable de traitement doit communiquer Ă  l’utilisateur. 

L’article 13 du RGPD Ă©nonce toutes les informations que le responsable de traitement doit communiquer aux utilisateurs dès qu’il collecte leurs donnĂ©es Ă  caractère personnel directement auprès d’eux : 

  • Son identitĂ© et ses coordonnĂ©es ;
  • Les coordonnĂ©es du Data Protection officer (DPO) ; 
  • Les finalitĂ©s du traitement auquel sont destinĂ©es les donnĂ©es Ă  caractère personnel (pourquoi les donnĂ©es sont traitĂ©es) ainsi que la base juridique du traitement ;
  • Les intĂ©rĂŞts lĂ©gitimes poursuivis par lui ou par les tiers lorsque le traitement est fondĂ© sur de tels intĂ©rĂŞts ;
  • Les destinataires des donnĂ©es ; 
  • Le fait qu’il ait l’intention d’effectuer un transfert de donnĂ©es Ă  caractère personnel vers un pays tiers (pays n’appartenant pas Ă  l’Union europĂ©enne), une organisation internationale et l’existence ou l’absence d’une dĂ©cision d’adĂ©quation rendue par la Commission ou la rĂ©fĂ©rence aux garanties appropriĂ©es (Clauses contractuelles types (CCT) ou les accords intra entreprises (BCR) notamment). 

Le responsable de traitement doit Ă©galement informer la personne : 

  • De la durĂ©e de conservation des donnĂ©es Ă  caractère personnel ou - quand ce n’est pas possible - les critères utilisĂ©s pour dĂ©terminer cette durĂ©e ;
  • De son droit d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition au traitement et son droit Ă  la portabilitĂ© de ses donnĂ©es ;
  • De son droit de retirer son consentement lorsque le traitement est basĂ© sur ce dernier ;
  • De son droit d’exercer un recours auprès de l’autoritĂ© de contrĂ´le ;
  • Sur la question de savoir si l’exigence de fourniture des donnĂ©es a un caractère règlementaire ou contractuel, ou si elle conditionne la conclusion d’un contrat ;
  • Sur l’existence d’une prise de dĂ©cision automatisĂ©e, y compris un profilage et au moins en pareils cas des informations utiles concernent la logique sous-jacente ainsi que l’importance et les consĂ©quences prĂ©vues de ce traitement pour la personne concernĂ©e.

Le responsable de traitement doit lorsqu’il a l’intention d’effectuer un traitement ultĂ©rieur des donnĂ©es Ă  caractère personnel pour une finalitĂ© autre que celle pour laquelle les donnĂ©es ont Ă©tĂ© collectĂ©es, fournir au prĂ©alable Ă  la personne concernĂ©e des informations au sujet de cette autre finalitĂ© et - si le traitement Ă©tait basĂ© sur le consentement - le recueillir Ă  nouveau. 

L’ensemble de ces informations doit être fourni lors de la collecte auprès de la personne, par exemple par un lien vers le Privacy Center et un extrait pertinent de ce dernier situé sous le formulaire de collecte électronique.

Selon l’article 14 du RGPD, lorsque vous recueilliez des donnĂ©es Ă  caractère personnel sans les avoir collectĂ©es directement auprès de la personne concernĂ©e, vous devez en tant que responsable de traitement fournir toutes les informations listĂ©es prĂ©cĂ©demment  Ă  la personne concernĂ©e ainsi que la source des donnĂ©es Ă  caractère personnel et les catĂ©gories de donnĂ©es concernĂ©es. 

Cette information doit ĂŞtre fournie lors de la première communication avec la personne ou au plus tard dans un dĂ©lai d’un mois, par exemple par un lien vers le Privacy Center et un extrait pertinent de ce dernier situĂ© dans un e-mail. 

Il existe certaines exceptions notamment quand la personne concernée dispose déjà de ces informations, quand la fourniture de ces informations se révèle impossible ou exigerait des efforts disproportionnés (en particulier pour des traitements à des fins archivistes dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques), ou quand les données à caractère personnel doivent rester confidentielles en vertu d’une obligation légale de secret professionnel.