📕 Les articles 12, 13 et 14 du RGPD concernent le droit à l’information de l’utilisateur dont les données sont collectées, que va devoir rendre effectif le responsable de traitement.
L’article 12 impose la transparence des informations que le responsable de traitement doit communiquer à l’utilisateur.
L’article 13 du RGPD énonce toutes les informations que le responsable de traitement doit communiquer aux utilisateurs dès qu’il collecte leurs données à caractère personnel directement auprès d’eux :
- Son identité et ses coordonnées ;
- Les coordonnées du Data Protection officer (DPO) ;
- Les finalités du traitement auquel sont destinées les données à caractère personnel (pourquoi les données sont traitées) ainsi que la base juridique du traitement ;
- Les intérêts légitimes poursuivis par lui ou par les tiers lorsque le traitement est fondé sur de tels intérêts ;
- Les destinataires des données ;
- Le fait qu’il ait l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers (pays n’appartenant pas à l’Union européenne), une organisation internationale et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées (Clauses contractuelles types (CCT) ou les accords intra entreprises (BCR) notamment).
Le responsable de traitement doit également informer la personne :
- De la durée de conservation des données à caractère personnel ou - quand ce n’est pas possible - les critères utilisés pour déterminer cette durée ;
- De son droit d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition au traitement et son droit à la portabilité de ses données ;
- De son droit de retirer son consentement lorsque le traitement est basé sur ce dernier ;
- De son droit d’exercer un recours auprès de l’autorité de contrôle ;
- Sur la question de savoir si l’exigence de fourniture des données a un caractère règlementaire ou contractuel, ou si elle conditionne la conclusion d’un contrat ;
- Sur l’existence d’une prise de décision automatisée, y compris un profilage et au moins en pareils cas des informations utiles concernent la logique sous-jacente ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
Le responsable de traitement doit lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données ont été collectées, fournir au préalable à la personne concernée des informations au sujet de cette autre finalité et - si le traitement était basé sur le consentement - le recueillir à nouveau.
L’ensemble de ces informations doit être fourni lors de la collecte auprès de la personne, par exemple par un lien vers le Privacy Center et un extrait pertinent de ce dernier situé sous le formulaire de collecte électronique.
Selon l’article 14 du RGPD, lorsque vous recueilliez des données à caractère personnel sans les avoir collectées directement auprès de la personne concernée, vous devez en tant que responsable de traitement fournir toutes les informations listées précédemment à la personne concernée ainsi que la source des données à caractère personnel et les catégories de données concernées.
Cette information doit être fournie lors de la première communication avec la personne ou au plus tard dans un délai d’un mois, par exemple par un lien vers le Privacy Center et un extrait pertinent de ce dernier situé dans un e-mail.
Il existe certaines exceptions notamment quand la personne concernée dispose déjà de ces informations, quand la fourniture de ces informations se révèle impossible ou exigerait des efforts disproportionnés (en particulier pour des traitements à des fins archivistes dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques), ou quand les données à caractère personnel doivent rester confidentielles en vertu d’une obligation légale de secret professionnel.