Skip to content

Latest commit

 

History

History
95 lines (52 loc) · 9.34 KB

12-Informer les utilisateurs.md

File metadata and controls

95 lines (52 loc) · 9.34 KB
Raw

Fiche n°12 : Informer les personnes

Le principe de transparence du RGPD exige que toute information ou communication relative au traitement de données à caractère personnel soit concise, transparente, compréhensible et aisément accessible en des termes simples et clairs.

Qui informer et quand le faire ?

  • Il faut informer les personnes concernées :

    • en cas de collecte directe des données c’est-à-dire lorsque des données sont recueillies directement auprès des personnes. Par exemple, ce type de collecte concerne : les formulaires, les achats en ligne, la souscription d’un contrat, ouverture d’un compte bancaire.

    • lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes. Par exemple, l' analyse de la navigation sur Internet, géolocalisation et Wi-Fi analytics/tracking pour la mesure d’audience ;

    • en cas de collecte indirecte des données personnelles, lorsque les données ne sont pas recueillies directement auprès des personnes. Par exemple, les données récupérées auprès de partenaires commerciaux, de courtiers en données, de sources accessibles au public ou d’autres personnes.

  • Les moments où cette information est nécessaire :

    • au moment du recueil des données en cas de collecte directe ;

    • dès que possible en cas de collecte indirecte (notamment lors du premier contact avec la personne) et au plus tard, dans le délai d’un mois (sauf exceptions) ;

    • en cas de modification substantielle ou d’événement particulier. Par exemple : nouvelle finalité, nouveaux destinataires, changement dans les modalités d’exercice des droits, violation de données.

Quelles informations dois-je donner ?

  • Dans tous les cas, il faut préciser :

    • l’identité et les coordonnées de l’organisme qui collecte les données (qui traite les données ?) ;

    • les finalités (à quoi vont servir les données collectées ?) ;

    • la base légale sur laquelle repose le traitement des données (retrouvez toutes les informations sur les bases légales) ;

    • le caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et les conséquences pour la personne en cas de non-fourniture des données ;

    • les destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants ?) ;

    • la durée de conservation des données (ou critères permettant de la déterminer) ;

    • l’existence des droits des personnes concernées ainsi que les moyens de les exercer (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) ;

    • les coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;

    • le droit d’introduire une réclamation auprès de la CNIL.

  • Dans certains cas particuliers, il faut fournir des informations supplémentaires, comme dans le cas de transferts de données hors UE, de prise de décision entièrement automatisée ou de profilage, ou encore lorsque la base légale du traitement est l’intérêt légitime poursuivi par l’organisme qui collecte les données (voir le site de la CNIL pour en savoir plus).

  • En cas de collecte indirecte, il faut ajouter :

    • les catégories de données recueillies ;

    • la provenance des données (en indiquant notamment si elles sont issues de sources accessibles au public).

Sous quelle forme dois-je fournir ces informations ?

  • L’information doit être facile d’accès : l’utilisateur doit la trouver sans difficultés.

  • Elle doit être fournie de manière claire et compréhensible, c’est-à-dire avec un vocabulaire simple (phrases courtes, sans termes juridiques ou techniques, sans ambiguïtés) et une information adaptée au public visé (avec une attention particulière à l’égard des enfants et personnes vulnérables).

  • Elle doit être écrite de manière concise. Afin d’éviter l’écueil du déluge d’informations noyant l’utilisateur, il faut amener les informations les plus pertinentes au bon moment. Vous pouvez adopter une approche à plusieurs niveaux, en veillant à ce que les personnes bénéficient d’un aperçu clair des informations qui leur sont accessibles sur le traitement de ses données à caractère personnel et du moyen de trouver les informations détaillées.

  • Elle doit être adaptée au support d'usage. Par exemple, pour des dispositifs sans écran comme des enceintes connectées, vous pouvez vous reposer sur un dispositif externe ("application compagnon") pour délivrer une information exhaustive aux utilisateurs. Un premier niveau d’information doit également être accessible par l’interface d’usage du dispositif.

  • Les informations en rapport avec la protection des données doivent pouvoir être distinguées de celles qui ne sont pas spécifiquement liées à la vie privée (comme les clauses contractuelles ou les conditions générales d’utilisation).

Forme et contenu de l'information à délivrer

  • L’information des personnes est fondamentale car elle permet aux personnes de comprendre l’objectif du traitement et l’utilisation de leurs données. La transparence ainsi offerte sur le traitement est l’un des principaux vecteurs pour instaurer une relation de confiance avec les personnes, en leur permettant notamment d’exercer leurs autres droits.

  • Les méthodes et techniques choisies pour rendre l’information accessible peuvent varier en fonction du contexte et des modalités d’interaction avec les personnes : pop-in, bulles, pages dédiées, QR code, messages audio, vidéos, panneaux d’affichage, documentation papier, campagne d’information, etc.

  • De plus, le moment de présentation de l’information est crucial : il faut veiller à faire en sorte qu’elle soit délivrée « à froid » pour que la personne en prenne pleinement connaissance. Une information claire donnée en amont d’un acte d’achat ou de souscription et, à l’inverse, en aval après un temps d’appropriation du service sont ainsi généralement plus accessibles et mieux prises en compte qu’une information placée au moment où la personne vient de décider d’acheter ou de souscrire car elle est généralement soumise à un biais de confirmation à ce moment-là.

  • Le site Données & Design développe ces concepts et fournit des exemples d’interfaces et d'informations permettant de faciliter la compréhension du traitement. Le site de la CNIL comprend également des exemples de notices d’information à plusieurs niveaux d'information à adapter ou à adapter suivant le contexte de votre traitement.

Quelle communication effectuer lorsque la sécurité des données est compromise ?

  • Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou malintentionnée, une violation de données personnelles, c’est à dire une atteinte à la sécurité des données, autrement dit la destruction, la perte, l’altération ou la divulgation non autorisée de données. Dans ce cas, l’organisme doit signaler la violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes.

  • Si ces risques sont élevés, l’organisme doit également en informer les personnes concernées le plus rapidement possible et leur adresser des conseils pour protéger leurs données (ex. annulation d’une carte bancaire compromise, modification d’un mot de passe, modification des paramétrages vie privée…).

  • La notification de la violation à la CNIL doit se faire via le site web de la CNIL. La fiche 18 Se prémunir contre les attaques informatiques donne quelques exemples d'attaques qui peuvent conduire à devoir notifier la CNIL et, le cas échéant, les personnes concernées.

Ressources utiles