Le réglement général sur la protection des données applicable depuis mai 2018 (RGPD) prévoit un contenu détaillé des politiques de confidentialité (c’est-à-dire la notice expliquant aux personnes concernées comment leurs données personnelles sont utilisées).
Ce contenu et les modalités d’information est quelque peu différent selon que les données sont collectées directement auprès de la personne concernée ou auprès de sources tierces.
Toutefois, les décisions des autorités laissent et de la jurisprudence laisse penser qu’une information complète allant au delà de ce qui est explicitement prévu peut être exigée.
Cet article a pour objectif de mieux appréhender les différentes exigences du RGPD à la lumière des décisions récentes des autorités et de la CJUE concernant le format et le contenu de l’information. (MAJ : 2021)
1.Le format des politiques de confidentialité
La Commission européenne devrait proposer des icônes standardisées à utiliser dans les politiques de confidentialité. Elles aideront les individus (clients, utilisateurs, etc.) à comprendre facilement la politique de confidentialité. En 2021, la Commission européenne n’a toujours pas publié ce document.
2.Le contenu des politiques de confidentialité
2.1. Contenu commun à tout type de collecte de données (direct ou indirecte)
Les politiques de confidentialité, bien que détaillées, doivent demeurer facile à lire et à comprendre. La présentation par niveau est donc encouragée (par exemple: une politique de confidentialité simplifiée qui renvoie à un document plus détaillé en fonction de la complexité du traitement de données décrit).
Voici ci-dessous une liste des informations requises :
– L’ identité et coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données
– Les finalités des traitements (pourquoi avez-vous besoin des données personnelles des individus?) ainsi que l’existence du profilage, de décisions automatiques (incluant la logique sous-jacente) et ses conséquences.
– La base légale des traitements de données et, le cas échéant, la description de l’intérêt légitime poursuivi. Une décision de l’autorité Irlandaise a mis en évidence le fait qu’il fallait également indiqué la loi ou l’intérêt public poursuivi lorsque c’était la base légale du traitement. (voir ici pour plus de détails).
– Les destinataires ou catégories de destinataires des données personnelles que vous traitez (au vu de la définition de « destinataire » cela couvre à la fois les autres responsables de traitements et les sous-traitants).
– Le cas échéant, les informations relatives aux transferts de données hors de l’UE: la base juridique de ces transferts (c’est-à-dire les garanties mises en œuvre: BCR, clauses types de l’UE, etc.) et les moyens d’obtenir une copie du document.
– La durée de conservation des données ou critères de détermination des durées de conservation
– Les droits des personnes concernées (par exemple, le droit d’accès, le droit de déposer une plainte auprès de l’autorité, etc.): ce n’est pas une nouvelle obligation, mais les personnes concernées bénéficient de nouveaux droits en vertu du RGPD comme le droit à la portabilité et à l’effacement de leurs données. Le niveau d’information est plus ou mois détaillés selon les droits (voir ici pour le droit à la portabilité). Si la collecte de données personnelles est basée sur le consentement, il est également nécessaire de rappeler aux utilisateurs / personnes leur droit de retirer leur consentement à tout moment.
2.2. Lorsque les données sont collectées auprès de la personne concernée, il est nécessaire d’indiquer :
– si les données sont obligatoires ou non, ainsi que les conséquences si les données ne sont pas fournies.
– si la fourniture de données à caractère personnel a un caractère contractuel ou légal ou sont nécessaire en vue de la conclusion d’un contrat.
Ces points peuvent être liés à la base juridique du traitement de données et il semble plus pratique d’indiquer ces informations directement sur le formulaire à remplir.
2.3. Lorsque les données ne sont pas collectées auprès de la personne concernée
–Si les données ne sont pas collectées directement auprès de la personne concernée, les catégories de données ainsi que les sources et si celles-ci sont des sources publiques doivent être indiquées.
Toutefois, il se pourrait, au regard de la jurisprudence européenne, et de la décision de l’autorité Irlandaise contre Whatsapp, que cette information soit également nécessaire dans tous les cas, notamment lorsque la base légale du traitement est le consentement quelle que soit la source des données (le tiers ou la personne concernée).
3.Autres dispositions
Lorsqu’un traitement est basé sur le consentement de la personne concernée ou sur l’intérêt légitime du responsable de traitement, il est nécessaire de prendre les précautions suivantes :
- Quant au consentement, les règles sont énoncées dans le RGPD (voir ici pour plus de détails)
- Quant à l’intérêt légitime, un équilibre doit être trouvé entre l’ intérêt légitime du responsable de traitement et l’intérêt légitime, les droits et libertés des individus dont les données sont collectées. Cela pourrait signifier qu’une possibilité de retrait doit être mise en œuvre, mais c’est une décision à prendre au cas par cas.
Lorsque les données ne sont pas collectées directement auprès de la personne concernée, les modalités d’information sont différentes si l’information n’a pas été directement fournie dans la politique de confidentialité originale.
Dans ce cas, l’information peut être donnée dans un délai raisonnable après avoir obtenu les données personnelles (sans excéder un mois) à moins que les données soient utilisées à des fins de communications avec la personne concernée, dans ce cas, l’information doit être fournie avant la première communication.
S’il est envisagé de communiquer les informations à un autre destinataire, l’information doit être fournies avant la première communication des données à ce destinataire.
Des exceptions à l’obligation d’information qui peuvent être spécifiques à chaque Etat Membre sont également applicables (ex: effort disproportionnée, compromission de l’objectif du traitement de données, secret professionnel ou loi d’un Etat Membre).
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat.
Cette publication est également disponible en en_GB.