Les articles 12, 13 et 14 du RGPD imposent aux organismes qui traitent des données personnelles d’informer les personnes concernées de façon précise, transparente et compréhensible.
Comment respecter ces obligations ?
Si vous :
- collectez directement des données personnelles (collecte directe) :
- soit directement auprès des personnes concernées : quand elles effectuent un achat sur votre site internet ou que vous souscrivez un contrat avec elle
- soit via des dispositifs ou des technologies d’observations de l’activité des personnes : via des cookies analytiques par exemple.
- collectez indirectement des données, par exemple lorsque vous les récupérez auprès d’un partenaire commercial ou sur des sources accessibles au public (collecte indirecte).
- Au moment de la collecte des informations :
- Collecte directe: au moment où vous collectez les données ;
- Collecte indirecte : dès que possible et, au plus tard, dans un délai d’un mois après la collecte.
- En cas de modification substantielle des informations transmises au moment de la collecte.
A chaque fois que vous collectez des données personnelles, le support utilisé doit comporter les mentions d’informations suivantes:
- Identité et coordonnées du responsable du traitement de données
Ainsi que les coordonnées du délégué à la protection des données s’il a été désigné.
- Catégories de données recueillies.
- Finalités poursuivies. Précisez pourquoi vous collectez les données, quel est l’objectif poursuivi.
- Base légale qui vous autorise à traiter ces données.
Le responsable du traitement doit déterminer la base légale qui lui donne le droit de traiter chaque catégorie de données personnelles concernées. Ceci inclut les données traitées par un sous-traitant.
L’article 6 du RGPD prévoit six bases légales qui justifie la mise en œuvre du traitement :
- Le consentement. La personnes a consenti au traitement de ses données.
- L’exécution d’un contrat. Le traitement est nécessaire à l’exécution d’un contrat avec les personnes concernée.
- L’obligation légale. Le traitement est imposé par une disposition légale.
- L’intérêt légitime. Le traitement est nécessaire à la poursuite d’intérêts légitimes par le responsable de traitement, dans le strict respect des droits et intérêts des personnes concernées. Le cas échéant, ces intérêts doivent être précisés.
- La sauvegarde des intérêts vitaux. Le traitement est indispensable à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers.
- L’intérêt public. Le traitement est nécessaire à l’exécution d’une mission d’intérêt public
Pour plus d’informations sur les différentes bases légales, rendez-vous sur l’article dédié.
- Caractère obligatoire ou facultatif du recueil des données
- Les catégories des personnes qui ont accès aux données. Précisez qui a accès aux données, y compris les sous-traitants du responsable des données.
- Si vous transférez des données hors UE.
Préciez le pays et l’encadrement juridique qui maintent le niveau de protection des données.
- Les droits des personnes concernées.Les personnes dont vous traitez les données ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.Pour plus d’informations, rendez-vous sur notre poste dédié.
- Le droit d’introduire une réclamation auprès de l’APD
Le RGDP prévoit l’obligation d’informer la personne concernée de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
- Concise. L’information doit être efficace. Faites court et lisible.
- Compréhensible. Utilisez un vocabulaire simple, faites des phrases courtes, évitez les termes ambigus ou abstraits et adaptez l’information au public visé.
- Accessible. Les personnes concernées ne doivent pas avoir à chercher l’information pour la trouver. Elles doivent être dirigées vers l’emplacement de ces informations.
Sur un site internet, vous pouvez par exemple prévoir une politique de protection des données, identifiée clairement et accessible depuis chaque page du site et y renvoyer par des liens à chaque fois que vous devez informer les personnes concernées sur le traitement de leurs données.