L’obligation d’information sur les traitements de données à caractère personnel effectué doit se faire suivant une forme et contenu particulier. Cette obligation est autonome des autres et présente des caractéristiques particulières.
Autonomie de l’obligation d’information des traitements effectués sur les données à caractère personnel
L’obligation d’information des traitements est indépendante du respect des principes liées au traitement de données. En effet, le responsable de traitement doit informer la personne concernée par le traitement dans un premier temps, avant même de débuter le traitement qui exige à son tour de respecter d’autres principes de traitement. Dans une décision du 26 juillet 2021, la CNIL a sanctionné la société MONSANTO non pas parce qu’elle a constitué un fichier des personnalités (le traitement a été effectué conformément aux principes de traitement), mais parce qu’elle ne les a pas informés avant d’effectuer le traitement. Cette obligation est bien encadrée par le RGPD.
Les caractéristiques de l’obligation d’information des traitements effectués sur les données à caractère personnel
Aux termes de l’article 12 du RGPD, Le responsable du traitement doit prendre les mesures appropriées pour fournir ou communiquer toutes les informations d’une personne concernée par le traitement d’une façon concise, transparente, compréhensible et aisément accessible. Mieux, les informations doivent être véhiculées en des termes clairs et simples.
Cette exigence intervient particulièrement dans des situations où il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont traitées, par qui et à quelle fin. Ces situations peuvent trouver plusieurs causes. Il peut s’agir de la multiplication des acteurs qui ne permet pas à la personne de suivre le cycle du traitement. Elle n’est donc pas en mesure de savoir à quel responsable et pour quel traitement ce dernier est impliqué dans la chaîne. En outre, l’une des causes peut être la complexité des technologies utilisées qui ne permettent pas au responsable de traitement lui-même de saisir tous les contours du traitement pour mieux expliquer à la personne concernée par le traitement. Pour bien expliquer ce que le responsable de traitement compte faire des données à la personne concernée, encore faut-il qu’il comprenne lui-même ou du moins qu’il maîtrise la technologie utilisée. Dans le cas des algorithmes, par exemple, parfois, le responsable de traitement n’a pas le contrôle total de ce que pourrait faire son algorithme. Enfin, il peut s’agir d’un choix volontaire du responsable de traitement de rester le moins transparent possible à son avantage. Certains responsables de traitement empêchent volontairement la personne de s’informer sur les traitements effectués en donnant l’information en des termes techniques et complexes ou en fournissant une grande quantité d’information pour perdre ou décourager la personne concernée par le traitement.
La nécessité d’éclaircissements de certains termes dans l’information
L’obligation d’information permet, non seulement, de renforcer le contrôle des personnes sur le traitement des données personnelles les concernant, et mais aussi, de rendre les responsables de traitement « accountable » en assurant une plus grande visibilité sur les traitements qu’ils réalisent. Le Groupe 29 (G29), l’ancien organe consultatif indépendant sur la protection des données et de la vie privée de l’Union européenne, remplacé par le comité européen de la protection des données (CEPD), a fourni des éclaircissements sur certains termes de l’obligation d’information. Elle explique que la fourniture des informations de façon « claire et transparente » implique que celles-ci soient présentées de façon succinctes, afin d’éviter la fatigue des lecteurs, et idéalement dans une section propre des conditions générales. Le lecteur ne doit pas être découragé par la longueur et la complexité de l’information. Toutefois, le responsable de traitement doit arriver à fournir ces informations sans dénaturer leur sens. Car une information trop simplifiée risque aussi d’être dépourvue du sens réel. Le groupe invite donc le responsable de traitement à faire preuve d’imagination et d’intelligence pour placer au bon endroit le curseur qui permettrait à l’utilisateur de comprendre l’information. Il pourrait utiliser des phrases simples et courtes en évitant de longues phrases avec des termes trop techniques.
La difficulté d’évaluation du niveau de compréhension des personnes destinataires de l’information
Le G29 conseille qu’ un membre moyen du public visé par le traitement puisse comprendre aisément l’information. Mais on s’imagine très difficilement comment le responsable de traitement s’y prendra pour évaluer le niveau de compréhension de son public visé en amont. Prenons le cas d’un organisme de logement social, il serait difficile d’évaluer le niveau de compréhension du public, dans la mesure où l’organisme les a sélectionnés sur des critères économiques ( revenus annuels) indépendamment de leur niveau intellectuel.
La forme et le contenu de l’obligation d’information des traitements effectués sur les données à caractère personnel
L’information sur le traitement doit répondre à des conditions de forme et de fond ( contenu). Si l’exigence sur la forme de l’information est souple, celle sur le contenu quant à elle, est plus stricte, le responsable de traitement doit répondre à une prescription précisée par le RGPD.
La forme de l’information sur les traitements
Elle est laissée au choix du responsable de traitement. Elle peut être fournie par écrit ou par tout autre moyen de communication. Le G29 préconise que le choix des moyens porte sur les canaux les plus appropriés possible en fonction des circonstances. En outre, les informations peuvent être fournies oralement, à condition que la personne concernée en fasse la demande, et que l’identité de celle-ci soit démontrée par d’autres moyens. Si la forme importe peu, il faudra prendre en considération les nécessités probatoires qui pourraient se présenter plus tard.
Le contenu de l’information sur les traitements
Le contenu des informations doit être adapté selon que les données à caractère personnel soient collectées auprès ou non de la personne concernée.
L’article 13 du RGPD présente les informations à fournir lorsque les données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne. Il s’agit de :
- L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
- Si l’organisme a désigné un DPO, il faudra fournir ses coordonnées
- Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- Lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f) du RGPD, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
- Les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et
- Les transferts de données effectués en dehors de l’UE.
Toutes ces informations doivent, bien entendu, être fournies en amont du traitement qui doit être effectué. Des informations complémentaires qui sont nécessaires pour garantir un traitement équitable et transparent pourront être ajoutées. Notamment, la durée de conservation des données, l’existence des droits du demandeur et bien d’autres. L’information étant autonome au traitement, en cas de traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement devra fournir les informations indépendamment des autres traitements.
En outre, lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, l’article 14 du RGPD dispose qu’il faut reprendre les mêmes informations de l’article 13. Mais exige que la source d’où proviennent les données à caractère personnel soit précisée à la personne concernée par le traitement.
Le renforcement nécessaire de la transparence pour les enfants
Cette exigence de transparence est renforcée pour les enfants. En effet, le législateur européen considère que: « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant ». Le G29 précise également que les enfants conservent leur droit à recevoir ces informations même si leurs parents ont consenti au traitement. Ce qui confirme encore une fois que l’obligation d’information est autonome des obligations inhérentes au traitement lui-même.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
- Les grands principes du RGPD
- Article 12 et 13 du RGPD
- Délibération de la formation restreinte n°SAN-2021-012 du 26 juillet 2021 concernant la société MONSANTO COMPANY
- Rees, Marc. « CNIL : Monsanto pouvait constituer un fichier des personnalités, mais pas sans les informer ». Next INpact, 28 juillet 2021.
- « Larcier Le règlement général sur la protection des données | Dalloz ». Consulté le 29 juillet 2021
