- Les responsables doivent informer les personnes concernées des collectes de données de manière transparente, facilement compréhensible et adaptée aux destinataires (art.13 – 14, art.12 RGPD).
- Les obligations d’information s’appliquent tout au long du cycle de vie du traitement ; en cas de collecte indirecte, au plus tard un mois après la collecte ou lors de la première communication.
Contexte
Le site RGPD stipule aux articles 13 et 14 que le responsable doit fournir aux personnes concernées, à un moment donné, certaines informations en rapport avec un traitement de données envisagé. Art. 13 RGPD concerne la collecte directement auprès de la personne concernée, l’art. 14 la collecte auprès d’autres sources. Les règles suivantes s’appliquent :
- La collecte directe (art. 13) signifie (i) communication par la personne concernée et (ii) collecte auprès de la personne concernée, par exemple au moyen de caméras et d’autres capteurs ;
- La collecte indirecte (art. 14) signifie la communication par une source tierce ou la collecte à partir d’une source tierce.
L’art. 12 contient ensuite des dispositions générales qui s’appliquent également à l’obligation d’information selon les art. 13 et s. de la loi sur la protection des données. RGPD s’appliquent. Art. 5, al. 1 RGPD fixe enfin le principe général de transparence, et l’art. 83 al. 5 let. b RGPD prévoit des amendes en cas de blessure.
En décembre 2017, le groupe de travail Art.29 a publié le Projet de document de travail WP260 sur la transparence (“Guidelines on transparency under Regulation 2016/679”) Il est encore possible de déposer des observations jusqu’au 23 janvier 2018.
Objet de l’information
Le site WP260 contient en annexe une aperçu sous forme de tableau des informations requises avec des remarques complémentaires. On trouve également des indications
- concernant les références à des décisions individuelles automatisées dans les Lignes directrices sur la prise de décision individuelle automatisée et le profilage aux fins du règlement 2016/679 (3.10.2017);
- concernant les coordonnées du délégué à la protection des données dans les Lignes directrices sur les responsables de la protection des données (‘DPO’) (13.12.2016
Le site WP29 recommande en outre, au-delà du minimum légal, de fournir des indications
- vers les Conséquences du traitementIl est donc important de se pencher sur les conséquences les plus probables, mais aussi et surtout les plus importantes ;
- selon les circonstances, d’autres informations, par exemple la publication d’une Analyse d’impact sur la protection des données.
Transmission de l’information : présentation et mode
Formulation et présentation compréhensibles
Les informations obligatoires (art. 13 et 14 RGPD) doivent être facile à comprendre être des textes simples. Cela nécessite (surtout pour les enfants) des formulations adaptées au destinataire, concises et faciles à comprendre, sans phrases secondaires compliquées, sans “legalese” et sans expressions trop techniques. Il faut éviter les formulations indéterminées telles que “pourrait”, “plus souvent”, “peut-être”, “certains” ou “certaines”, etc. Cela vaut tout particulièrement pour les informations relatives aux finalités du traitement.
Insuffisant sont, selon WP29 à peu près les indications suivantes :
- “Nous pouvons utiliser vos données personnelles pour développer de nouveaux services”. (car on ne sait pas ce que sont les services ou comment les données vont les aider à se développer) ;
- “Nous pouvons utiliser vos données personnelles à des fins de recherche”. (as it is unclear what kind of research this refers to) ; and
- “Nous pouvons utiliser vos données personnelles pour vous offrir des services personnalisés”. (as it is unclear what the personalisation entails).
La présentation des informations doit être claire. Structure de faire attention, par exemple, aux énumérations et aux titres.
En outre, les informations obligatoires doivent être distinguées d’autres informations – en dehors du droit de la protection des données. distinguent. Ils sont également présents dans tous les Langues Les personnes concernées par l’appel doivent être en mesure de s’exprimer.
Forme
Il n’existe aucune exigence de forme. Les informations sont souvent transmises sous forme de texte, mais d’autres formes sont également admises ou, selon les circonstances, nécessaires, comme par exemple le courrier électronique.
- les déclarations orales entre personnes présentes ou (même automatiquement) par téléphone (même si l’identité des personnes concernées n’est pas [encore] connue, malgré l’art. 12, al. 1 RGPD);
- Indications audio pour un appareil sans écran ;
- des informations sur papier, par exemple par le biais de fiches ou de dépliants ou dans les instructions d’utilisation jointes à un produit ;
- Indications vidéo, par exemple pour les instructions électroniques dans une application ;
- Communications par SMS ou e‑mail ;
- des informations publiques, par exemple dans une annonce parue dans un journal (par exemple en cas de prise de vue par drone, dans la mesure où des données personnelles sont traitées à cette occasion) ;
- Indications sur une affiche, par exemple en cas de surveillance vidéo d’un magasin.
La plupart du temps, les indications sont données en sous forme électronique transmises. Dans chaque cas, il est essentiel que le format choisi soit approprié, compte tenu des circonstances, pour informer efficacement les personnes concernées et que le responsable du traitement documente l’information. Selon les cas, il est recommandé de combiner différents moyens.
Aussi Icônes peuvent être utilisées, également en complément d’autres formes d’information (art. 12, al. 7 RGPD). Le document de travail contient de plus amples informations à ce sujet, y compris sur l’interprétation du terme “lisible par machine”, qui est également utilisé dans d’autres parties du document. RGPD (art. 20, al. 1, relatif à la portabilité des données).
Information échelonnée (“layered”)
Le site WP29 recommande – ainsi que le PFPDT -, des informations plus complexes échelonné de transmettre. Dans un premier temps, il convient d’indiquer les éléments qui ont le plus d’impact sur les personnes concernées, de manière à ce que les conséquences du traitement puissent être comprises sans qu’il soit nécessaire d’aller plus loin. Des informations plus détaillées peuvent être fournies à des niveaux ultérieurs.
Informations sur les sites web
Les informations doivent être présentées de manière à ce qu’elles soient faciles à trouver ; la personne concernée ne doit pas avoir à les chercher. Des indications sur un site web peuvent suffire, mais sans doute uniquement si les personnes concernées sont orientées vers le site web. Une sorte de principe d’accès devrait s’appliquer à de telles indications. Le site WP29 constate à ce sujet :
L’élément “aisément accessible” signifie que le sujet des données ne devrait pas avoir à rechercher les informations ; il devrait être immédiatement évident pour eux où cette information peut être accessiblePar exemple, en le leur fournissant directement, en les reliant à elle, en le signant clairement ou comme réponse à une question en langage naturel (par exemple dans une déclaration/notice de confidentialité en ligne superposée, dans des FAQ, par le biais de pop-ups contextuels qui s’activent lorsqu’un sujet de données remplit un formulaire en ligne, ou dans un contexte numérique interactif par le biais d’une interface chatbot, etc.)
Références à un site web peuvent, selon WP29 par exemple par un Code QR se faire sur un appareil, par exemple pour les applications IoT (cf. Opinion 8/2014 on the on Recent Developments on the Internet of Things du 16.9.2014qui reste en vigueur). Le lien doit mener directement à la déclaration de protection des données.
Sur Transactions en ligne un lien vers la déclaration de protection des données devrait figurer à l’interface client, à moins que les informations obligatoires ne soient directement reproduites sur la page concernée.
Sont également recommandés
- l’utilisation d’un “Tableaux de bord de la protection de la vie privée“Le système de gestion de la protection des données permet aux personnes concernées de gérer les paramètres de protection des données de manière centralisée et indépendamment de l’appareil utilisé ;
- “juste à tempsLes messages “en ligne”, qui transmettent par exemple des informations pertinentes au moment d’un achat en ligne.
Indications dans les apps
Dans les applications, les informations sur la protection des données devraient être disponibles avant le téléchargement. Dans les apps installées, les indications ne devraient jamais être à plus de deux clics ou taps, par exemple via un lien “Protection des données” dans un menu.
Exercice des droits des personnes concernées
Art. 12, al. 2 RGPD et le considérant 59 exigent que l’exercice des droits des personnes concernées soit facilité. Le site WP29 Il est important de noter que, selon les circonstances, différents moyens doivent être mis à disposition pour l’exercice des droits des personnes concernées. Dans le cas des sites web, par exemple, il est recommandé d’utiliser un formulaire de demande d’accès ; se contenter de renvoyer au service clientèle est une mauvaise pratique.
Transmission de l’information : date
L’obligation de transparence n’est pas limitée à un moment précis. Elle s’applique plutôt tout au long du cycle de vie du traitementLes données doivent être communiquées à la personne concernée avant le début du traitement, pendant le traitement, par exemple lors de la communication aux personnes concernées de leurs droits, et lors d’événements spécifiques, par exemple en cas de violation de la protection des données. En particulier, les exigences de l’article 12 s’appliquent à toutes les communications.
Moment de l’enquête directe
Les informations obligatoires selon l’art. 13 RGPD doivent “zum Zeitpunkt der Erhebung de ces données” (article 13, paragraphe 1).
Moment de l’enquête indirecte
En cas de collecte indirecte, les données obligatoires doivent le plus rapidement possible se fait, au plus tard mais (selon la date la plus proche) :
- un mois après la collecte ;
- lors de la première communication à la personne concernée ;
- lors de la première communication à une autre personne (un autre responsable du traitement, un coresponsable conjoint ou un sous-traitant, mais pas un employé).
Ces délais maximaux devraient, selon WP29 Le responsable doit donc poursuivre ses réflexions à ce sujet. documenter.
Rafraîchir les informations
Le site WP29 recommande de transmettre à nouveau les informations obligatoires pour les prestations continues après une longue durée, même sans modifications (mais sans mentionner d’intervalles précis).
Notification des changements
Moment
Sur Modifications des circonstances sur lesquelles reposent les informations, la communication des modifications est soumise aux mêmes exigences que la communication initiale. En particulier, les modifications doivent faire l’objet d’une communication distincte, et non d’un bulletin d’information général :
[…] le contrôleur devrait prendre toutes les mesures nécessaires pour s’assurer que ces changements sont communiqués de manière à ce que la plupart des destinataires en soient effectivement informés. Cela signifie, par exemple, qu’une notification de changement devrait toujours être communiquée au moyen d’un modalité appropriée (par ex. e‑mail/lettre de copie papier, etc.) spécifiquement consacré à ces changements (par exemple, pas avec un contenu de marketing direct), avec une telle communication répondant aux exigences de l’article 12 d’être concise, intelligible, facilement accessible et d’utiliser un langage clair et simple.
Le site RGPD ne donne pas d’indications sur le Momentà laquelle les modifications doivent être communiquées. Le site WP29 recommande que les modifications importantes soient notifiées le plus tôt possible, en particulier celles qui touchent au cœur du traitement (par exemple, la notification à des catégories supplémentaires de destinataires ou la notification à des pays tiers). Une fois de plus, les responsables de traitement devraient prendre en considération le moment de la notification. documenter.
Information en cas de changement d’objectif
En cas de changement de but (compatible !), il faut, conformément à l’art. 13 al. 3 et à l’art. 14 al. RGPD de mettre à disposition les “informations déterminantes” respectivement selon l’alinéa 2 de la disposition. Selon WP29 sont toutefois en principe respectivement toutes les données conformément au paragraphe 2. En outre, les personnes concernées doivent également être informées Analyse de compatibilité (art. 6, paragraphe 4 RGPD), dans la mesure où la nouvelle finalité n’est pas couverte par un consentement ou n’est pas fondée sur une base au sens de la loi sur la protection des données. EU- ou de la législation des États membres.
Ces informations doivent être fournies avant le début du traitement pour la nouvelle finalité, et les personnes concernées doivent être informées de la finalité du traitement. suffisamment de temps de se faire une opinion et, le cas échéant, d’exercer leurs droits (p. ex. le droit d’opposition).
Exceptions à l’obligation d’information
Informations déjà disponibles
Aussi bien pour Enquête directe que pour enquête indirecte l’obligation d’information ne s’applique pas si et dans la mesure où la personne concernée dispose déjà des informations correspondantes. Cette exception ne doit s’appliquer que si le responsable peut documenter ses conditions. Le site WP29 recommande en outre de transmettre à chaque fois aux personnes concernées toutes les données, y compris celles dont elle dispose déjà.
Exceptions supplémentaires en cas de collecte indirecte
Ce n’est qu’en cas de collecte indirecte que l’obligation d’information est supprimée, dans la mesure où son accomplissement impossible serait (art. 14 al. 5 let. b RGPD). Le site WP29 comprend cette exception de manière étroite ; elle n’admet l’impossibilité que si l’information n’est effectivement pas possible, ce qui est très rarement le cas. Les systèmes et les processus doivent avant tout être conçus de manière à ce que l’information puisse avoir lieu ; dans le cas contraire, il peut y avoir une violation de l’obligation d’informer. Principe de respect de la vie privée dès la conception sont disponibles. Cela vaut également lorsque des données provenant de différentes sources sont rassemblées ; dans ce cas, le responsable doit veiller à ce que l’indication de la source respective reste possible.
L’obligation d’information ne s’applique pas non plus si son exécution effort disproportionné (art. 14, al. 5, let. b). RGPD). Cette exception ne doit s’appliquer que si cette charge résulte précisément du fait que les données ne sont pas collectées auprès de la personne concernée ; cela exclut la WP29 de ce que l’art. 13 RGPD ne prévoit pas d’exception correspondante. En outre, le responsable est tenu de mettre en balance l’effort et l’intérêt à l’information. documenter.
De plus, l’obligation d’informer ne s’applique pas en cas de collecte indirecte si l’information rendre impossible ou compromettre sérieusement la réalisation de la finalité du traitement de la personne concernée. Dans ce cas, la personne concernée doit être informée, au moins de manière générale, de la collecte de données correspondante.
En cas de collecte indirecte, l’obligation d’information ne s’applique pas non plus dans la mesure où celle-ci est basée sur le Droit de la UE ou d’un État membre repose sur l’art. 14, al. 5, let. c RGPD). La personne concernée doit toutefois être informée ici du traitement des données conformément à cette base légale.
Enfin, l’obligation d’informer ne s’applique pas si vous avez une obligation légale de confidentialité s’oppose à ce que le droit à la liberté d’expression soit respecté. UE ou d’un État membre (article 14, paragraphe 5, point d)). RGPD).