Le RGPD en synthèses – 5 : Les droits des personnes concernées – b : Les obligations d'information

Nous continuons notre feuilleton sur le RGPD, toujours dans le domaine des "Droits de la personne concernée". Nous abordons cette fois l'ensemble des obligations d'information en direction des personnes pour lesquelles des données sont traitées.

Des obligations largement étendues

Comme sur bien d'autres points, le Règlement est plus exigeant que notre loi de 1978.
La nouveauté particulièrement remarquable est que les mêmes obligations, à quelques exonérations près, pèsent autant sur les organismes qui collectent les informations directement auprès des intéressés que sur celles qui les traitent sans les avoir collectées, en d'autres termes, les organismes ou entreprises qui se sont procuré des fichiers de données collectées par d'autres. De sorte qu'il devient aujourd'hui bien plus lourd de gérer des fichiers de prospection préexistants.

Les obligations en cas de collecte auprès des personnes concernées

L'article 13 du RGPD établit les règles qui reprennent celles déjà connues dans la loi française, auxquelles s'ajoutent des exigences supplémentaires.

Résumé des obligations

Série d’informations "classiques" à fournir : art.13, 1 et 2 correspondant à celles de l'art.32-I de la loi de 78 :

  • Responsable du traitement
  • Finalité des traitements
  • Caractère facultatif ou obligatoire de la réponse (sauf si déduit des faits ou de la loi)
  • Conséquences du défaut de réponse (sauf si déduit des faits ou de la loi)
  • Droits détenus par la personne fichée (Droits d’accès et de rectification et d'effacement et à la limitation, droit à la portabilité des données, droit d'opposition et lieu et conditions d’exercice de ceux-ci).

Informations ajoutées par le RGPD (art.13, 2 partiel) :

  • Durée de conservation des données ou critères pour évaluer la durée (13, 2, a)
  • Identité du DPD (ou DPO) s'il y a lieu (13, 1, b)
  • Si consentement donné : droit de retirer son consentement à tout moment (13, 2, c)
  • Droit d'introduire une réclamation auprès de la Cnil (13, 2, d)
  • Les fondements juridiques de la fourniture des données, réglementaires ou contractuels (13, 2, e)
  • Existence d'un processus de décision automatisé ou de profilage (13, 2, f)

S'il y a changement de finalité du traitement des données : fournir à nouveau les informations de l'art.13, 2.

Pas d'information à fournir si la personne en dispose déjà (13, 4).

En pratique…

Comme par le passé, mais avec une rigueur et une longueur des mentions accrues, il est nécessaire de porter à la connaissance des personnes qui fournissent des données les concernant, l'ensemble des informations listées ci-dessus. Et si d'aventure, une nouvelle finalité était ajoutée dans le traitement des données (par exemple passer de l'envoi d'une lettre d'information à des sollicitations commerciales) il importe à nouveau d'adresser toutes les informations aux intéressés, en mentionnant précisément quel sera le nouvel usage qui sera fait des données.

Les obligations en cas de données non collectées auprès de l'intéressé (art.14)

Voyons tout d'abord les informations à fournir, puis nous reviendrons sur les conséquences pratiques de cette nouvelle obligation.

Les nouvelles obligations en résumé

Les mêmes informations doivent être portées à la connaissance des intéressés. C'est donc lun parallélisme avec l'obligation d'information lors de la collecte.

Les seules exonérations prévues, du fait du caractère indirect de la collecte (14, 5) sont :

  • Fourniture impossible ou exigeant des efforts disproportionnés (14. 5 b)
  • Fourniture censée avoir été faite pour des raisons légales (14, 5, c)
  • Confidentialité des données en vertu d'une obligation de secret professionnel réglementé 14, 5, d)

En pratique…

C'est donc là la grande nouveauté puisque ce sont les mêmes informations qui doivent être fournies à l'intéressé, à ceci près que, par définition, le responsable tu traitement n'a pas été en contact avec les intéressés. Il faut donc en déduire que les responsables devront, avant toute utilisation de ces données, contacter chaque personne concernée pour recueillir auprès d'elle l'autorisation de traiter ses données, par exemple que lui envoyer des courriels.

C'est la raison pour laquelle chacun d'entre nous a reçu, surtout dans les premiers jours de l'entrée en application du RGPD, de nombreux courriels nous informant des "nouvelles règles de confidentialité" adoptées par telle ou telle institution, et donnant, au passage la possibilité de "retirer son consentement", ce qui est souvent une belle hypocrisie lorsqu'on na jamais été sollicité pour donner un quelconque accord auparavant.

Ne jamais oublier le papier…

Comme c'est l'ensemble du RGPD qui s'applique aussi bien aux traitements automatisés que non-automatisés, ces informations doivent être également portées à la connaissance des personnes qui fourniraient, à quelque titre que ce soit, des informations les concernant, y compris sur papier ou même oralement.

Nous aborderons prochainement les divers droits dont dispose la "personne concernée" au titre du RGPD : les fameux droits d'accès, de rectification, d'effacement, de limitation, à la portabilité des données et d'opposition...

En savoir plus

Consulter le RGPD sur EUR-Lex :

http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FRA

Voir les articles sur le site de la Cnil sur le thème du RGPD (Règlement européen) :

https://www.cnil.fr/fr/tag/Règlement+européen

Toutes nos actualités sur le RGPD.

 

Didier FROCHOT