Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à compter du 25 mai 2018, apporte de nouveaux éléments substantiels relatifs à l’obligation d’information du responsable de traitement de données à caractère personnel. Je vais ici m’employer à relater ces modifications et donner des conseils pour s’y adapter et bien les faire appliquer.
Le règlement consacre trois articles à l’obligation d’information du responsable de traitement (article 12 à 14) tandis que la loi informatique et libertés n’en comprend qu’un (article 32). Le premier de ces articles, l’article 12, impose que les informations communiquées aux personnes dont les données sont collectées le soient d’une façon concise, transparente et intelligible.
Cette disposition nécessite de s’y attarder car elle ne figurait pas dans la loi informatique et libertés. Les rédacteurs du règlement ont ici tenu à mettre en garde les professionnels contre des formulations obscures qui tenteraient de relater les informations exigées par le règlement sans en faire comprendre leur portée aux personnes concernées. Le règlement précise ainsi que si la personne concernée est un enfant, celui-ci doit être à même de comprendre les informations communiquées par le responsable de traitement.
Cette précision étant faite, il faut dès à présent relever que le règlement fait une distinction entre la collecte directe (article 13) et la collecte indirecte (article 14) de données à caractère personnel que la loi informatique et libertés distinguait uniquement, jusqu’ici, pour la communication des informations.
Dans cet article nous allons donc successivement étudier ce que prévoit le règlement pour la collecte directe de données à caractère personnel (I) et la collecte indirecte (II).
I) La collecte directe de données à caractère personnel
Il s’agit ici de l’hypothèse où le responsable de traitement recueille directement, ou par l’intermédiaire d’un sous-traitant, les données à caractère personnel auprès d’une personne physique.
Actuellement l’article 32 de loi informatique et libertés prévoit que le responsable de traitement doit informer la personne dont les données sont collectées :
- de l’identité du responsable de traitement ;
- des finalités ;
- du caractère facultatif ou obligatoire des réponses ;
- des destinataires ;
- des droits reconnus à la personne ;
- des éventuels transferts de données hors UE.
Désormais concernant la collecte directe, l’article 13 prévoit que le responsable de traitement doit informer la personne concernée des éléments évoqués ci-dessus, auxquels s’ajoutent également les éléments suivants :
- la durée de conservation ou en cas d’impossibilité les critères permettant de la déterminer ;
- les coordonnées du responsable de traitement ;
- les coordonnées du délégué à la protection des données s’il y en a un ;
- la possibilité de saisir la CNIL ;
- l’existence d’une décision automatisée comprenant un profilage et la logique de celle-ci ;
- si le traitement se fonde sur l’intérêt légitime du responsable de traitement pour passer outre le consentement du client, la définition de l’intérêt légitime ;
- les finalités nouvelles si un traitement ultérieur est prévu.
Enfin, sur le moment de communication de l’information, l’article 32 de la loi informatique et libertés prévoit que la personne dont les données à caractère personnel sont traitées peut être informée au moment de la collecte des données ou préalablement. A présent, le règlement est plus strict car il impose que la personne soit obligatoirement informée au moment de la collecte de ses données. Dès lors, une information préalable ne serait plus suffisante comme le permettait la loi informatique et libertés.
Conseils : pour se conformer à ces nouvelles obligations, il convient pour les professionnels agissant en tant que responsable de traitement de modifier leurs mentions d’information informatique et libertés figurant sur leurs conditions générales ou tout autre type de documents pour y ajouter les mentions d’information suivantes quant au traitement effectué :
- la durée de conservation ou en cas d’impossibilité les critères permettant de la déterminer ;
- les coordonnées du responsable de traitement ;
- les coordonnées du délégué à la protection des données s’il y en a un ;
- la possibilité de saisir la CNIL ;
- l’existence d’une décision automatisée comprenant un profilage et la logique de celle-ci ;
- si le traitement se fonde sur l’intérêt légitime du responsable de traitement pour passer outre le consentement du client, la définition de l’intérêt légitime ;
- les finalités nouvelles si un traitement ultérieur est prévu.
II) La collecte indirecte de données à caractère personnel
Il s’agit ici de l’hypothèse pour laquelle les données ne sont pas recueillies immédiatement auprès de la personne concernée mais sont acquises auprès d’un autre professionnel, comme par exemple dans le cas du rachat d’un fichier de prospection ou d’une base de données.
Actuellement l’article 32 de loi informatique et libertés prévoit l’obligation, pour le responsable de traitement ayant acquis des données à caractère personnel de manière indirecte, de communiquer à la personne concernée les mêmes informations que celles communiquées dans le cadre d’une collecte directe. Cette information doit s’effectuer dès l’acquisition des données ou au plus tard lors de la première communication à un destinataire ou à la personne concernée.
Désormais, l’article 14 du règlement prévoit que le responsable de traitement doit informer la personne concernée de l’ensemble des éléments prévus à l’article 13, auxquels s’ajoutent également :
- les catégories de données concernées par la collecte indirecte ;
- la source des données collectées y compris si elles sont issues d’une source accessible au public ;
- en cas de nouvelle finalité, les informations relatives à celle-ci.
Concernant le délai de transmission de ces informations à la personne concernée, le règlement prévoit que celui-ci ne doit pas dépasser un mois ou être effectué au plus tard lors de la première prise de contact avec les personnes concernées si les données sont utilisées à cet effet.
Il est toutefois fait exception à cette obligation d’information lorsque :
- la personne dispose déjà des informations ;
- la fourniture des informations est impossible ou disproportionnée ;
- l’obtention ou la communication des informations résulte d’une disposition législative ou communautaire impérative ;
- les données doivent restées confidentielles en vertu du respect du secret professionnel d’une profession réglementée.
Conseils : pour se conformer à ces nouvelles obligations, il convient pour les professionnels agissant en tant que responsable de traitement de s’assurer que l’ensemble des éléments prévus à l’article 13 ont bien été portés à l’attention des personnes concernées ainsi que d’informer celles-ci, via un mail général d’information par exemple, sur :
- la catégorie de données qui a été collecté indirectement ;
- les éventuels changements de finalités ;
- la source des données ;
- les autres éventuels changements.