Le droit à l’information du traitement de ses données personnelles

Publié le 26 avril 2020 droits des personnes RGPD

Auparavant, les entreprises se chargeant de traiter les données personnelles, le faisaient à l’insu des personnes concernées. Les données collectées pouvaient être utilisées à des fins commerciales. Heureusement, avec le règlement général sur la protection des données ou RGPD, les entreprises sont de plus en plus conscientes des enjeux liés au traitement des données personnelles ! Les articles 13 et 14 mentionnent le fait qu’il est nécessaire de donner le maximum d’informations aux personnes physiques de la collecte de données les concernant. Mais que doit contenir ces informations et comment elles sont données ?

Quelles sont les méthodes utilisées pour informer les personnes du traitement des données ?

Les solutions rgpd utilisées pour informer des personnes de la collecte des données nécessaires les concernant dépendront des cas qui seront mis en avant. Il y a 4 situations qui se distinguent et qui sont souvent répétitives :

  • Dans le cas où les responsables de traitement ne vont utiliser que les noms et les prénoms de la personne physique (pris sur internet) il sera assez complexe de l’en informer directement. Par contre ils pourront protéger les intérêts légitimes des utilisateurs via la politique de confidentialité directement accessible sur la plateforme.
  • Si la personne concernée télécharge une appli, l’information sera directement indiquée dans les conditions générales d’utilisation.
  • Dans le cas d’un achat sur un site de vente en ligne, la personne sera informée de la collecte de données, avant la confirmation de ses achats grâce aux CGV ou en regardant les mentions sur le formulaire d’achat.
  • Si ce sont des cartes de visites recueillies à la suite de manifestations ou de salons, le responsable du traitement enverra un email d’information relatif aux données collectées.

Qu’en est-il du cas spécifique des formulaires en ligne ?

Dans le cas de formulaire en ligne, la protection des données à caractère personnel est importante, et il en est de même pour l’information au consommateur. Généralement, ces paragraphes d’informations sur la collecte des données nécessaires ne vont pas s’ajouter au commencement du formulaire. Surtout si l’e-commerce dispose de plusieurs formulaires : formulaire de contact, formulaire d’abonnement, formulaire d’inscription…

Ces plateformes de vente en ligne qui traitent les données de leurs clients doivent tout de même indiquer des informations sur le formulaire, tout en renvoyant vers la politique de confidentialité du site. Cette politique de confidentialité doit indiquer les mentions nécessaires exigées par le règlement européen sur la protection des données personnelles.

Quand informer les personnes sur le traitement de leurs données ?

Dans le RGPD, il y a deux situations qui sont mises en avant : le fait de collecter des données personnelles directement et indirectement. Dans le premier cas, l’information sur les traitements de données doit être remise le jour même de la collecte. Dans le second cas, si les données collectées viennent de tiers, la personne concernée doit être avertie dans un délai maximum d’un mois après la collecte, dans le cadre du respect de sa vie privée.

La nécessité de fournir des données exactes aux personnes concernées

Les coordonnées exactes du responsable de traitement ou du délégué à la protection

Quand la donnée personnelle est collectée via un formulaire en ligne ou quand l’internaute recevra un email d’information, l’identité sera mise en exergue par le nom de la plateforme ou celui de l’expéditeur. La personne a donc un droit d’accès à ses données et peut s’assurer de la protection de sa vie privée.

Même si l’e-commerce n’est pas obligé de désigner un DPO, il peut tout de même désigner une personne qui se chargera d’informer les personnes concernées sur l’usage et la conservation des données personnelles ainsi que leurs finalités !

Les finalités du traitement des données

Toute entreprise se doit d’expliquer de façon claire et concise pourquoi elle collecte vos données et sur quelle base légale elle peut le faire. Il est impératif d’avoir le consentement des personnes concernées afin de veiller à la protection de leur vie privée.

Vous pouvez exercer votre droit d’opposition dans le cadre de la protection de vos données personnelles. Selon la Cnil, quand les données sont collectées pour plusieurs objectifs, elles doivent toutes être spécifiées.

La base légale du traitement de données

L’intérêt légitime n’est une base légale lors du traitement des données que s’il respecte les intérêts et les droits des personnes RGPD concernées. Une société peut très bien demander à connaître les préférences de ses clients pour fournir des produits et des offres adaptées, mais elle ne peut pas non plus épier ses clients. Il faut qu’il y ait un minimum de respect des droits et libertés des personnes concernées. Dans tous les cas, dans les mentions d’information RGPD, il faut qu’il y ait des détails sur les intérêts légitimes afin d’être en conformité avec le règlement européen.

Les destinataires des données personnelles

Il est impératif que la société puisse respecter les instructions données par l’autorité de contrôle, surtout si les informations seront transmises à des personnes ou des organismes internes ou externes.

Le contrôle des données personnelles devant être plus accru, si les données privées seront transférées hors de l’UE, il faut indiquer sur quelle base sera effectuée ce transfert.

Il ne faut pas oublier de préciser combien de temps seront conservées ces données personnelles (en sachant qu’il ne faut pas dépasser les durées légales RGPD.

Le droit des personnes

Il ne suffira juste pas d’énumérer les droits des personnes concernées mais d’indiquer par quels moyens ils peuvent exercer leurs droits. Dans le cas d’un traitement avec consentement, elles peuvent s’opposer au traitement de leurs données personnelles.

Il est même possible de faire une réclamation auprès de l’autorité de contrôle en cas d’usage abusif des données ou de non-respect de la vie privée. Il sera laissé à l’appréciation de la CNIL de sanctionner ou non les entreprises qui sont en tord.