INFORMATION DES PERSONNES

L'exigence d'information des personnes constitue l'un des facteurs clés du dispositif de conformité des traitements de donnée caractère personnel. Il s'agit pour le responsable de traitement d'adopter des mesures de transparence.

FORMALISER UNE INFORMATION ADÉQUATE DES PERSONNES EN FONCTION DES ENJEUX

Besoin d'aide 

La communication à l'égard de la personne concernée doit être faite d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. 

Le responsable de traitement doit prioritairement informer les personnes au regard volets suivants au moment où les données sont obtenues :

 

  • Son identité et ses coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

  • Les finalités du traitement auquel sont destinées les données et la base juridique du traitement

  • Le cas échéant les intérêts légitimes poursuivis

  • Le cas échéant les destinataires ou les catégories de destinataires des données

  • Le cas échéant l'intention d'effectuer un transfert de données vers un pays hors UE et l'existence ou l'absence d'une décision d'adéquation de la Commission européenne ou celle de garanties appropriées ou adaptées et les moyens d'y accéder  

Par ailleurs, le responsable de traitement doit envisager dans son programme de conformité les modalités d'une mise à disposition de volets complémentaires d'information :

  • Durée de conservation des données ou les critères utilisés pour déterminer cette durée

  • Droit de demander l'accès aux données, la rectification ou leur effacement, ou une limitation du traitement, ou du droit de s'opposer au traitement et le droit à la portabilité des données

  • Le cas échéant le droit de retirer un consentement à tout moment au regard des des modalités applicables

  • Droit d'introduire une réclamation auprès d'une autorité de contrôle

  • Indication des informations permettant de connaître le fondement réglementaire ou contractuel de la fourniture de données ou l'exigence contractuelle applicable et les éventuelle conséquences éventuelles de la non-fourniture de ces données

  • Le cas échéant l'existence d'une prise de décision automatisée, y compris un profilage, et toutes informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Il existe par ailleurs des évènements qui exigent de réaliser une information des personnes spécifique. Tel est le cas lorsqu'il survient une violation de données à caractère personnel portant pas atteinte aux données personnelles et présentant un risque pour les droits et libertés des personnes. .

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des mesures à adopter,

  • Un information spécifique doit être effectuée lorsque les données n'ont pas été collectées auprès de la personne 

  • L'information réalisée au moment de la collecte doit être précisément complétée en cas d'intention d'effectuer un traitement ultérieur des données pour une finalité autre que celle pour laquelle les données ont été collectées

  • L'information des personnes ne s'applique pas lorsqu'elles disposent déjà des volets d'informations requis

  • En pratique, les modalités d'informations peuvent s'appuyer sur des mentions à minima ainsi que sur des documents complémentaires déclaratifs (Politique de protection des données ...)

  • La vérification de la bonne information des personnes constitue un point important dans la feuille de route RGPD

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris