Chaque entreprise doit informer les personnes dont elle traite les données personnelles. Cette information doit porter notamment sur les données collectées (nom, email, adresse IP, parcours web, préférence commerciale…), les objectifs poursuivis (prospection commerciale, analyse du trafic web, ciblage publicitaire…), les outils informatiques (hébergeur, plateformes publicitaires, plateformes d’analyse de trafic…), la durée de conservation et les droits des personnes sur leurs données.
1/ Listes des informations à fournir
Chaque entreprise doit informer les personnes dont elle traite les données personnelles. La liste des informations que l’entreprise doit fournir aux personnes auprès de qui elle a collecté les données est définie à l’article 13 du Règlement général sur la protection des données (RGPD). Il s’agit de :
- l’identité du responsable du traitement (c’est-à-dire le nom, l’adresse et le numéro d’immatriculation de l’entreprise) ;
- la finalité (c’est-à-dire l’objectif du traitement, comme la gestion du personnel, la réponse aux demandes des prospects, la gestion des clients, la prospection commerciale, le ciblage publicitaire…) ;
- le caractère obligatoire ou facultatif des réponses, ainsi que les conséquences éventuelles d’un défaut de réponse ;
- les destinataires ou catégories de destinataires des données personnelles (c’est-à-dire les personnes ou catégories de personne qui reçoivent les données personnelles, tels que, dans l’entreprise, le service marketing, l’équipe de direction, le service informatique, le service ressources humaines… ou, en dehors de l’entreprise, l’hébergeur du site, la plateforme web d’emailing, le cloud de l’entreprise, les services publicitaires tels que Google Ads ou Facebook Ads, les services d’analyse de trafic tels que Google Analytics ou SemRush…) ;
- les droits d’opposition, d’accès, de modification et de suppression (il s’agit de droits dont chaque personne dispose lorsque des données la concernant sont traitées) ;
- la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ;
- si les données personnelles font l’objet d’un transfert hors de l’Union européenne, d’autres précisions devant dans ce cas être communiquées
2/ Informer les personnes de manière claire et précise
Pour que la collecte soit loyale et licite, les informations apportées aux individus doivent être claires et précises. Cela implique que la politique de confidentialité devra être rédigée dans un langage clair et être suffisamment précis pour que les personnes concernées comprennent comment leurs données sont traitées.
La Commission nationale informatique et liberté (Cnil) sanctionne les responsables de traitement qui ne respectent pas ce principe. Par exemple, la Cnil a sanctionné pour 150 000 euros un responsable de traitement qui préférait regrouper des traitements de données sous prétexte qu’il y a une finalité unique alors qu’en réalité, les traitements ont différents objectifs.
3/ Fournir les informations dans une politique de confidentialité
Ces informations doivent être fournies au moment du recueil des données. Concrètement, nous conseillons à chaque entreprise de disposer d’une ou plusieurs politiques de confidentialité (telle que la politique de confidentialité de Deshoulières Avocats).
Il s’agit ensuite de renvoyer à cette politique de confidentialité à chaque point de contact avec une personne dont l’entreprise traite les données :
- renvoi depuis le bandeau cookies à afficher lors de la première connexion d’un internaute au site web de l’entreprise ;
- case à cocher depuis chaque formulaire web afin de valider la politique de confidentialité ;
- mention depuis chaque formulaire papier, en insérant un lien simple du type www.entreprise.fr/politique-de-confidentialite ;
- renvoi depuis chaque email, en insérant en lien dans la signature vers la politique de confidentialité.
4/ Des règles spécifiques pour les questionnaires
Un questionnaire est une notion vaste. Des données personnelles sont récoltées lorsqu’un responsable de traitement met à disposition d’individus un formulaire. La Cnil a, par exemple, considéré qu’un formulaire d’inscription en ligne était un questionnaire. La Cnil considère également que l’obligation d’information doit s’appliquer aux questionnaires, même si ce dernier se fait oralement lors d’un appel téléphonique.
En tout état de cause, en présence d’un questionnaire, la liste d’informations à communiquer pour informer les personnes concernées est réduite. Les informations à fournir sont alors :
- les informations relatives à l’identité du responsable de traitement ou son représentant ;
- la finalité du traitement en question ;
- le caractère obligatoire ou facultatif des réponses ;
- les droits dont les personnes concernées disposent pour l’opposition, l’accès, la rectification ou la suppression de leurs données collectées.
Concrètement, les personnes concernées doivent être, au préalable, informées lorsque le questionnaire est effectué à l’oral. Attention donc à bien respecter l’obligation d’information en tant que responsable de traitement en cas de collecte directe des données.
RÉFÉRENCES :
- Transparence des informations et exercice des droits de la personne : article 12 du RGPD
- Les informations à fournir en cas de collecte directe des données : article 13 du RGPD