RGPD : comment informer les personnes dont vous collectez les données personnelles ?

Chaque entreprise doit informer les personnes dont elle traite les données personnelles. Cette information doit porter notamment sur les données collectées (nom, email, adresse IP, parcours web, préférence commerciale…), les objectifs poursuivis (prospection commerciale, analyse du trafic web, ciblage publicitaire…), les outils informatiques (hébergeur, plateformes publicitaires, plateformes d’analyse de trafic…), la durée de conservation et les droits des personnes sur leurs données.

Table des matières

1/ Listes des informations à fournir

Chaque entreprise doit informer les personnes dont elle traite les données personnelles. La liste des informations que l’entreprise doit fournir aux personnes auprès de qui elle a collecté les données est définie à l’article 13 du Règlement général sur la protection des données (RGPD). Il s’agit de :

l’identité du responsable du traitement (c’est-à-dire le nom, l’adresse et le numéro d’immatriculation de l’entreprise) ;

la finalité (c’est-à-dire l’objectif du traitement, comme la gestion du personnel, la réponse aux demandes des prospects, la gestion des clients, la prospection commerciale, le ciblage publicitaire…) ;

le caractère obligatoire ou facultatif des réponses, ainsi que les conséquences éventuelles d’un défaut de réponse ;

les destinataires ou catégories de destinataires des données personnelles (c’est-à-dire les personnes ou catégories de personne qui reçoivent les données personnelles, tels que, dans l’entreprise, le service marketing, l’équipe de direction, le service informatique, le service ressources humaines… ou, en dehors de l’entreprise, l’hébergeur du site, la plateforme web d’emailing, le cloud de l’entreprise, les services publicitaires tels que Google Ads ou Facebook Ads, les services d’analyse de trafic tels que Google Analytics ou SemRush…) ;

les droits d’opposition, d’accès, de modification et de suppression (il s’agit de droits dont chaque personne dispose lorsque des données la concernant sont traitées) ;

la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ;

si les données personnelles font l’objet d’un transfert hors de l’Union européenne, d’autres précisions devant dans ce cas être communiquées

2/ Informer les personnes de manière claire et précise

Pour que la collecte soit loyale et licite, les informations apportées aux individus doivent être claires et précises. Cela implique que la politique de confidentialité devra être rédigée dans un langage clair et être suffisamment précis pour que les personnes concernées comprennent comment leurs données sont traitées.

La Commission nationale informatique et liberté (Cnil) sanctionne les responsables de traitement qui ne respectent pas ce principe. Par exemple, la Cnil a sanctionné pour 150 000 euros un responsable de traitement qui préférait regrouper des traitements de données sous prétexte qu’il y a une finalité unique alors qu’en réalité, les traitements ont différents objectifs.

3/ Fournir les informations dans une politique de confidentialité

Ces informations doivent être fournies au moment du recueil des données. Concrètement, nous conseillons à chaque entreprise de disposer d’une ou plusieurs politiques de confidentialité (telle que la politique de confidentialité de Deshoulières Avocats).

Il s’agit ensuite de renvoyer à cette politique de confidentialité à chaque point de contact avec une personne dont l’entreprise traite les données :

renvoi depuis le bandeau cookies à afficher lors de la première connexion d’un internaute au site web de l’entreprise ;

case à cocher depuis chaque formulaire web afin de valider la politique de confidentialité ;

mention depuis chaque formulaire papier, en insérant un lien simple du type www.entreprise.fr/politique-de-confidentialite ;

renvoi depuis chaque email, en insérant en lien dans la signature vers la politique de confidentialité.

4/ Des règles spécifiques pour les questionnaires

Un questionnaire est une notion vaste. Des données personnelles sont récoltées lorsqu’un responsable de traitement met à disposition d’individus un formulaire. La Cnil a, par exemple, considéré qu’un formulaire d’inscription en ligne était un questionnaire. La Cnil considère également que l’obligation d’information doit s’appliquer aux questionnaires, même si ce dernier se fait oralement lors d’un appel téléphonique.

En tout état de cause, en présence d’un questionnaire, la liste d’informations à communiquer pour informer les personnes concernées est réduite. Les informations à fournir sont alors :

les informations relatives à l’identité du responsable de traitement ou son représentant ;

la finalité du traitement en question ;

le caractère obligatoire ou facultatif des réponses ;

les droits dont les personnes concernées disposent pour l’opposition, l’accès, la rectification ou la suppression de leurs données collectées.

Concrètement, les personnes concernées doivent être, au préalable, informées lorsque le questionnaire est effectué à l’oral. Attention donc à bien respecter l’obligation d’information en tant que responsable de traitement en cas de collecte directe des données.

RÉFÉRENCES :

Transparence des informations et exercice des droits de la personne : article 12 du RGPD
Les informations à fournir en cas de collecte directe des données : article 13 du RGPD

Deshoulières Avocats vous accompagne à toutes les étapes de votre mise en conformité au RGPD, et en particulier pour la rédaction de votre politique de confidentialité.

DEMANDER UN DEVIS GRATUIT

RECOMMANDÉ POUR VOUS :

Fichier-pirate-de-Monsanto-400000-euros-damende-par-la-Cnil

Fichier-pirate : 400.000 euros d'amende pour Monsanto

Contenus illicites en ligne : 6 mois de conservation…

Mise en conformité au RGPD pour les pharmaciens :…

Demander un devis gratuit

Deshoulières Avocats
contact@deshoulieres-avocats.com
Tél. : +33.1.77.62.82.03
121, boulevard Sébastopol – 75002 Paris

Une question ?
Deshoulières Avocats a été classé parmi les meilleurs cabinet d’avocats en droit des nouvelles technologies par le journal Le Point.

Nous conseillons et défendons plus de 750 entreprises, en France et à l’international.

DEVIS GRATUIT

Demandez dès à présent un devis gratuit. Deshoulières Avocats s’engage à vous répondre sous 24h.

Demander un devis gratuit

UNE QUESTION ? UN BESOIN ? CONTACTEZ-NOUS

Deshoulières Avocats conseille et défend plus de 750 entreprises, en France et à l’international.

Nous contacter

Papacito condamné pour injure publique homophobe

Ce vendredi 26 avril 2024, le Tribunal correctionnel de Paris a condamné Ugo Gil Jimenez, alias "Papacito", pour injure publique homophobe. Cette décision fait suite aux plaintes déposées par Christian Eurgal, maire de Montjoi, et les associations Familles LGBT, Stop...

Protection d’une enseigne lumineuse par le droit d’auteur

Une enseigne lumineuse conçue pour un stand de salon professionnel peut être protégée par le droit d’auteur lorsqu'elle est suffisamment originale. C'est ce qu'a décidé le Tribunal judiciaire de Paris dans un jugement du 4 avril 2024. La protection des enseignes...

Sous quelle condition peut-on géolocaliser un salarié pour calculer son temps de travail ?

Un système de géolocalisation des salariés dans le but de contrôler leurs horaires de travail ne peut être mis en place qu'à la seule condition qu'il soit l'unique moyen de contrôler les horaires de travail du salarié. Ainsi en a décidé la chambre sociale de la Cour...