L’information des personnes physiques

Posté le : 12 février 2018
Temps de lecture : 4 minutes

Pour bien comprendre la GDPR, il suffit de se placer dans la situation d’une personne physique désireuse d’identifier où sont stockées ses données, par qui elles sont traitées et comment elles sont protégées. A ces questions répond un impératif de transparence, fixé dans la GDPR et qui s’impose plus que jamais aux entreprises.

Cette transparence passe par une information renforcée des personnes physiques, quant aux raisons pour lesquelles l’entreprise collecte leurs données. Et ces informations sont nombreuses ! L’organisation qui collecte des données doit d’abord identifier la base légale qui lui permet de le faire, et en tenir informée la personne concernée.

Quelle peut être cette base légale ? La GDPR en prévoit six : l’exécution d’un contrat (une commande en ligne ou un contrat de travail), l’intérêt légitime du Responsable de traitement (la lutte contre la fraude, la sécurité de ses locaux), le consentement de la personne (la prospection marketing), l’obligation légale, l’exécution d’une mission de service public ou d’intérêt général, ou enfin l’intérêt vital de la personne.

La GDPR impose également d’apporter des précisions aux personnes quant aux modalités exactes du traitement qui est fait de leurs données personnelles : qui est le Responsable de traitement qui prend l’initiative de cette collecte ? Pour quelles finalités les demande-t-il (par exemple, envoyer une newsletter ou assurer la géolocalisation d’un véhicule) ? A quels tiers destinataires prévoit-il de les transmettre ? Entend-il les envoyer au-delà des frontières de l’Union européenne, vers des pays qui n’assurent pas nécessairement une protection suffisante ? Pendant quelle durée souhaite-t-il conserver ces données ? Si la donnée n’est pas directement collectée auprès de la personne, quelle était la source de cette donnée ?

En outre, l’entreprise doit informer la personne physique du bouquet de droits dont celle-ci dispose à présent sur ces données, et qu’elle doit pouvoir faire valoir en toute hypothèse : son droit d’accéder aux données la concernant telles que détenues par l’entreprise ; son droit de demander la modification et l’actualisation de ses données ; son droit d’en exiger l’effacement, en certaines circonstances ; son droit de s’opposer à l’utilisation ultérieure de ses données, ou de suspendre les traitements qui en sont faits ; son droit d’exiger une intervention humaine en cas de décision algorithmique prise sur ses données ; son droit de disposer de ses données après son décès, ou encore son droit de saisir la CNIL en cas de litige.

Tous ces droits doivent être communiqués à la personne de manière univoque, claire et précise. Un droit à la portabilité des données est également entériné, permettant le transfert des données traitées d’un Responsable A vers un Responsable B, à la demande de la personne concernée.

En outre, de nombreux traitements peuvent impliquer le consentement préalable de la personne. C’est souvent le cas, sauf exceptions, pour effectuer de la prospection marketing, ou encore pour transférer les données collectées par l’entreprise vers un de ses partenaires commercial. Les consentements doivent faire l’objet d’un recueil clair et précis, et en cas de refus, l’entreprise doit scrupuleusement respecter cette décision. De plus, les consentements sont révocables à chaque instant.

De l’information circonstanciée des personnes dépend la légitimité des collectes et traitements de données personnelles, et donc leur future légalité. Il est capital de travailler à une information transparente et précise des personnes, car c’est un vecteur de confiance qui permettra de sécuriser les traitements de données par l’entreprise. Il est également capital de tracer dorénavant les consentements recueillis par l’entreprise, puisqu’ils sont le fondement de nombreuses activités aujourd’hui.

Article suivant

L’information des personnes physiques

L'information des personnes physiques
Les responsables de traitements et les sous traitants
Article précédent

Les Responsables de traitements et les Sous-traitants