Les lignes directrices du G29 sur la transparence ont été définitivement publiées le 13 avril dernier, soit à peine un mois avant l’entrée en application du Règlement général sur la protection des données (RGPD)
Conscient de la complexité induite par l’existence de multitudes de spécificités sectorielles, le G29 vient préciser que ces lignes directrices visent avant tout à donner des orientations, des exemples et à faire communiquer aux entreprises l’interprétation que les autorités de contrôle, ont du principe de transparence. Celle-ci peut se résumer ainsi : la personne concernée ne doit pas être surprise par le traitement qui est réalisé sur ses données personnelles. Cela implique que le responsable de traitement soit lui-même en mesure de connaitre et de prévoir les traitements et les risques qu’ils sont susceptibles d’amener pour la personne qu’il vise.
La version définitive de ces lignes directrices laisse toujours les entreprises libres de choisir les modalités d’information, cependant elle témoigne d’un renforcement des recommandations et bonnes pratiques en la matière, diminuant ainsi leur part de liberté. (Sur la première version des lignes directrices, voir notre article « RGPD : Les projets de lignes directrices du G29 sur le consentement et la transparence » ici).
Voici les principaux apports de cette version définitive :
Sur les informations à délivrer :
L’ajout d’informations par rapport au texte du RGPD :
- L’ information sur les plus importantes conséquences du traitement -> une information exigée formellement et non plus seulement à titre de bonne pratique
- L’ information sur le résultat de la balance d’intérêts lorsque l’intérêt légitime est choisi comme base légale -> il devra être au minimum indiqué que l’information est accessible sur demande
Une exigence de détails dans les informations prévues à l’article 13 et 14 du RGPD :
- Le nom des destinataires n’est plus exigé formellement par défaut -> à défaut, l’information doit être la plus spécifique possible sur le type, le secteur d’activité et la localisation des destinataires
- En cas de transferts de données vers des pays tiers, il doit être indiqué comment obtenir les documents permettant de justifier le transfert (décision d’adéquation, BCR, clauses contractuelles, …) -> la liste des pays n’est pas strictement obligatoire mais devra le plus souvent être donnée
- En cas de collecte indirecte, la source spécifique des données doit être précisée SAUF IMPOSSIBILITÉ (difficile voire impossible à démontrer compte-tenu des critères posés)
Sur les modalités de délivrance de l’information :
Elles sont un peu plus laissées à l’appréciation de l’entreprise…
- La possibilité de « diriger activement » la personne vers l’information via des liens, QR code, etc. est explicitement envisagée
- L’approche par strate, recommandée sur le digital, peut également s’appliquer hors digital (téléphone, face à face, …)
- L’entreprise doit apprécier les informations qu’il doit prioriser au regard de son traitement, de son public, des modalités de recueil des données, etc.
- L’entreprise doit permettre un accès facile et continu à l’information -> le rappel explicite d’information n’est pas systématique, l’entreprise doit pouvoir évaluer son caractère approprié et l’intervalle approprié
…mais enserrées dans un cadre plus exigeant :
- Quelles que soient les modalités retenues, l’entreprise doit disposer d’un document complet et unique contenant toutes les informations et facilement accessible -> ce peut être la politique de vie privée par exemple (par ailleurs exigée en cas de présence digitale de l’entreprise)
- La première strate d’information doit comprendre obligatoirement certaines informations : les finalités du traitement, l’identité du responsable de traitement, la description des droits de la personne, les plus importants impacts du traitement sur la personne et toute information susceptible de la surprendre à propos du traitement -> le G29 rappelle que ces informations doivent être portées à la connaissance de la personne au moment de la collecte, par exemple sur le formulaire (sur ce point, voir ici les lignes directrices du G29 sur le consentement qui fixent également une liste d’informations minimales, pour obtenir un consentement valide)
- Une obligation détaillée de porter activement à la connaissance des personnes les modifications concernant la finalité, l’identité du responsable de traitement, l’exercice des droits ou tout autre changement notable ou substantiel dans les conditions du traitement
Sur la formulation des informations :
Des précisions sur les justifications à apporter sur les choix réalisés :
- L’entreprise doit pouvoir justifier du langage qu’elle a choisi d’utiliser -> évaluation du public visé et notamment s’il s’agit d’enfants ou de personnes vulnérables
- Cette justification peut passer par des panels d’utilisateurs mais également des discussions avec les groupes d’industries, des groupes associations de consommateurs ou encore des organismes de régulation
- Lorsque le public visé par les produits/services est constitué d’enfants, même en bas âge et incapables de lire, l’information doit leur être adaptée
Deux exemples de clarté de l’information relatifs à la publicité ont été ajoutés :
- Une clarté insuffisante pour « We may use your personal data to offer personnalised services »
- Une clarté suffisante pour « We will keep a record of the articles on our websites that you have clicked on and use that information to target advertising on this website to you that is relevant to your interests, which we have identified bases on articles you have read»
– avril 2018 –