Comment le G29 interprète-t-il le principe de ‘transparence’ par rapport à la communication des informations?

Les données à caractère personnel doivent être traitées de manière transparente. Dans le cadre de ce principe de transparence, l'obligation d'information de l’entreprise est considérablement étendue par le RGPD. Une attention particulière est également accordée à la manière dont cette information doit être fournie. Le dénommé « groupe de travail article 29 », en abrégé le G29 - l'organe indépendant de conseil et de consultation des autorités de contrôle européennes en matière de vie privée - a publié, le 11 avril 2018, son avis final, dans lequel est discuté le concept de «transparence».

Dans le cadre du RGPD, l'obligation d'information des entreprises quant au traitement des données à caractère personnel de toutes les catégories de personnes dont les données sont traitées, est considérablement étendue. En plus des informations qui doivent déjà être fournies actuellement, l'entreprise devra également indiquer la base juridique, si les données seront transmises en dehors de l'Europe, combien de temps les données seront conservées, que la personne concernée a le droit de déposer une plainte, qu'elle peut retirer son consentement, s'il y a (et le cas échéant son identité) un « Data Protection Officer » (délégué à la protection des données), et ainsi de suite. Dans le contexte du principe de transparence, cette information plus étendue doit avoir lieu sous une forme compréhensible et facilement accessible, et dans un langage clair et simple.

Dans un avis provisoire du 29 novembre 2017, le G29 a donné une première interprétation des obligations de l’entreprise par rapport au principe de transparence. Dans sa recommandation finale du 11 avril 2018, le G29 donne sa position finale sur cette question. Les principaux points de cette recommandation sont présentés ci-dessous.

Comment l’information doit-elle être donnée ?

Le G29 insiste le plus possible tout au long de son avis, sur le fait que l’information doit être aussi transparente que possible, en tenant compte, entre autres, de la forme, de la langue et de l’accessibilité:

  • Forme? Le Groupe de travail recommande une information écrite. La forme concrète doit être déterminée par le responsable de traitement, en prenant en compte toutes les circonstances concrètes.
  • Langue utilisée? Dans ce contexte, le Groupe de travail déclare que l'information doit être structurée au lieu d'un long texte continu, que la langue utilisée doit être claire et adaptée au public cible et que les structures de phrases complexes et les mots vagues doivent être évités. A l’aide d’un certain nombre d'exemples concrets, le G29 fournit des “do’s” et “don’ts”.
  • Accessible? La personne concernée ne devrait pas avoir à rechercher les informations en question. Le G29 conseille au responsable du traitement de prendre des mesures actives pour fournir les informations, ou attirer au moins de manière active l’attention sur l’information.

En outre, le Groupe de travail recommande une information dite «par couches», certainement dans un contexte numérique. Toute entreprise ayant une présence en ligne doit avoir une déclaration Privacy sur son site Web. Une telle information par couches doit permettre à une personne concernée de trouver immédiatement les parties qui lui sont pertinentes ou, si l'information est fournie par voie électronique, de cliquer immédiatement dessus. Selon le Groupe de travail, la première couche (soit, ce sur quoi l’attention est portée par priorité) devrait contenir les détails relatifs aux finalités du traitement, l'identité du responsable du traitement et la description des droits de la personne concernée et, le cas échéant, les informations qui auraient le plus d'impact sur la personne concernée. Via cette information à plusieurs niveaux, des activités de traitement occasionnelles peuvent donc être couvertes (par exemple, le traitement des coordonnées des clients ou des fournisseurs). Des principes similaires s'appliqueraient selon le G29 si l'information est fournie oralement.

Dans quelle mesure l’information doit-elle être détaillée?

Le G29 interprète également l'obligation d'information étendue de l’entreprise envers les personnes concernées dont elle traite les données à caractère personnel.

En particulier, selon le groupe de travail, les informations à fournir dans le cadre du GDPR doivent être concrétisées comme suit:

Informations qui doivent obligatoirement être données

Avis G29

Identité et coordonnées de l’entreprise et, le cas échéant, de son représentant

Cette information doit permettre une identification facile de l'entreprise et, idéalement, faire en sorte que la communication puisse se faire de plusieurs manières (par exemple, aussi bien une adresse e-mail, qu’un numéro de téléphone, etc.).

Coordonnées du Data Protection Officer (si applicable)

Le groupe de travail renvoie à son précédent avis concernant le Data Protection Officer, à savoir le délégué à la protection des données.

Finalités de traitement et base légale

Aussi bien les finalités de traitement que la base juridique doivent être définies spécifiquement. Si des catégories particulières de données à caractère personnel sont traitées, elles doivent également être spécifiées.

Intérêts légitimes de l’entreprise ou d’un tiers si le traitement est basé sur ce fondement  

L'intérêt légitime doit être précisé. Le GDPR prévoit que l'intérêt légitime ne peut être invoqué que si le droit à la vie privée et les droits fondamentaux de la personne concernée ne prévalent pas. En d'autres termes, il convient de mettre en balance les droits « vie privée » de la personne concernée et l'intérêt légitime invoqué, ce que l'on appelle une balance des intérêts (« balancing test »). À titre de best practice, le G29 indique que la société peut communiquer des informations sur cette balance des intérêts à la personne concernée, ou au moins indiquer à la personne concernée qu’elle peut recevoir cette information sur demande. Ainsi, il ne pourrait y avoir aucun doute sur le fait qu’une balance suffisante des intérêts a été faite, ce qui pourrait être essentiel pour ceux qui souhaitent déposer une plainte auprès de l'Autorité de protection des données. Le G29 revient quelque peu sur sa position antérieure de novembre 2017, dans laquelle il indiquait que les informations sur la balance des intérêts devaient obligatoirement être fournies.

Catégories de données à caractère personnel concernées (si applicable)

Conformément à ce qui ressort du RGPD, le G29 confirme que cette information ne doit être donnée que si les données à caractère personnel n’ont pas été reçues de la personne concernée elle-même.

Destinataires ou catégories de destinataires des données à caractère personnel (si applicable)

Le Groupe de travail insiste sur le fait qu’un “destinataire” ne signifie pas nécessairement un tiers. De plus, il précise que les destinataires doivent être concrètement décrits. Les informations doivent être « significatives » pour les personnes concernées, ce qui, dans la pratique, impliquera généralement que les destinataires seront cités nominativement de sorte que la personne concernée sache qui peut détenir ses données à caractère personnel. Si les informations données concernent uniquement les catégories de destinataires, ces catégories doivent être décrites de la manière la plus spécifique possible.

Intention de l’entreprise de transmettre les données à un pays tiers, s’il existe une décision d’adéquation ou des garanties appropriées ou adaptées, et comment une copie de celle(s)-ci peut être reçue ou à quel endroit elle peut être consultée (si applicable)

Selon le G29, les informations concernant les transferts à des pays tiers doivent également être « significatives » pour la personne concernée, ce qui en général signifiera que les pays tiers seront énumérés. Ici aussi, le Groupe de travail nuance légèrement son point de vue de novembre 2017, car à l’époque, il est encore d’avis que les pays tiers devaient obligatoirement être énumérés. En outre, l’article du RGPD sur la base duquel le transfert est autorisé doit être spécifié. Il convient également préciser comment et où ces informations peuvent être reçues ou consultées, par exemple en prévoyant un lien vers ces informations.

Période de conservation des données à caractère personnel ou critère de détermination de ce délai

Les informations doivent être suffisamment concrètement pour que la personne concernée elle-même puisse estimer combien de temps ses données à caractère personnel seront conservées. Il ne suffit pas de simplement déclarer que ces données ne seront pas conservées plus longtemps que nécessaire. Le G29 va, à cet égard, à l’encontre d’une position antérieure de la Commission Vie Privée belge.

Droit de la personne concernée en matière d’accès, de rectification, modification ou limitation des données à caractère personnel, droit de s’opposer au traitement et droit à la portabilité des données

Il convient de résumer les droits concernés ainsi que la manière dont la personne concernée peut prendre des mesures pour exercer ces droits. Le droit d’opposition, en particulier, doit être notifié au plus tard lors de la première communication à la personne concernée, et doit être communiqué clairement et séparément.

Droit de la personne concernée de retirer son consentement lorsque le traitement est basé sur ce consentement

Il convient d’expliciter comment le consentement peut être retiré, en tenant compte du fait qu’il doit être aussi facile pour une personne concernée de donner son consentement que de le retirer.

Droit de la personne concernée d’introduire une plainte auprès d’une autorité de surveillance 

Il convient de préciser que la personne concernée, si elle estime que ses droits « vie privée » en vertu du RGPD ont été violés, a le droit d’introduire une plainte auprès de l’autorité de surveillance (à savoir, pour la Belgique, l’Autorité de protection des données, qui est le nouveau nom de la Commission Vie Privée) dans l’Etat membre où elle demeure habituellement, où elle a son lieu de travail ou du lieu où la violation alléguée a été commise.

Si la fourniture des données à caractère personnel est une obligation légale ou contractuelle, ou une condition nécessaire à la conclusion d’une convention, ou si la personne concernée est obligée de fournir ces données et quelles sont les conséquences possibles si elle ne fournit pas ces données

Cette information ne doit être donnée que si les données à caractère personnel ont été reçues de la personne concernée elle-même.

Le Groupe de travail précise que, dans un contexte de droit du travail par exemple, le partage d’informations déterminées à un employeur actuel ou futur peut constituer une obligation contractuelle.

En outre, il précise que les formulaires en ligne doivent indiquer clairement quels champs doivent être obligatoirement remplis ou non, et quelles sont les conséquences si les champs obligatoires ne sont pas remplis.

L’origine des données à caractère personnel et si elles proviennent de sources publiques

 

Cette information ne doit être donnée que si les données à caractère personnel n’ont pas été reçues de la personne elle-même.

Il faut renseigner le lieu spécifique où les informations se trouvent, sauf si cela s’avère impossible, ou au moins certaines informations déterminées.

Existence de prise de décision automatisée

Le Groupe de travail se réfère à son avis précédent concernant la prise de décision automatisée

 

La question se pose de savoir à quel point la notification à la personne concernée doit être détaillée. A ce propos, le G29 indique qu’il y a une tension entre d’une part l’obligation de fournir des informations détaillées à la personne concernée et d’autre part l’exigence de le faire de manière concise, transparente, compréhensible et facilement accessible. En conséquence, le Groupe de travail précise que le responsable du traitement doit faire sa propre analyse de la nature, des circonstances, de la portée et du contexte des données à caractère personnel à traiter. Sur la base de cette analyse, l’entreprise peut ensuite décider à quel point les informations données doivent être détaillées, quelles informations sont prioritaires, de même que la manière dont les informations doivent être fournies, sous réserve du respect des dispositions légales du RGPD et des recommandations du G29. Le niveau de détail  des informations est donc dans une certaine mesure basé sur une analyse de risque effectuée par l’entreprise.

Points d’attention supplémentaires ?

Le G29 a en outre prêté attention aux points suivants :

  • Modifications de la notification : si les informations fournies à la personne concernée devaient changer, le G29 considère que ces modifications doivent également être communiquées de manière active par l’entreprise, particulièrement si cela concerne des modifications substantielles ou matérielles. Ces informations doivent à tout le moins être disponibles publiquement. L’impact éventuel de la modification sur la personne concernée doit également être explicité. En cas de modification fondamentale ou pertinente, la communication doit selon le Groupe de travail être effectuée longtemps à l’avance. Le laps de temps entre la notification et le moment où la modification a lieu devrait également être justifié.
  • Traitement pour une autre finalité : le Groupe de travail indique également quelles sont les informations précises qui doivent être données lorsque le responsable du traitement a l’intention de traiter les données à caractère personnel pour une autre finalité que celle pour laquelle les données ont été fournies au départ, et dans quel laps de temps cela doit, selon lui, être fait.
  • Exception à la notification obligatoire : le G29 va finalement plus loin en ce qui concerne les cas dans lesquels aucune notification ne doit être faite (plus particulièrement lorsque le responsable du traitement dispose déjà des informations ou - si les données n’ont pas été données directement par la personne concernée - lorsque le partage de ces informations apparait impossible ou impliquerait des efforts disproportionnés, lorsque l’obtention des données est explicitement prescrite par la loi ou lorsque les données à caractère personnel doivent rester confidentielles). Le G29 indique, avec un certain nombre d’exemples et de best practices, ce qu’il inclut dans ces exceptions, et il en ressort qu’il semble suggérer que ces exceptions devraient être interprétées de façon raisonnablement restrictive.