L’information des personnes concernées

Pour que les données soient collectées et traitées de manière licite, loyale et transparente, pour des finalités déterminées, explicites et légitimes, il faut que la personne concernée soit informée (voire qu’elle accepte, selon le contexte) de nombreux renseignements. Cette information (ou consentement, selon) déterminera la légalité de la collecte de la donnée et donc, son exploitation par la suite.

Lorsque des données sont collectées directement auprès de la personne concernée, le responsable du traitement lui fournit

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant (Président, gérant, etc…) ;
  • le cas échéant, les coordonnées du DPO (délégué à la protection des données);
  • les finalités du traitement ainsi que la base juridique du traitement ;

 

 

Lorsque le responsable du traitement a l’intention de poursuivre, plus tard, d’autres finalités autre que celle pour laquelle les données ont été collectées, il doit au préalable fournir la personne concernée des informations au sujet de cette autre finalité.

  • les destinataires ou les catégories de destinataires des données;
  • les éventuels transferts de données hors Union et le fondement juridique de ces traitements ;
  • la durée de conservation des données ;
  • l’existence du droit de demander au responsable du traitement l’accès aux données, la rectification ou l’effacement de celles-ci, du droit de s’opposer au traitement et du droit à la portabilité des données;
  • l’existence du droit de retirer son consentement à tout moment ;
  • le droit d’introduire une réclamation auprès de la CNIL;
  • les informations sur la question de savoir si l’exigence de fourniture de données a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • l’existence d’une prise de décision automatisée, y compris un profilage et, le cas échéant, les informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

 

Les données collectées sur la base de ces informations sont en quelque sorte « marquées » de celles-ci. Ainsi, si la personne a donné son numéro de téléphone à un organisme sur la base d’informations spécifiques, comme la finalité ou la durée de conservation, le responsable du traitement ne peut pas changer d’avis plus tard et utiliser ce numéro de téléphone dans un autre cadre. En conséquence (et sauf certaines exceptions), si l’on veut utiliser une donnée pour un autre cadre, il faut recontacter toutes les personnes concernées pour les informer à nouveau.

Ainsi, les canaux d’acquisition des données auprès des personnes directement concernées doivent être appréhendés de manière prospective. Il convient donc d’anticiper au maximum l’utilisation future des données et, également, prendre grand soin de la rédaction de cette « notice données personnelles » afin qu’elle soit conforme à la loi, mais surtout, qu’elle soit pertinente pour le présent et le futur. Les sociétés devront désormais mettre en place des procédures de détermination de ces informations en amont et, également, des structurations de bases de données qui permettent la traçabilité des données et d’attacher celles-ci au scénario présenté aux personnes concernées.

Lorsque les données n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations ci-avant visées soit dans un délai d’un mois après avoir obtenu les données, soit, si les données doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne.