QUELLES SONT LES OBLIGATIONS D’INFORMATION DE L’ENTREPRISE ?
Lorsque l’entreprise traite des données personnelles en tant que responsable de traitement, c’est-à-dire lorsqu’elle détermine les finalités (objectifs), elle a des devoirs d’information à l’égard de la personne concernée.
Si l’entreprise reçoit les données directement de la personne concernée, les obligations d’information doivent se faire dès ce moment.
L’entreprise devra veiller à ce que l’information donnée soit la plus claire, la plus compréhensible et la plus complète possible. A défaut, l’information ne sera pas valable.
L’entreprise a la charge de la preuve.
Cela signifie qu’en cas de contrôle de la CNIL ou d’une plainte, elle devra démontrer qu’elle a bien respecté son devoir d’information et, le cas échéant, obtenu le consentement de la personne concernée (lorsque le consentement est la base légale du traitement).
SUR QUOI PORTENT LES OBLIGATIONS D’INFORMATION DE L’ENTREPRISE ?
Les informations à délivrer sont nombreuses en tant que responsable de traitement.
L’entreprise devra notamment informer la personne, de son identité et ses coordonnées, des finalités de traitement, des bases légales, des destinataires des données, de son éventuelle intention de transférer les données hors UE (en principe interdit), de la durée de conservation des données, des droits dont dispose la personne, de l’existence d’une prise de décision automatisée, y compris le profilage, etc.
COMMENT CONCRETEMENT L’ENTREPRISE PEUT-ELLE REPONDRE À CES OBLIGATIONS D’INFORMATION ?
La solution la plus adaptée et la plus sécurisante pour l’entreprise est de rédiger un document d’information qu’elle adressera systématiquement aux personnes concernées dès la collecte des données.
Ce document servira de preuve en cas de contrôle ou de plainte.
L’envoi du document d’information peut être automatisé dans certains cas.
Sur un site internet, ce document d’information peut s’appeler « Politique d’utilisation des données personnelles » ou encore « Charte de confidentialité » et être librement accessible sur toutes les pages du site.
L’entreprise veillera par ailleurs à prévoir une case à cocher pour inviter l’internaute à accepter le document dès que cela est possible ou obligatoire (au niveau de l’inscription à la newsletter, de l’acceptation des cookies, du parcours de vente en ligne, du formulaire de contact).
Attention : si l’entreprise traite des données pour remplir plusieurs objectifs (finalités) nécessitant le consentement obligatoire (comme base légale), plusieurs cases à cocher seront nécessaires pour informer de ces différentes finalités et recueillir le consentement finalité par finalité (une case à cocher par finalité de traitement).
Pour les salariés, l’entreprise peut par exemple rédiger une charte informatique qu’elle communique et fait signer dès l’entrée en fonction de la personne.
Pour les clients, l’entreprise peut adapter son contrat client en intégrant une clause relative aux données personnelles ou encore choisir d’élaborer un document dédié (ce qui est préférable) qu’il pourra intitulé « Politique d’utilisation des données personnelles » ou « Charte de confidentialité« .
Ce document devra être adressé au client ou futur client dès la collecte de ses données.