Qui traite vos données personnelles, pourquoi et comment?
Les entreprises ou administrations doivent vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte.
Ce droit est limité dans certains cas (p. ex. la sécurité publique ou la poursuite d’infractions pénales).
En cas de faille de sécurité entraînant une violation de données à caractère personnel susceptible d’engendrer un risque élevé pour vos droits et libertés, le responsable du traitement doit vous informer dans les meilleurs délais afin que vous puissiez prendre les précautions qui s’imposent
Quels éléments d'information vous doivent être communiqués?
En cas de traitement de données à caractère personnel vous concernant, les informations suivantes doivent vous être communiquées:
- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
- le cas échéant, les coordonnées du délégué à la protection des données (DPO);
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque le traitement utilise ce fondement;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
- le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, du RGPD, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
En cas de collecte indirecte, c’est à dire si les données n’ont pas été collectées directement auprès de vous, les catégories de données à caractère personnel concernées doivent également vous être communiquées.
De plus, les informations supplémentaires suivantes doivent également vous être communiquées, lorsque cela est nécessaire pour garantir un traitement équitable et transparent des données vous concernant:
- la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
- lorsque le traitement est fondé sur votre consentement, l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
- le droit d'introduire une réclamation auprès d'une autorité de contrôle;
- des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
- l'existence d'une prise de décision automatisée, y compris un profilage, produisant des effets juridiques la concernant et pouvant utiliser des catégories particulières de données, et au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée..
Enfin, certaines informations particulières doivent vous être communiquées en cas de violation de données à caractère personnel.
Qui doit vous communiquer ces éléments d’information ?
C’est le responsable du traitement qui doit vous communiquer ces éléments d’informations.
Le responsable du traitement est défini par le RGPD comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ».
Le même devoir d'information incombe à celui qui traite vos données et qui envisage de les transmettre à des tiers.
Comment ces éléments d’information doivent vous être communiqués ?
Les informations qui vous sont communiquées doivent être aisément accessibles, faciles à comprendre et formulées dans des termes clairs et simples.
Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique.
Quand est-ce que vous devez être informé(e) ?
Si les données ont été collectées directement auprès de vous, ces informations doivent vous être fournies au moment où les données en question sont obtenues.
En cas de collecte indirecte, c’est à dire si les données n’ont pas été collectées directement auprès de vous, ces informations doivent vous être fournies:
- dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées
- si les données à caractère personnel doivent être utilisées par le responsable du traitement aux fins de communication avec vous, au plus tard au moment de la première communication; ou
- s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
Dans quels cas ce droit à l’information ne s’applique-t-il pas ?
Le droit à l’information ne s’applique pas lorsque, et dans la mesure où vous disposez déjà de ces informations.
En outre, en cas de collecte indirecte, c’est à dire si les données n’ont pas été collectées directement auprès de vous, le droit à l’information ne s’applique pas lorsque :
- la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1 du RGPD, ou dans la mesure où le droit à l’information est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;
- l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou
- les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.
Cas particulier : communication en cas de violation de données à caractère personnel (« data breach »)
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour vos droits et libertés, celle-ci doit vous être communiquée par le responsable du traitement dans les meilleurs délais.
Cette communication décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d) du RGPD.
Cette communication n’est cependant pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:
- le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;
- le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 (article 34 RGPD) n'est plus susceptible de se matérialiser;;
- elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.