RGPD – Comment informer les personnes concernées ?

STARTUPS, APPRENEZ À INFORMER VOS UTILISATEURS !

Informer les personnes concernées est obligatoire si votre startup traite des données personnelles. Le RGPD impose d’informer de manière claire et précise. Comment informer les personnes dont je traite les données personnelles ? Quelles sont les informations à transmettre ?

1. QUELLE OBLIGATION IMPOSE LE RGPD ?

En application des articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD, le responsable de traitement a l’obligation d’informer les personnes concernées du ou des traitement(s) effectué(s) sur leurs données à caractère personnel lorsque ces données sont collectées directement auprès de la personne concernée ou lorsque les données sont collectées de manière indirecte (exemple : données publiques ou sur des réseaux sociaux).

2. QUELLES INFORMATIONS L’ENTREPRISE DOIT-ELLE TRANSMETTRE AUX PERSONNES CONCERNÉES ?

En application du RGPD, les informations qui doivent apparaître au sein d’une mention d’information sont les suivantes :

• Identité et coordonnées du responsable de traitement
• Le cas échéant, identité et coordonnées du représentant du responsable du traitement
• Le cas échéant, coordonnées du délégué à la protection des données (« DPO »)
• Finalités du traitement
• Base juridique du traitement (consentement, exécution d’un contrat, respect d’une obligation légale, etc.)
• Le caractère obligatoire ou facultatif du recueil des données à caractère personnel et conséquences pour la personne en cas de non-fourniture des données
• Le cas échéant, les intérêts légitimes du responsable de traitement ou du tiers, si le traitement est nécessaire aux fins de ces intérêts légitimes
• Destinataires ou catégories de destinataires des données à caractère personnel, s’ils existent
• Détails concernant les transferts de données dans des pays tiers et les garanties associées
• Durée de conservation des données à caractère personnel, ou critères permettant de déterminer cette durée de conservation
• Mention de chacun des droits des personnes concernées (accès, rectification, effacement, limitation du traitement, opposition et portabilité, etc.)
• Mention du droit de retirer le consentement à tout moment, si applicable
• Mention du droit d’introduire une réclamation auprès d’une autorité de contrôle
• Mention de l’existence d’une prise de décision automatisée, si elle existe, y compris un profilage
• En cas de collecte indirecte : catégories et source des données recueillies

Warning : Startups qui traitent des données personnelles de personnes physiques situées en France : attention à l’application de l’article 116 de la loi Informatique et Libertés. Cet article impose une mention d’information en dessous des formulaires et questionnaires. Cette mention d’information, souvent présente en dessous des formulaires de contact sur les sites Internet, doit préciser :

• le caractère obligatoire ou facultatif des réponses ;
• l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
• la ou les finalité(s) poursuivie(s) par le traitement auquel les données sont destinées ;
• les droits dont disposent les personnes concernées (ex : droit d’accès, de rectification et de suppression de leurs données personnelles).

3. QUELLE FORME PEUT PRENDRE CETTE MENTION D’INFORMATION ?

Si le RGPD n’impose pas de support d’information, ces mentions doivent être lisibles, facilement accessibles, claires et compréhensibles. Il peut s’agir par exemple pour les collaborateurs d’une disposition dans le contrat de travail, d’un e-mail envoyé individuellement à chaque salarié, d’une mention affichée sur les panneaux réservés à l’information des salariés ou d’une notice d’information sur l’intranet de l’entreprise ou un dossier accessible à l’ensemble des collaborateurs.

Pour les partenaires, prestataires et actionnaires, il peut s’agir d’une mention figurant dans les contrats, en bas de pages des e-mails, courriers ou formulaires de collecte qui leur sont adressés.

Cette information peut donc prendre la forme :

• d’une politique de Confidentialité pour les traitements de données à caractère personnel effectués via un site Internet,
• d’une politique interne à destination des salariés,
• des mentions d’information en bas de formulaire, devis ou emails ;
• dans une clause Protection des données personnelles dans les contrats de travail, client ou prestataires/ fournisseurs.

4. NOS CONSEILS

Nos conseils :

• Éviter toute copie de politiques de confidentialité existantes qui ne sont pas adaptées aux traitements de données à caractère personnel effectués par votre startup et qui ne sont parfois pas mises à jour ;
• Privilégier un format lisible, compréhensible et aisément accessible ;
• Utiliser des termes simples et clairs ;
• Fournir l’information à différentes étapes du parcours utilisateur ;
• Prioriser les informations et les communiquer à la personne concernée au moment de la création de son compte, directement sur la page d’inscription ;
• Renvoyer, sur cette même page, vers une notice d’information complète via un lien (ex : lien hypertexte vers une Politique de Confidentialité) ;
• Mettre à jour les mentions d’information.

5. QUELLES SANCTIONS ?

Les autorités de protection des données personnelles peuvent effectuer des contrôles à distance et donc sanctionner une startup si son site Internet n’informe pas correctement les personnes concernées !

Les sanctions prévues par le RGPD pour l’absence d’information des personnes concernées sont de 4% du chiffre d’affaires mondial annuel de la startup ou 20 millions d’euros d’amende (le montant le plus élevé étant retenu).

Se mettre en conformité au RGPD : notre formation du 26 novembre 2021

Inscrivez-vous à la formation du vendredi 26 novembre 10H00 CET (durée de 3H00) pour apprendre à vous mettre en conformité avec le RGPD.

A l’issue de cette formation vous pourrez :

• identifier si le RGPD vous est applicable ;
• Rédiger vos mentions d’information ;
• Mettre en conformité votre site Internet.

N’hésitez pas à nous contacter pour tout renseignement.

Références :

• Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

• Lignes directrices, recommandations et bonnes pratiques publiées par le Comité Européen de la Protection des Données (CEPD) ;

• Lignes directrices du Groupe de travail de l’article 29 (G29) approuvées par le CEPD.