STARTUPS, APPRENEZ À INFORMER VOS UTILISATEURS !
Informer les personnes concernées est obligatoire si votre startup traite des données personnelles. Le RGPD impose d’informer de manière claire et précise. Comment informer les personnes dont je traite les données personnelles ? Quelles sont les informations à transmettre ?
1. QUELLE OBLIGATION IMPOSE LE RGPD ?
En application des articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD, le responsable de traitement a l’obligation d’informer les personnes concernées du ou des traitement(s) effectué(s) sur leurs données à caractère personnel lorsque ces données sont collectées directement auprès de la personne concernée ou lorsque les données sont collectées de manière indirecte (exemple : données publiques ou sur des réseaux sociaux).
2. QUELLES INFORMATIONS L’ENTREPRISE DOIT-ELLE TRANSMETTRE AUX PERSONNES CONCERNÉES ?
En application du RGPD, les informations qui doivent apparaître au sein d’une mention d’information sont les suivantes :
- Identité et coordonnées du responsable de traitement
- Le cas échéant, identité et coordonnées du représentant du responsable du traitement
- Le cas échéant, coordonnées du délégué à la protection des données (« DPO »)
- Finalités du traitement
- Base juridique du traitement (consentement, exécution d’un contrat, respect d’une obligation légale, etc.)
- Le caractère obligatoire ou facultatif du recueil des données à caractère personnel et conséquences pour la personne en cas de non-fourniture des données
- Le cas échéant, les intérêts légitimes du responsable de traitement ou du tiers, si le traitement est nécessaire aux fins de ces intérêts légitimes
- Destinataires ou catégories de destinataires des données à caractère personnel, s’ils existent
- Détails concernant les transferts de données dans des pays tiers et les garanties associées
- Durée de conservation des données à caractère personnel, ou critères permettant de déterminer cette durée de conservation
- Mention de chacun des droits des personnes concernées (accès, rectification, effacement, limitation du traitement, opposition et portabilité, etc.)
- Mention du droit de retirer le consentement à tout moment, si applicable
- Mention du droit d’introduire une réclamation auprès d’une autorité de contrôle
- Mention de l’existence d’une prise de décision automatisée, si elle existe, y compris un profilage
- En cas de collecte indirecte : catégories et source des données recueillies
Warning : Startups qui traitent des données personnelles de personnes physiques situées en France : attention à l’application de l’article 116 de la loi Informatique et Libertés. Cet article impose une mention d’information en dessous des formulaires et questionnaires. Cette mention d’information, souvent présente en dessous des formulaires de contact sur les sites Internet, doit préciser :
- le caractère obligatoire ou facultatif des réponses ;
- l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
- la ou les finalité(s) poursuivie(s) par le traitement auquel les données sont destinées ;
- les droits dont disposent les personnes concernées (ex : droit d’accès, de rectification et de suppression de leurs données personnelles).