Accueil / Dossiers / Comprendre le RGPD: focus sur le principe de transparence et l'information des personnes concernées
Comprendre le RGPD: focus sur le principe de transparence et l'information des personnes concernées
Le Règlement européen sur la protection des données impose aux organisations de fournir aux personnes concernées une information complète sur les traitements de leurs données personnelles: c'est le principe de transparence. Zoom sur cet aspect du règlement avec le cabinet BDO.
1 - Le principe de transparence: décryptage
Le RGPD (Règlement européen sur la protection des données) exige que les personnes concernées soient informées du traitement de leurs données à caractère personnel. C'est le principe de transparence. Les données ne peuvent être traitées qu'après communication aux personnes concernées d'une information complète sur le traitement.
Le principe de transparence vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font qu'il est difficile, pour la personne concernée, de savoir et de comprendre si des données personnelles la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Toutefois, le principe de transparence doit être respecté pour tout traitement de données personnelles.
Lire aussi : Salesforce lance Agentforce en France
Le règlement énumère un ensemble d'informations devant être obligatoirement communiqué aux personnes concernées. Les informations à fournir ne sont pas les mêmes selon que celles-ci ont été collectées directement auprès de la personne concernée, ou que celles-ci proviennent d'une voie indirecte, i.e. via un tiers (exemple: location de bases clients).
Quelles que soient les modalités de collecte, le responsable de traitement devra informer les personnes concernées de:
- Son identité, de ses coordonnées, et de celles du DPO (délégué à la protection des données);
- La finalité du traitement et de la base juridique (consentement, contrat, etc.);
- L'identité des destinataires des données;
- L'existence de transferts en dehors de l'UE;
- La durée de conservation des données;
- L'existence des droits d'accès, de rectification, d'effacement, de limitation et d'opposition au traitement et du droit à la portabilité (tout en gardant en mémoire que certains droits ne s'appliquent pas à certains traitements);
- L'existence du droit d'introduire une réclamation auprès d'une autorité de contrôle (exemple: Cnil);
- L'existence d'une prise de décision automatisée le cas échéant (exemple: profilage).
En cas de collecte indirecte, il conviendra également de repréciser les catégories de données à caractère personnel concernées et la source de ces données.
En cas de collecte directe, il faudra indiquer le caractère règlementaire ou contractuel de l'exigence de la fourniture des données, ainsi que les conséquences de leur non-fourniture.
La communication de ces informations est obligatoire, à quatre exceptions près:
- Si la personne concernée dispose déjà de ces informations;
- Si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés;
- Si le droit de l'Union Européenne ou celui d'un État membre prévoient l'obtention ou la communication des données;
- S'il s'agit de données confidentielles en vertu d'une obligation de secret professionnel.
>> Lire la suite en .
Livres Blancs
Les innovations technologiques révolutionnent le marché de l'assurance, redéfinissent les attentes et [...]
Dans un contexte où 62 % des Français se disent insatisfaits du temps d'attente lors de leurs échanges avec [...]
On entend constamment parler de l'IA et le monde spécifique de l'industrie n'y déroge pas. Mais pour en faire [...]
Vos prochains événements
Voir tous les événements