Comprendre le RGPD: focus sur le principe de transparence et l'information des personnes concernées

Publié par le | Mis à jour le
Comprendre le RGPD: focus sur le principe de transparence et l'information des personnes concernées

Le Règlement européen sur la protection des données impose aux organisations de fournir aux personnes concernées une information complète sur les traitements de leurs données personnelles: c'est le principe de transparence. Zoom sur cet aspect du règlement avec le cabinet BDO.

  • Imprimer

1 - Le principe de transparence: décryptage

Le RGPD (Règlement européen sur la protection des données) exige que les personnes concernées soient informées du traitement de leurs données à caractère personnel. C'est le principe de transparence. Les données ne peuvent être traitées qu'après communication aux personnes concernées d'une information complète sur le traitement.

Le principe de transparence vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font qu'il est difficile, pour la personne concernée, de savoir et de comprendre si des données personnelles la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Toutefois, le principe de transparence doit être respecté pour tout traitement de données personnelles.

Le règlement énumère un ensemble d'informations devant être obligatoirement communiqué aux personnes concernées. Les informations à fournir ne sont pas les mêmes selon que celles-ci ont été collectées directement auprès de la personne concernée, ou que celles-ci proviennent d'une voie indirecte, i.e. via un tiers (exemple: location de bases clients).

Quelles que soient les modalités de collecte, le responsable de traitement devra informer les personnes concernées de:

  • Son identité, de ses coordonnées, et de celles du DPO (délégué à la protection des données);
  • La finalité du traitement et de la base juridique (consentement, contrat, etc.);
  • L'identité des destinataires des données;
  • L'existence de transferts en dehors de l'UE;
  • La durée de conservation des données;
  • L'existence des droits d'accès, de rectification, d'effacement, de limitation et d'opposition au traitement et du droit à la portabilité (tout en gardant en mémoire que certains droits ne s'appliquent pas à certains traitements);
  • L'existence du droit d'introduire une réclamation auprès d'une autorité de contrôle (exemple: Cnil);
  • L'existence d'une prise de décision automatisée le cas échéant (exemple: profilage).

En cas de collecte indirecte, il conviendra également de repréciser les catégories de données à caractère personnel concernées et la source de ces données.

En cas de collecte directe, il faudra indiquer le caractère règlementaire ou contractuel de l'exigence de la fourniture des données, ainsi que les conséquences de leur non-fourniture.

La communication de ces informations est obligatoire, à quatre exceptions près:

  • Si la personne concernée dispose déjà de ces informations;
  • Si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés;
  • Si le droit de l'Union Européenne ou celui d'un État membre prévoient l'obtention ou la communication des données;
  • S'il s'agit de données confidentielles en vertu d'une obligation de secret professionnel.

>> Lire la suite en page 2: les implications opérationnelles du principe de transparence.

Romain Maillard

Sur le même sujet

IFRS 16, vers quelles évolutions des règles comptables ?
Réglementation
Econocom
IFRS 16, vers quelles évolutions des règles comptables ?

IFRS 16, vers quelles évolutions des règles comptables ?

Par Econocom via Marketme

Les nouvelles normes comptables IFRS 16 entrent en vigueur à partir de Janvier 2019, pour une meilleure comparabilité des données financières. [...]

[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions
Réglementation
[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions
pathdoc - Fotolia

[Fiche pratique ] RGPD et choix d'un logiciel SaaS : les bonnes questions

Par Yves Garagnon, DiliTrust

Il convient, dans les contrats SaaS, de préciser expressément les engagements pris par le fournisseur au titre du RGPD. Nous résumons ici, en [...]

RGPD : tout savoir pour mettre son entreprise en conformité
Réglementation
RGPD : tout savoir pour mettre son entreprise en conformité
©tanaonte - stock.adobe.com

RGPD : tout savoir pour mettre son entreprise en conformité

Par Bénédicte Gouttebroze

À compter du 25 mai 2018, tout organisme exploitant des données personnelles de personnes résidant sur le territoire européen devra se conformer [...]

Fichier des écritures comptables: quel bilan dans les PME et ETI?
Réglementation
Fichier des écritures comptables: quel bilan dans les PME et ETI?
©Bits and Splits - stock.adobe.com

Fichier des écritures comptables: quel bilan dans les PME et ETI?

Par Bénédicte Gouttebroze

En cas de contrôle fiscal, les entreprises doivent fournir à l'administration leur fichier des écritures comptables (FEC). Une obligation depuis [...]

La rédaction vous recommande