RGPD : ne pas confondre transparence et invisibilité !

Par sa décision très remarquée du 21 janvier 2019, sanctionnant GOOGLE LLC, la Commission nationale de l’informatique et des libertés (CNIL), a rappelé avec force que la collecte de données à caractère personnel doit se faire dans le respect d’une information claire et accessible des personnes concernées. Formalisée par le RGPD (1), cette obligation de transparence concerne de nombreuses personnes (2) qui doivent veiller à sa mise en œuvre conforme (3). En cas de non-respect, la sanction peut être lourde (4).

 

1 Quelle est la base légale de l’obligation de transparence ?

 

Le principe de transparence est posé par l’article 5 du RGPD qui précise que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

 

Les sections 1 et 2 du Chapitre III du RGPD sont plus spécifiquement consacrées au contenu du principe de transparence et à ses modalités de mise en œuvre.

 

L’article 12 du RGPD dispose qu’il appartient au responsable du traitement, c’est-à-dire à la personne qui collecte les données, de prendre des mesures appropriées pour fournir aux personnes concernées une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

 

En d’autres termes, « le principe de transparence exige que toute information et communication relatives au traitement des données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples » (considérants 39 et 58 du RGPD).

 

Les articles 13 et 14 du RGPD listent les catégories d’informations à fournir à la personne dont les données sont collectées, directement ou non. Globalement, celles-ci concernent :

  • l’identité et les coordonnées du responsable du traitement,
  • le cas échéant, les coordonnées du délégué à la protection des données,
  • les motifs de la collecte (finalités du traitement actuel et le cas échéant à venir) ainsi que sa base juridique et les conséquences éventuelles de la non-fourniture de ces données,
  • les destinataires des données collectées,
  • la durée de conservation des données,
  • l’existence d’une prise de décision automatisée et ses conséquences,
  • l’existence du droit de demander l’accès aux données, la rectification, l’effacement de celles-ci, une limitation ou même le refus de l’utilisation des données et la possibilité de disposer de ses propres données (portabilité),
  • l’existence du droit d’introduire une réclamation auprès d’une autorité de contrôle.

 

L’article 14 rappelle que l’information doit être donnée dans un délai raisonnable, a minima dès que les données sont « utilisées » et au maximum 1 mois après la collecte des données. Il existe bien évidemment des exceptions, par exemple dans l’hypothèse d’une utilisation des données pour une finalité autre que celle communiquée à la personne lorsque la fourniture des informations se révèlerait impossible ou exigerait des efforts disproportionnés.

 

L’article 15 est consacré au droit d’accès de la personne concernée.

 

2 Qui est concerné par l’obligation de transparence ?

L’article 5 et l’article 12 ne distinguent pas de responsable de traitement en particulier.

Sont donc potentiellement concernées par l’obligation de transparence toutes les personnes morales, qu’elles soient de droit public ou de droit privé, dès lors que leur activité les conduit à collecter des données à caractère personnel.

 

3 Quelles sont les bonnes pratiques ?

 

Aucune forme n’étant imposée par l’article 12, la mise en œuvre du principe de transparence est bien évidemment à adapter en fonction du contexte et du support de collecte des données.

Ainsi, l’information peut être délivrée sur support papier, lorsque la collecte se fait au moyen de bulletin d’adhésion par exemple, mais également par voie d’affichage et même oralement.

Bien évidemment, l’information peut être fournie sur support électronique, par renvoi vers un site ou une page internet par exemple. Dans ce dernier cas, comme le rappelle la CNIL, les informations doivent toutefois être aisément accessibles et intelligibles.

 

Faisant rappel des éclairages apportés par les lignes directrices sur la transparence dégagés par le groupe de travail « article 29 », la CNILsanctionne la société GOOGLE LLC non pas en raison de l’absence d’information, mais en raison de l’éparpillement excessif des informations. La CNIL relève que l’architecture choisie par GOOGLE LLC « entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents. Celui-ci doit ensuite consulter attentivement une grande quantité d’informations avant de pouvoir identifier le ou les paragraphes pertinents. Le travail fourni par l’utilisateur ne s’arrête toutefois pas là puisqu’il devra encore recouper et comparer les informations collectées afin de comprendre quelles données sont collectées en fonction des différents paramétrages qu’il aura pu choisir ».

 

Concrètement, la formation restreinte relève que « les informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard ».

 

La CNIL en conclut « que la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparenceet d’accessibilité de l’information ».

 

Il ne suffit donc pas de disposer d’un support d’information, encore faut-il que celui-ci soit immédiatement accessible et compréhensible.

 

4 Quelles sont les sanctions en cas de non-respect du RGPD ?

 

Conformément à l’article 58 du RGPD, le non-respect du RGPD peut conduire les autorités de contrôle à prononcer différentes mesures correctrices. Ainsi, la CNIL peut par exemple opter pour un avertissement ou un rappel à l’ordre, un ordre direct de remédier aux manquements ou de satisfaire aux obligations du RGPD par exemple en communiquant aux personnes qui en auraient fait la demande les renseignements demandés, limiter ou interdire le traitement concerné. Parmi les mesures correctrices, la CNIL peut également prononcer une amende administrative dans les conditions de l’article 83 du RGPD.

 

Comme le prévoit l’article 83.5 du RGPD, en cas de non-respect du principe de transparence, le responsable du traitement s’expose à une amende administrative. Celle-ci doit être « proportionnée », mais aussi « dissuasive », dans la limite de 20 millions d’euros ou jusqu’à 4% du chiffre d’affaire annuel mondial total.

 

L’article 83 vise onze critères de nature à permettre l’évaluation du montant de l’amende administrative, notamment la nature, la gravité et la durée de la violation compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ainsi que le caractère délibéré de la violation ou l’existence de mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées.

 

Si la société GOOGLE LLC faisait valoir le caractère disproportionné du montant de l’amende proposé à hauteur de 50 millions d’euros, la CNILconsidère toutefois que le principe de transparenceconstitue une garantie fondamentale permettant aux personnes de garder la maîtrise de leurs données. La méconnaissance de cette obligation essentielle apparaît dès lors particulièrement grave, du fait de sa seule nature et justifie la sévérité de l’amende prononcée.

%s

Vous devez être connecté pour poster un commentaire.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.