Les mentions d’information ont été modifiées au niveau national et le seront bientôt par le règlement européen.
Loi Informatique et libertés
L’article 32 (1) de la loi 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, dite loi « Informatique et libertés », impose à tout responsable du traitement d’informer les personnes concernées des traitements qu’il met en œuvre les concernant.
Cet article exigeait que les informations suivantes soient communiquées à la personne concernée :
- l’identité du responsable du traitement et, le cas échéant, celle de son représentant ;
- la finalité poursuivie par le traitement auquel les données sont destinées ;
- le caractère obligatoire ou facultatif des réponses ;
- les conséquences éventuelles, à son égard, d’un défaut de réponse ;
- les destinataires ou catégories de destinataires des données ;
- les droits qu’elle tient (droit d’accès, de rectification, d’opposition) ;
- le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne.
Dans le cas où il s’agit d’un formulaire de collecte de données, seules les informations relatives à l’identité, aux finalités, au caractère obligatoire ou facultatif des réponses et aux droits de la personne devaient figurer dans les mentions d’information.
Loi pour une République numérique
La loi pour une République numérique du 7 octobre 2016 (2) modifie, par ses articles 57 et 63, l’article 32 (1) de la loi Informatique et libertés. En effet, elle ajoute deux éléments à spécifier dans les mentions d’information :
- la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ;
- le droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort.
L’information relative à la durée de conservation qui doit figurer dans les mentions d’information est également prévue par le règlement européen.
Concernant le sort des données après la mort de la personne concernée, cet élément est nouveau. Les conditions de sa mise en œuvre sont développées à l’article 40-1 (3) de la loi Informatique et libertés.
Toute personne a désormais le droit de faire respecter sa volonté sur le devenir de ses données publiées en ligne après son décès auprès des fournisseurs de service en ligne ou d’un tiers de confiance numérique certifié par la Cnil, en définissant des directives à la fois générales et particulières relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel.
Ces directives peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés. En l’absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès ces droits, et ce, aux fins notamment d’organisation du règlement de la succession du défunt.
Il convient de relever que la durée de conservation des données n’a pas à figurer en bas d’un formulaire de collecte de données.
Règlement général sur la protection des données
Le règlement européen sur la protection des données entre en application à compter du 25 mai 2018. Il vient également modifier prochainement les mentions d’information. A ce titre, il différencie les mentions à insérer lorsque les données ont été recueillies de manière directe (4) auprès de la personne concernée ou de manière indirecte (5).
Informations collectées auprès de la personne
Lorsque les données ont été recueillies de manière directe, il convient d’ajouter les éléments suivants à ceux déjà exigés par la loi Informatique et libertés (6) :
- les coordonnées du responsable du traitement et, le cas échéant, celles du représentant du responsable du traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données ;
- la base juridique du traitement ;
- les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
- le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers ou une organisation internationale et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
- la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
- lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
- l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
– lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur pour une finalité autre que celle pour laquelle les données sont collectées, il fournit préalablement des informations sur cette autre finalité.
Informations non collectées auprès de la personne
Lorsque les données sont collectées de manière indirecte, il conviendra d’ajouter les éléments suivants à ceux exigés par l’article 32 de la loi Informatique et libertés (1) :
- les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données ;
– la base juridique du traitement ; - le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
- la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
- l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;
- lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
- l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
- lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur pour une finalité autre que celle pour laquelle les données sont collectées, il fournit préalablement des informations sur cette autre finalité.
Ces informations doivent être fournies dans le respect de délais prévus par le règlement européen, et ce, entre le moment de la première communication des données à la personne concernée ou au destinataire et un mois.
Recommandations relatives aux mentions d’information
En conclusion, il s’avère que le contenu des mentions d’information se complexifie. Par conséquent, il est recommandé de :
- les auditer ;
- vérifier leur conformité ;
- les modifier dès à présent, en respectant les dispositions en vigueur et celles à venir.
Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés
(1) Loi 78-17 du 6-1-1978, art. 32.
(2) Loi 2016-1321 du 7-10-2016, art. 57 et 63.
(3) Loi 78-17 du 6-1-1978, art. 40-1.
(4) Règlement UE 2016-679 du 27-4-2016, art. 13.
(5) Règlement UE 2016-679 du 27-4-2016, art. 14.
(6) Loi 78-17 du 6-1-1978.