Comment répondre aux exigences de transparence du RGPD

L’article 29 du Working Party (WP29) a publié des directives dans le but d’aider les organisations à se conformer aux exigences de transparence du Règlement Général Européen sur la Protection des Données (RGPD). Le WP29 est un organe consultatif comprenant les représentants de chaque Etat Membre de l’UE ayant publié de nombreux rapports et conseils sur le RGPD.

La transparence est une obligation du règlement, concernant la façon dont les organisations :

  • Informent les individus quant aux données personnelles qu’elles collectent ainsi que les raisons pour lesquelles elles sont collectées ;
  • Informent les personnes concernées au sujet de leurs droits et la manière de les exercer ; et
  • Se conforment aux droits des personnes concernées.

Bien que la notion de « transparence » ne soit pas définie par le RGPD, le préambule 39 fournit des explications : « les données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées ».

Ces informations doivent être fournies dans la politique de confidentialité. L’article 12 du règlement présente les règles de création d’une politique de confidentialité, indiquant qu’elle doit être :

  • Concise, transparente, compréhensible et aisément accessible. Les organisations doivent présenter les informations le plus succinctement possible, chaque politique doit être présentée séparément et cette section doit se distinguer clairement des autres informations ne concernant pas la confidentialité.
  • Formulée en des termes clairs et simples. La politique doit indiquer ce que l’organisation à l’intention de faire des données (en évitant les termes vagues tels que « peut » « peut-être » « éventuellement »). Elle doit également être écrite de manière à ce qu’un individu type du public visé puisse la comprendre. Les organisations doivent prendre des dispositions particulières si ces informations sont fournies à des mineurs ou à des personnes vulnérables.
  • Par écrit.Bien que les moyens non-écrits soient permis (les vidéos, notifications vocales, dessins et infographies peuvent s’avérer utiles – plus particulièrement si les organisations s’adressent à des mineurs ou personnes vulnérables), les politiques de confidentialité doivent toujours être disponibles au format écrit, dans un document unique.
  • Diponible par voie orale, si nécessaire. Les organisations doivent avoir une version enregistrée de leur politique (ou bien une personne disponible afin de la lire à voix haute) disponible en cas de besoin.

 

Les conseils apportés par WP29 indiquent également que les individus doivent pouvoir déterminer la portée et les conséquences liées au traitement des données. Les organisations doivent établir clairement la manière dont le traitement décrit dans la politique de confidentialité affectera les personnes concernées.

Il ajoute que les exigences de transparence du RGPD s’appliquent, quelle que soit la raison légitime au traitement et tout au long du cycle de traitement.

 

 

Mettez vos connaissances en pratique

Vous souhaitez obtenir plus d’informations sur le RGPD ?

Consultez notre guide EU General Data Protection Regulation (GDPR) – An Implementation and Compliance Guide. Ce manuel détaillé met en avant les complexités du règlement de manière à les rendre plus accessibles tout en expliquant tout ce que vous devez savoir : terminologies de protection des données et étapes de mise en conformité.

En savoir plus >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.