Quelles sont les étapes, pour un responsable de traitement de données, pour fournir les informations aux utilisateurs ?

La fourniture d'informations doit être adaptée au contexte dans lequel le traitement est effectué : plus l'information est complexe ou intrusive, plus la transparence pour l'individu est grande et doit être garantie par des mécanismes efficaces.

Pour de tels traitements, les mesures suivantes permettent d’atteindre cet objectif de transparence :

a. Prioriser les éléments d’information

Dans certains cas, la mise à disposition de l’ensemble des informations en un seul bloc ne permet pas d’atteindre l’objectif de lisibilité et il convient donc de favoriser une approche en plusieurs niveaux.

Prioriser ne signifie pas transmettre une information incomplète aux personnes concernées : il s’agit de mettre en évidence les informations importantes et de fournir un accès facile et instantané à d’autres informations.

Quelles informations prioriser ?

Dans tous les cas :

• L’identité du responsable de traitement ;
• Les finalités ;
• Les droits des personnes.

Dans certains cas :

Il peut être nécessaire d’ajouter une information essentielle (exemples : automatiser la prise de décision ou fournir des données aux partenaires commerciaux) ou de traiter les principales conséquences pour les personnes impliquées.

Une information en plusieurs niveaux et via différents canaux :

Par exemple, dans un environnement numérique, vous pouvez fournir des informations à différentes étapes du parcours utilisateur. Les informations à prioriser peuvent être fournies à la personne concernée directement sur la page d'inscription lors de la création d'un compte. Sur une même page, des liens peuvent renvoyer vers des notices d'information complètes. Celui-ci doit également être lisible, il peut donc se présenter sous la forme d'un menu dépliant.

La bonne information au bon moment :

L’avantage d’une notice d’information par niveau (liens cliquables, menus dépliants, supports distincts, etc.) est que les personnes peuvent facilement naviguer dans le document. Elle peut également fournir des informations plus détaillées, voire des descriptions techniques, sans compromettre l’ergonomie et la lisibilité des informations.

D’autres outils sont particulièrement utiles pour assurer la transparence des informations, comme l’utilisation de pop-ups d’information contextuelle (push notices) sur un formulaire en ligne, à des icônes ou à des vidéos. Cela permet de fournir suffisamment d’informations au moment opportun pour indiquer, par exemple, à quoi servira l’adresse e-mail fournie.

b. Donner une vision globale sur les traitements de données réalisés

Si vous utilisez différentes méthodes d'information, ou si vous fournissez des informations liées à plusieurs traitements, pensez à centraliser ces informations dans un seul document ou un espace dédié sur votre site internet afin que les internautes puissent retrouver facilement toutes les informations. Si vous choisissez un seul document, assurez-vous qu'il est lisible et compréhensible.

Par exemple, sur le site Web, vous pouvez utiliser un lien direct vers la politique de protection des données, qui est clairement visible sur chaque page du site Web avec un titre clair (par exemple "données personnelles" ou "confidentialité").

Il n’y a pas une seule façon de bien informer les personnes. Cette information doit être :

• Adaptée aux situations et aux supports de collecte ;
• Accessible et compréhensible.

Ainsi, le RGPD encourage la mise en place de solutions innovantes. Une approche qui combine différentes modalités d'information à un stade complémentaire peut atteindre l'objectif de transparence.

L'expression du consentement est définie comme suit : les utilisateurs doivent être informés de l'utilisation de leurs données et doivent, en principe, consentir au traitement de leurs données, ou pouvoir s'y opposer. La charge de la preuve du consentement incombe au responsable du traitement. La spécification de ce consentement doit être sans ambiguïté.

Nouveau droit : Droit à la portabilité des données. Ce nouveau droit permet aux personnes de récupérer les données qu'elles fournissent sous une forme facilement réutilisable et, le cas échéant, de les transférer à un tiers. Il s'agit ici de redonner aux citoyens le contrôle de leurs données et de compenser en partie l'asymétrie entre responsables de traitement et personnes concernées.

Conditions particulières de traitement des données relatives aux enfants : Pour la première fois, la législation européenne contient des dispositions spécifiques pour les mineurs de moins de 16 ans.

Les informations sur leur traitement des données doivent être écrites en termes clairs et simples que les enfants peuvent facilement comprendre. Le consentement du titulaire parental doit être obtenu. Les États membres peuvent abaisser cet âge par la loi, mais il ne doit pas être inférieur à 13 ans.

Par exemple, en France, l'âge d'utilisation est de 15 ans. En vertu de celle-ci, la loi française stipule que le consentement mutuel de l'enfant et du titulaire des droits parentaux doit être obtenu.

En tant qu'adulte, vous devez être en mesure de retirer votre consentement au traitement et à la suppression des données.

Introduction du principe d'action collective : Comme pour la législation sur la protection des consommateurs, les associations actives dans le domaine de la protection des données pour la protection des droits et des libertés individuelles ont le potentiel d'introduire une action collective dans la protection des données personnelles.

Droit à réparation pour préjudice matériel ou moral : Toute personne qui subit un préjudice matériel ou moral à la suite d'une violation du présent Règlement a le droit de demander réparation au responsable du traitement ou au sous-traitant pour le préjudice subi.