Lexique > Droit à l’information

Lexique IT

Droit à l’information

Le droit à l’information concernant le traitement de données à caractère personnel constitue l’un des sept droits dont disposent les personnes concernées sur leurs données à caractère personnel, consacrés par le RGPD, à savoir :

En opposition avec les autres droits énoncés ci-dessus, le droit à l’information est un droit passif qui ne nécessite pas un exercice exprès de la personne concernée auprès du responsable du traitement.

En effet, au titre du droit à l’information, le responsable du traitement doit fournir à la personne concernée un certain nombre d’information lors de la collecte de ses données ou, lorsqu’elles ne sont pas collectées directement auprès d’elle :

  • Dans un délai raisonnable inférieur à un mois après avoir obtenu les données ;
  • Si les données doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne ;
  • S’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données sont communiquées pour la première fois.

Le responsable de traitement doit notamment fournir à la personne concernée les catégories d’informations suivantes :

  • Son identité et ses coordonnées et, le cas échéant, de son représentant ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données ainsi que la base légale;
  • Le cas échéant, les intérêts légitimes poursuivis ;
  • Les destinataires des données ;
  • Le cas échéant, le fait qu’il a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • La durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • L’existence du droit de lui demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • Lorsque le traitement est fondé sur le consentement, l’existence du droit de retirer celui-ci à tout moment ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Des informations sur la question de savoir si l’exigence de fourniture des données a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
  • L’existence d’une prise de décision automatisée, y compris un profilage et, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

Enfin, lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité.

Point RGPD

« Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu’il y a lieu, illustrée à l’aide d’éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu’elles s’adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l’enfant peut aisément comprendre. » 

Considérant 58 du RGPD

Point jurisprudence

La CNIL rappelle que « l’information sur les durées de conservation figure parmi celles devant être communiquées dans ce cas, en ce qu’elle permet de garantir un traitement équitable et transparent des données à caractère personnel concernées. Ainsi, par exemple, une information sur les durées de conservation permet aux personnes concernées de savoir pendant combien de temps les données sont conservées par le responsable de traitement et, par suite, pendant combien de temps elles peuvent exercer leur droit d’accès ».

CNIL, 14 juin 2021, N° SAN-2021-008

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.