L’obligation de transparence et les mentions d’information

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > L’obligation de transparence et les mentions d’information

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi

« Le principe de transparence du RGPD exige que toute information ou communication relative au traitement de données à caractère personnel soit concise, transparente, compréhensible et aisément accessible en des termes simples et clairs. » (RGPD, Articles 12, 13 et 14)

La transparence ou le droit à l’information

L’obligation de transparence, c’est le droit à l’information des personnes qui visitent votre site Web.

Elle se traduit par 3 obligations de votre part :

  • Informer les personnes, via les mentions d’information, sur chaque traitement de données mis en oeuvre sur votre site Web. Les personnes ont le droit de savoir quelles données vous collectez, pour quelle raison vous le faites, et ce que vous faites de leurs données.
  • Informer les personnes sur leurs droits RGPD afin qu’elles puissent maîtriser leurs données.
  • Répondre aux demandes d’exercice de ces droits.

L’absence de mentions d’information vous expose à une amende pénale de 1 500 € pour les entrepreneurs individuels et de 7 500 € pour les sociétés.

Les mentions d’information

Ne confondez pas les mentions d’information de vos traitements de données avec les mentions légales de votre site Web. Ces dernières sont obligatoires aussi, mais pas en raison du RGPD.

Les mentions d’information sont un élément crucial du principe de transparence. Pour toute collecte de données sur votre site, il vous faudra indiquer :

Les informations minimales

  • L’identité et les coordonnées du Responsable de Traitement,
  • La justification de la collecte (finalité et base légale du traitement),
  • Le caractère obligatoire ou facultatif de certaines données, défini selon le principe de minimisation – et les conséquences en cas de non-fourniture de celles-ci,
  • La durée de conservation des données, qui ne se limite pas à leur conservation sur le site Web,
  • Les destinataires des données,
  • Les droits des personnes sur leurs données et les moyens de les exercer,
  • Le droit d’introduire une réclamation auprès de la CNIL, si les personnes considèrent que vous n’avez pas respecté leurs droits,
  • Il est d’usage d’inviter les internautes à se reporter au site de la CNIL pour plus d’informations sur leurs droits.

Selon la situation

  • Expliquer l’intérêt légitime si c’est la base légale de votre traitement,
  • Les coordonnées du DPO si vous en avez un (toutes les organisations n’étant pas assujetties à cette obligation). À défaut de DPO, indiquez les coordonnées de la personne à contacter pour toute question relative aux données personnelles ou à l’exercice des droits,
  • Un possible transfert de données hors Union européenne.

Selon la nature de la collecte

Des compléments d’information peuvent être nécessaires selon la collecte. Ils sont listés dans le chapitre ci-dessous.

Fournissez une information condensée ou, si ce n’est pas possible, à deux niveaux (par exemple sous la forme d’un bloc accordéon WordPress comme celui-ci, permettant un effet plié-déplié).

Évitez le jargon et adaptez votre vocabulaire à votre audience, comme je le fais avec ce blog.

Privilégiez un accès direct avec des informations prioritaires bien visibles au moment de la collecte. Un accès limité à un seul clic est autorisé, si vos mentions sont très fournies.

Retenez que l’internaute doit trouver ces informations aisément, sans effort.

Mais alors, quelle forme adopter sur votre site Web ?

Si les mentions d’information ne sont pas trop fournies, affichez-les intégralement sur la bannière de consentement, sur le formulaire de contact, sur le bandeau d’inscription à la newsletter ou sur la page de création du compte client.

Si elles sont trop longues, vous pouvez :

  • Adopter une présentation sous la forme d’un bloc accordéon,
  • Proposer un lien d’accès vers une page qui présente uniquement vos mentions d’information,
  • Afficher distinctement les informations prioritaires lors de la collecte (formulaire, bannière de cookies…) et proposer un lien URL vers les informations complémentaires (accessibles en 1 seul clic).

Nous allons voir dans le paragraphe suivant que, selon la collecte mise en oeuvre sur votre site Web, certaines informations à fournir au titre de la transparence viennent s’ajouter ou nécessitent d’être adaptées.

Les mentions d’information selon la collecte

Sur un site Web, la collecte de données étant directe (cookies, formulaire de contact, création de compte client…), les mentions d’information doivent être affichées au moment de celle-ci.

Voici les collectes de données personnelles les plus courantes sur un site Web :

Le dépôt de cookies

Le formulaire de contact

Le formulaire de candidature (CV)

L’abonnement à une newsletter

La création d’un compte client

Une commande en ligne

Vous trouverez ci-dessous les informations additionnelles, ou les variantes, à apporter aux mentions d’information de base.

Sauf exemption, le dépôt de cookies nécessite le consentement de l’internaute.

Il est autorisé et d’usage de fournir une information à 2 niveaux car les informations sont nombreuses : les informations prioritaires seront affichées sur la bannière de consentement, et les autres seront détaillées dans la politique de cookies, accessible via un lien présent sur la bannière.

Voici les indications sur les informations à fournir en cas de collecte de données via des cookies :

  • L’identité des responsables de traitements, c’est-à-dire des sociétés (dont la vôtre) déposant des cookies,
  • Les catégories de cookies. Vous devez offrir la possibilité de les accepter ou de les refuser distinctement. La granularité minimale est par catégorie, mais vous pouvez proposer plus de granularité : par partenaire (Meta, Google…) ou par service (Facebook, Instagram, Google Map, YouTube…).
  • Les conséquences d’une absence de consentement pour l’internaute : impossibilité de lire une vidéo ou de localiser un point de vente sur une Google Map,
  • La durée de conservation du consentement (pendant laquelle l’internaute ne sera pas ré-exposé à votre bannière), qui ne devra pas excéder 13 mois,
  • La possibilité de retirer le consentement à tout moment,
  • Enfin, votre politique de cookies devra détailler, pour chacune des sociétés déposant des cookies sur votre site Web : le nom de chaque cookie, avec sa fonction, sa durée de conservation, le type de donnée collectée, le transfert éventuel hors UE et le partage éventuel des données avec des tiers.

Bien évidemment, vous devez recueillir le consentement des internautes AVANT le dépôt de cookies soumis au consentement.

N’hésitez pas, après la configuration de votre extension, à tester l’absence effective de dépôt de cookies en cas de refus du consentement : allez sur votre site (hors connexion admin et en navigation privée), refusez les cookies à l’aide de la bannière, puis vérifiez l’absence effective de dépôt de cookies dans l’inspecteur de votre navigateur.

Afin de permettre le retrait du consentement, la bannière doit rester accessible à tout moment. C’est le plus souvent une fenêtre modale, dont il faudra préciser (dans votre politique de confidentialité) où elle est positionnée sur l’écran.

Vous ne récoltez aucun cookie soumis au consentement sur votre site Web ?

Vous pouvez faire l’impasse sur la bannière de consentement, mais je recommande de la maintenir. Cela évitera que vos visiteurs pensent, faute de bandeau, que vous n’êtes pas en conformité avec le RGPD. Au contraire, c’est un bon moyen de mettre en avant le respect de leur vie privée en proposant un CTA explicite, de type « j’ai compris » (comme sur ce blog).

Le principe de transparence vous impose de mentionner les informations suivantes sur vos formulaires de contact :

  • Les données à renseigner obligatoirement sont en général signalées par un astérisque.
  • La conséquence de la non-fourniture de celles-ci, qui est l’impossibilité d’envoyer le formulaire.
  • Parmi les destinataires des données, n’oubliez les sous-traitants éventuels, notamment le webmaster.
  • Si vous redirigez votre webmail vers votre compte Gmail pour recevoir les notifications d’entrées de formulaires, il existe un possible transfert de données hors Union européenne, que vous devez indiquer.

Vous utilisez un CAPTCHA pour l’envoi des formulaires ?

Vérifiez le dépôt de cookies par celui-ci : vous devrez informer vos internautes de cette collecte de données personnelles, de même que d’un éventuel transfert hors Union européenne de leurs données si ce risque existe (comme avec Google reCAPTCHA, par exemple).

Votre extension WordPress de formulaires de contact enregistre des sauvegardes d’entrées sur ses propres serveurs ?

Dans ce cas, la société éditrice de l’extension est destinataire des données. Vous devez mentionner ce destinataire dans vos mentions d’information et dans votre politique de confidentialité, et vérifier la conformité RGPD de ce sous-traitant.

Attention, les mentions d’informations sont propres à un seul formulaire ! Si vous multipliez les formulaires sur votre site, l’obligation de transparence vous impose d’afficher autant de mentions d’information.

Vous vendez des véhicules d’occasion sur votre site Web et chaque page produit présente le même formulaire de contact, identique et qui requiert les mêmes mentions d’information ?

Pour une bonne expérience client, vous éviterez de surcharger vos pages avec des mentions d’information répétitives. Le plus simple est d’afficher sur ce formulaire un lien explicite renvoyant vers une page unique n’affichant que les mentions d’information des formulaires concernés, pour répondre à l’obligation de lisibilité et d’accessibilité de l’information.

Vous proposez plusieurs formulaires depuis la page de chaque véhicule, par exemple 1 formulaire pour une demande d’essai et 1 formulaire pour une demande de crédit ?

Un lien (explicitement nommé) sur chaque formulaire renverra vers une page affichant les seules mentions d’information du formulaire en question.

Les internautes doivent comprendre sans effort l’utilisation qui est faite de leurs données via le formulaire qu’ils s’apprêtent à remplir.

Le formulaire de candidature avec dépôt de CV reprend les caractéristiques – et donc les contraintes RGPD – d’un formulaire de contact classique. Ainsi, les remarques concernant le formulaire de contact sont valables pour les formulaires de candidature (CAPTCHA, sauvegardes d’entrées…).

Les informations à mentionner sont les mêmes que pour le formulaire de contact classique, auxquelles il faudra ajouter, si vous avez recours à l’Intelligence Artificielle dans le processus de sélection :

  • Le recours à une décision automatisée ou profilage,
  • Les éventuelles conséquences négatives pour les candidats (rejet de leur candidature sans intervention humaine).
  • La possibilité de recours à l’intervention humaine comme droit des personnes.

Vous affichez les postes à pourvoir dans votre entreprise et votre service RH a recours à une décision automatisée pour trier les candidatures, par exemple avec l’aide d’un outil d’Intelligence Artificielle ?

Vous devez informer les candidats de ce processus de décision automatisé, et préciser les conséquences négatives éventuelles pour les candidats (rejet de leur candidature sans intervention humaine).

Sachez que le droit de voir sa candidature étudié par une personne physique fait partie des droits des personnes. Vous devrez faire figurer ce droit sur les mentions d’information du formulaire, dans le paragraphe sur les droits des personnes inclus dans votre politique de confidentialité ainsi que dans votre formulaire d’exercice des droits si votre site Web en prévoit un.

Le principe de transparence vous impose de mentionner les informations suivantes lors de l’abonnement à votre newsletter :

  • Le caractère obligatoire ou facultatif de certaines données, défini selon le principe de minimisation : pour une newsletter, la seule donnée obligatoire sera l’adresse email de l’individu.
  • La base légale étant le consentement, celui-ci doit pouvoir être retiré à tout moment. Cela se traduit par la possibilité de se désinscrire à tout moment. Il faut indiquer ce droit, et expliquer comment procéder (la démarche doit être facile et intuitive). De plus, chaque newsletter envoyée devra présenter un lien de désinscription.

Votre site Web peut présenter un espace privé, accessible via un identifiant et un mot de passe, qui regroupe les informations de vos clients (coordonnées, commandes…).

Lors de la création du compte client, voici ce que vous devez savoir concernant les mentions d’informations :

  • Les données obligatoires sont en général signalées par un astérisque.
  • Les conséquences de la non-fourniture de certaines données :
  • L’absence de numéro de téléphone peut avoir comme conséquence l’impossibilité pour le livreur de contacter la personne.
  • L’absence d’adresse postale rend impossible la livraison du produit (s’il s’agit d’un produit physique bien sûr).
  • Parmi les destinataires des données, indiquez les sous-traitants, que vous pouvez citer nommément ou par catégorie, par exemple « Mondial Relay » ou par le nom générique « entreprise de livraison ».

Votre site Web peut proposer de réaliser des achats sans imposer la création d’un compte client. Les données personnelles (nom et prénom, coordonnées bancaires, adresse de livraison…) seront ainsi renseignées à chaque commande.

Lors d’un achat en ligne, les remarques concernant les mentions sont les mêmes que celles du compte client.

La transparence hors collecte

Vous avez obligation de transparence même hors collecte :

Vous devez informer les personnes sur leurs droits, sur la manière dont ils peuvent les exercer, et vous devez également leur répondre dans les délais prévus par le Règlement. Voir l’article consacré aux droits des personnes.

En cas de violation de données, certaines conditions rendent obligatoire le signalement à la CNIL et, éventuellement, aux personnes concernées :

  • En cas de risque pour les droits et libertés des personnes concernées, vous devrez en informer la CNIl,
  • Et en cas de risque élevé pour les droits et libertés des personnes concernées, vous devrez en informer ces dernières (en plus de la CNIL bien sûr).

Pour plus d’informations, je vous invite à consulter l’article sur la violation de données personnelles.

Tous les destinataires des données personnelles collectées via votre site Web doivent être indiqués dans le paragraphe éponyme de votre politique de confidentialité.

Sachez qu’une collecte peut avoir une nouvelle finalité qui vient s’ajouter, par exemple en raison d’une évolution des usages qui viendrait faire évoluer la finalité d’un traitement déjà en place, ou en raison d’une finalité compatible avec la finalité initiale. Ce sont des cas particuliers qui ne seront pas développés ici.

Le principe de loyauté

Du principe de transparence découle le principe de loyauté. Les fichiers de données à caractère personnel doivent présenter des données exactes et à jour. Ce qui veut dire que vous ne pouvez pas conserver des fichiers avec des données obsolètes ou inexactes. D’où l’importance des mesures de sécurité destinées à préserver l’intégrité des données personnelles traitées.

Le traitement loyal des données personnelles instaure une relation de confiance avec vos clients. 

Votre site respecte le principe de transparence du RGPD ?

Bravo ! Vous devez maintenant vous assurer que vos traitements respectent les autres grands principes du RGPD.

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi