Les guidelines du G29 sur la transparence

15 janvier 2018

Le G29 a publié ses guidelines, encore soumises à consultation, sur la notion de transparence telle qu’entendue par le RGPD.

Le G29 note, en introduction, que la transparence est une obligation globale imposée par le RGPD s’appliquant à trois domaines :

  • la fourniture d’information aux personnes concernées assurant un traitement équitable (articles 13 à 14) ;
  • la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits (articles 15 à 22) ;
  • la façon dont les responsables du traitement facilitent l’exercice des droits des personnes concernées.

Elle s’applique également à la communication relative aux violations de données (article 34).

L’article 12 requiert que ces informations ou communications suivent un certain nombre de règles, telles que :

  • être concises et transparentes : les informations doivent être présentées de manière efficace et concise ;
  • être intelligibles, c’est-à-dire compréhensibles par un membre moyen du groupe de personnes concernées ;
  • être facilement accessibles : les personnes concernées ne doivent pas avoir à les chercher ;
  • être claires, l’information ne devant pas comporter de vagues éventualités ;
  • être gratuites, ce qui exclut également le fait de subordonner la fourniture d’information à l’achat de bien ou de services.

Lorsqu’il s’adresse à des enfants, le responsable du traitement doit s’assurer que le vocabulaire, le ton et le style de langage utilisé est approprié et compréhensible pour des enfants.

La notion de « mesures appropriées » implique également que les informations fournies doivent être données dans un format et selon des modalités adaptés au contexte de la collecte de données.

L’information doit être fournie aux personnes concernées au début du traitement. Lorsque les données n’ont pas été collectées auprès de la personne concernée, l’information de ces dernières doit avoir lieu le plus tôt possible, et au plus tard un mois après le début du traitement. La personne effectuant le traitement doit en tout cas démontrer la raison justifiant le fait que l’information ait été délivrée au moment où elle l’a été, ce qui peut être, selon le G29, délicat dès lors que l’on attend 1 mois.

Le principe de transparence ne se limite pas, selon le G29, au langage oral ou écrit. Ce dernier peut en effet être accompagné d’outils visuels, tels que des icônes, des certificats, sceaux et marques dont le but est de démontrer la conformité avec le RGPD.

Les exceptions à l’obligation d’information doivent enfin, selon le G29, être interprétées et appliquées strictement. Par exemple, il existerait très peu de cas dans lesquels le responsable du traitement pourrait se prévaloir du caractère impossible de la délivrance d’information.

DERRIENNIC ASSOCIES

Tags: , , ,