Le 11 avril 2018, les guidelines du G29 sur la transparence ont été publiées dans leur version définitive. Celles-ci apportent de précieuses informations sur le contenu et le support d’information à utiliser dans le cadre de l’obligation d’information pesant sur le responsable du traitement vis-à-vis des personnes concernées par le traitement.
Le G29 affirme que, compte tenu du volume d’information qu’il est nécessaire de porter à la connaissance des personnes concernées, une approche en « strates » peut être adoptée par les responsables du traitement.
La politique de confidentialité en « strates » (environnement numérique uniquement) :
Le G29 recommande à ce titre, dans un environnement numérique, que la politique de confidentialité soit utilisée pour rediriger vers certaines catégories d’informations obligatoires, plutôt que d’afficher toutes les informations sur un seul écran.
Le but est d’éviter de noyer les personnes concernées sous la masse d’information, et de concilier complétude et compréhensibilité.
La première couche de la politique de confidentialité devra afficher une vue d’ensemble claire des informations accessibles aux personnes concernées et leur montrer comment accéder à ces informations.
L’approche en « strates » :
Le G29 recommande également, que l’environnement soit numérique ou non, d’adopter une approche en « strate ». Celle-ci consiste à fournir une première information aux personnes concernées, contenant les éléments essentiels suivants :
- les finalités du traitement ;
- l’identité du responsable du traitement ;
- les droits de la personne concernée ;
- les informations sur le traitement qui ont le plus d’impact sur la personne concernée et les traitements qui pourraient la surprendre.
Cette première information doit avoir lieu au moment de la collecte des données, en utilisant « la première modalité utilisée pour communiquer avec la personne concernée ».
Par exemple, dans un contexte en ligne, il s’agira du moment pendant lequel la personne remplit un questionnaire. Dans un contexte téléphonique, ces informations devront être apportées pendant l’appel.
Les informations complémentaires pourront ensuite être communiquées par un autre moyen, par exemple par mail.
Autres méthodes :
Le G29 évoque également d’autres méthodes permettant d’informer les personnes.
A ce titre, il mentionne les notifications « push & pull », qui impliquent:
- la fourniture d’informations « juste à temps » (« push»), qui vont fournir des informations de manière circonstanciée, lorsque leur lecture est la plus pertinente pour la personne concernée. Cela aide à diffuser l’information de manière digeste, plutôt que d’offrir une seule mention d’information difficile à comprendre et hors de contexte.
Exemple : lorsqu’une personne achète un produit en ligne, une brève explication peut être portée par des pop-up qui vont accompagner les blocs de textes.
Une information proche d’un champ requérant le numéro de téléphone de la personne concernée pourrait également lui indiquer que cette information ne sera utilisée que pour la contacter concernant l’achat et ne sera communiquée qu’au service de livraison.
- l’affichage d’annonces facilitant l’accès aux informations, par des méthodes telles que la gestion des autorisations, des tableaux de bord de vie privée (par lesquels les personnes concernées vont gérer leur préférences et autoriser ou interdire certaines utilisations de leur données par le service, ce qui est particulièrement utile en cas de pluralités d’appareils), et dans tutoriaux « en savoir plus» («pull»).