Pour aider à la bonne information des personnes concernées conformément au RGPD, la CNIL a publié quelques exemples pratiques de mentions d’information. La CNIL précise qu’il s’agit d’illustrations de base, à compléter et à adapter, et non de modèles d’information valables dans toutes les hypothèses.
L’article 12 du RGPD, relatif à la transparence, impose au responsable du traitement de prendre les mesures appropriées pour fournir toute information visée aux articles 13 et 14.
Ainsi, la CNIL a mis à disposition des responsables du traitement les exemples d’information correspondant aux situations suivantes :
- en cas d’accès à des locaux professionnels par badge ;
- en cas de vidéosurveillance sur les lieux de travail ;
- en cas de géolocalisation des véhicules des salariés.
Selon la CNIL, cette page sera progressivement enrichie de nouveaux exemples.
Dans les deux premiers cas, la CNIL préconise de procéder à une information par « niveaux » (ou « strates »), conforme aux recommandations du G29 sur la transparence.
Elle recommande ainsi, dans le cas de l’accès aux locaux professionnels par badge, de faire figurer un premier niveau d’information sur un panneau d’information affiché à proximité du dispositif de contrôle d’accès aux locaux. Le second niveau d’information pourra être porté à la connaissance des personnes concernées par le biais d’une note d’information plus complète relative à la gestion des données personnelles et aux droits de personnes, mise à disposition des visiteurs lors de la délivrance de leur badge.
Dans le cas de la vidéosurveillance sur les lieux de travail, elle recommande de diffuser le premier niveau d’information sur un panneau d’information affiché dans les locaux de la société, et de diffuser le second niveau d’information dans le règlement intérieur de la société.
Enfin, concernant son exemple d’information en cas de géolocalisation des véhicules des salariés (utilisé à d’autre fin que le suivi du temps de travail), la CNIL propose de procéder à une seule information, remise par note ou par courriel à chacun des salariés concernés, ou bien figurant sur une notice fournie systématiquement à l’embauche d’un nouvel employé lors de la signature de son contrat de travail. Cette information devrait de plus, selon la CNIL, figurer de manière permanente sur l’intranet/le règlement intérieur à la rubrique « Politique de protection des données », onglet « Géolocalisation », pour permettre aux salariés d’exercer leurs droits. A défaut d’un intranet ou d’un règlement intérieur, cette information devrait pouvoir être fournie, à tout moment, sur demande des salariés adressée à dpo@nomdelentreprise.fr(ou à gestiondupersonnel@nomdel’entreprise.fr, en l’absence de DPO).
Le contenu de ces exemples de mentions d’information est disponible sur le site de la CNIL.