L’obligation d’information les enquêtés est une disposition de la loi Informatique et Libertés du 6 janvier 1978 (Loi n° 78-17). Elle a été renforcée par le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, qui préconise de fournir une information concise, transparente, compréhensible et aisément accessible aux personnes concernées par le traitement de leurs données à caractère personnel. Cette obligation est définie aux articles 12, 13 et 14 du RGPD.
Les personnes concernées doivent en effet être informées, au moment de la collecte de leurs données, de l’identité du responsable de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de la durée de conservation des données, des coordonnées du Délégué à la Protection des Données et du contact pour les questions sur la protection des données, de leur droit d’opposition, d’accès, de rectification, d’effacement, de limitation et de portabilité ainsi que des modalités d’exercice de ces droits, de la base juridique du traitement de données et du droit d’introduire une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL). Dans le cas de collectes indirectes, il doit aussi être indiqué aux personnes concernées les catégories de données recueillies et la source des données.
Ces informations sont obligatoires, que les données soient publiques ou non, et elle doivent respecter les conditions suivantes :
1. Concevoir une information lisible
- Etre concis. Il ne faut pas présenter l’information dans une notice d’information composée d’un bloc de 20 pages ou faire des mentions d’information illisibles en note ou en annexe d’un formulaire de collecte.
- Prioriser les éléments d’information. Sauf cas particuliers, la mise à disposition de l’ensemble des informations en un seul bloc ne le rend pas lisible et il convient donc de présenter les informations en plusieurs niveaux. Prioriser ne signifie pas transmettre une information incomplète aux personnes concernées : il s’agit de mettre en avant les informations essentielles et d’offrir un accès simple et immédiat aux autres informations.
- Adapter la fourniture d’informations aux situations et aux supports. Combiner différentes modalités d’information peut être une bonne solution, pour tenir compte des spécificités de chaque traitement et permettre de fournir les bonnes informations au bon moment.
2. Veiller à fournir une information transparente
La transparence permet aux personnes concernées :
- de connaître la raison de la collecte des données les concernant ;
- de comprendre le traitement (collecte et utilisations) qui sera fait de leurs données ;
- de conserver une certaine maîtrise de leurs données, en facilitant l’exercice de leurs droits ( opposition, effacement…).
Pour les chercheurs et le responsable légal du traitement (le/la directeur/trice du laboratoire), elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées.
3. Veiller à l’accessibilité de l’information
Les personnes ne doivent pas avoir à chercher l’information.
- Elles doivent immédiatement voir comment et où y accéder.
- Cette obligation s’applique quel que soit l’environnement (numérique ou autre).
- Les méthodes choisies peuvent varier en fonction du contexte et des modalités d’interaction avec les personnes. Différents outils et techniques peuvent ainsi être utilisés pour rendre l’information aisément accessible selon les environnements ou les technologies :
– présence physique de la personne qui donne l’information : information délivrée par l’interlocuteur, documentation papier ;
– environnement téléphonique : information fournie par l’interlocuteur ou via un message enregistré ; il est possible de prévoir des options pour obtenir une information plus détaillée ;
– échanges écrits : information fournie dans la documentation du projet, envoyée par courrier postal, brochure, infographie ;
– objets connectés et technologies sans écran : icônes, QR codes, alertes vocales, message envoyé par SMS ou par courriel, documentation papier fournie avec le manuel d’utilisation, signalisation (affichage autour de l’objet), informations écrites sur l’objet, campagnes d’information publiques ;
– Sites web et applications mobiles : information disponible avant le téléchargement d’applications, information écrite aisément accessible au sein de l’application ou du site web avec un onglet dédié dans le menu (cf. conseils ci-dessus sur le format pour la présentation de l’information en plusieurs niveaux).
4. Donner une vision globale sur les traitements de données
Si vous utilisez différentes modalités d’information ou si vous fournissez de l’information relative à différents traitements, il est préférable de centraliser ces informations dans un document unique (le formulaire d’autorisation papier) ou un espace dédié de votre site internet, pour que les enquêtés puissent prendre facilement connaissance de l’ensemble de l’information. Si vous optez pour un document unique, assurez-vous qu’il est lisible et compréhensible.
Ces éléments d’information devraient également être distingués clairement des autres clauses ou informations que vous fournissez et qui ne sont pas liées à la protection des données personnelles. Par exemple, sur un site internet, utilisez un lien renvoyant directement vers la politique de protection des données, clairement visible sur chaque page du site, intitulé de manière claire (« Données personnelles » ou « Confidentialité » par exemple).
Des outils permettent également aux enquêtés de mieux maîtriser l’utilisation de leurs données, en leur permettant de gérer leurs préférences et d’exercer leurs droits (« dashboards »).
5. En pratique, les informations à communiquer
Informations à fournir lorsque les données sont collectées auprès de la personne concernée (article 13 du RGPD)
Objet du traitement :
Les informations recueillies vous concernant vont faire l’objet d’un traitement destiné à : (préciser les objectifs du traitement)Le responsable de traitement (directeur/trice du laboratoire) : nom, fonction et coordonnées.
Le/la Délégué/e à la Protection des Données de (indiquez l’établissement) peut être contacté/e pour toute question sur la protection des données personnelles.
Ses coordonnées sont les suivantes :…………….
(pour le CNRS : CNRS Service protection des données, 2 rue Jean Zay, 54519 Vandoeuvre-lès-Nancy ; mail : dpd.demandes@cnrs.fr).Les données à caractère personnel sont collectées et traitées pour la finalité suivante :……
La base légale du traitement est : (indiquez un des points suivants)
– l’exécution d’une mission d’intérêt public (cas préférentiel pour la recherche publique)
– l’exécution d’un contrat (cas dans le privé, traitement soumis à l’exécution d’un contrat)
– le respect d’une obligation légale (traitement imposé à un organisme, exemple : les impôts)
– La personne concernée a consenti au traitement de ses données à caractère personnel (même si nous faisons signer des consentements, privilégier la base légale : exécution d’une mission d’intérêt public)
– la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique (cas de la médecine)
– intérêts légitimes (exemple : garantir la sécurité du réseau et des informations, vidéosurveillance d’un laboratoire, prévention de la fraude…)Destinataires des données :
En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données : (précisez les destinataires, exemple : les partenaires du projet, les étudiants travaillant sur les données…)En cas de transfert de vos données hors de l’UE, les garanties de sécurité suivantes sont mises en place : ………………….
Ou
Aucun transfert de données hors de l’Union européenne n’est réalisé.Durée de conservation de vos données :
Vos données à caractère personnel seront conservées pour une durée de : …..Droits des personnes
Vous disposez des droits suivants par rapport à l’utilisation qui est faite de vos données :
– Le droit d’opposition : vous pouvez à tout moment vous opposer au traitement de vos données et vous disposez du droit de retirer votre consentement (selon les cas)
– Le droit d’accès et de rectification de vos données
– Le droit d’effacement
– Le droit à une utilisation restreinte lorsque vos données ne sont pas nécessaires ou ne sont plus utiles
– Le droit à la portabilité : communiquer vos données à la personne de votre choix (selon les cas)
Vous pouvez exercer ces droits en vous adressant à :
(indiquez les coordonnées du service ou de la personne chargés du droit d’accès – adresses postales et électroniques).
Vous pouvez contacter également votre DPD à l’adresse suivante :
(pour le CNRS : CNRS Service protection des données – 2 rue Jean Zay – 54519 – Vandoeuvre lès Nancy – dpd.demandes@cnrs.fr
Si vous estimez, après avoir contacté le DPD, que vos droits Informatique et Libertés ne sont pas respectés, vous avez la possibilité d’introduire une réclamation en ligne auprès de la CNIL ou par courrier postal.
———————————————————————-
Informations à fournir lorsque les données ne sont pas collectées auprès de la personne concernée (article 14)
Objet du traitement
Les données à caractère personnel sont collectées et traitées pour la finalité suivante : ……..
Il permet (indiquer les différentes sous-finalités) :
– ….
– …..La base légale du traitement est : (indiquez un ou des points suivants)
– l’exécution d’une mission d’intérêt public (cas préférentiel pour la recherche publique)
– l’exécution d’un contrat (cas dans le privé, traitement soumis à l’exécution d’un contrat)
– le respect d’une obligation légale (traitement imposé à un organisme, exemple : les impôts)
– La personne concernée a consenti au traitement de ses données à caractère personnel (même si nous faisons signer des consentements, privilégier la base légale : exécution d’une mission d’intérêt public)
– la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique (cas de la médecine)
– des intérêts légitimes (exemple : garantir la sécurité du réseau et des informations (vidéosurveillance d’un laboratoire), prévention de la fraude…)Le responsable de traitement (directeur/trice du laboratoire) : nom, fonction et coordonnées
Le délégué à la protection des données qui peut être contacté pour toute question sur la protection des données personnelles : coordonnées
(pour le CNRS : CNRS Service protection des données, 2 rue Jean Zay, 54519 Vandoeuvre-lès-Nancy ; mail : dpd.demandes@cnrs.fr).Personnes concernées
– Le traitement de données concerne
– (à préciser)Catégories de données traitées
- Ex. : Données d’identification (à détailler)
- Ex. : Coordonnées professionnelles (à détailler).
Caractère obligatoire du recueil des données
(Reprendre finalité) prévoit, sauf mention contraire, le recueil obligatoire des données qui sont nécessaires au traitement de la demande.Source des données
Ces informations sont recueillies auprès de (source à préciser et indiquer si elles sont issues ou non de sources accessibles au public).Destinataires des données
En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données : (à détailler)En cas de transfert de vos données hors de l’UE, les garanties de sécurité suivantes sont mises en place : ………………….
Ou
Aucun transfert de données hors de l’Union européenne n’est réalisé.Durée de conservation des données
Vos données à caractère personnel seront conservées pour une durée de : …..Prise de décision automatisée
Le traitement ne prévoit pas de prise de décision automatisée.Sécurité des données
(à préciser)Droits des personnes
Vous disposez des droits suivants pour l’utilisation qui est faite de vos données :
– Le droit d’opposition : vous pouvez à tout moment vous opposer au traitement de vos données et vous disposez du droit de retirer votre consentement (si consentement)
– Le droit d’accès et de rectification de vos données
– Le droit d’effacement
– Le droit à une utilisation restreinte lorsque vos données ne sont pas nécessaires ou plus utiles
– Le droit à la portabilité : communiquer vos données à la personne de votre choix (selon les cas)
Vous pouvez exercer ces droits en vous adressant à :
(indiquez les coordonnées du service ou de la personne chargés du droit d’accès – adresses postales et électroniques).
Vous pouvez contacter également votre DPD à l’adresse suivante :
DPD –CNRS Service protection des données – 2 rue Jean Zay – 54519 – Vandoeuvre lès Nancy – dpd.demandes@cnrs.fr
Si vous estimez que vos droits Informatique et Libertés ne sont pas respectés, vous avez la possibilité d’introduire une réclamation en ligne auprès de la CNIL ou par courrier postal.
Bibliographie
L’information obligatoire des personnes (RGPD, articles 12 à 14). Note de la déléguée à la protection des données du CNRS, mise à jour le 10 septembre 2020.
Informer les personnes, Site de la CNIL <https://www.cnil.fr/fr/informer-les-personnes>