Réponse

Au moment où leurs données sont collectées, il faut au moins communiquer clairement aux personnes:

  • qui est votre entreprise/organisation (vos coordonnées et celles de votre DPD le cas échéant);
  • pourquoi votre entreprise/organisation utilisera  leurs données à caractère personnel (finalités);
  • les catégories de données à caractère personnel concernées;
  • la raison juridique du traitement de leurs données;
  • la durée pendant laquelle les données seront conservées;
  • les autres destinataires éventuels des données;
  • le transfert éventuel de leurs données à caractère personnel à un destinataire établi en dehors de l’UE;
  • leur droit de copier les données (droit d’accès aux données à caractère personnel) et d’autres droits fondamentaux dans le domaine de la protection des données (voir la liste complète des droits);
  • leur droit d’introduire une réclamation auprès d’une autorité de protection des données (APD);
  • leur droit de retirer leur consentement à tout moment;
  • le cas échéant, l’existence d’une prise de décision automatisée et la logique sous-jacente, y compris les conséquences de ce traitement.

Voir la liste complète des informations à fournir.

Ces informations peuvent être fournies par écrit, oralement à la demande de la personne concernée lorsque son identité est démontrée par d’autres moyens, ou par voie électronique lorsque c’est approprié. Votre entreprise/organisation doit le faire de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples et gratuitement.

Quand les données sont obtenues auprès d’une autre entreprise/organisation, votre entreprise/organisation devrait fournir les informations reprises ci-dessus à la personne concernée au plus tard dans un délai d’un mois à compter du moment où votre entreprise a obtenu les données à caractère personnel; ou, si votre entreprise/organisation communique avec la personne, lorsque les données sont utilisées pour communiquer avec elle; ou, s’il est envisagé de communiquer les informations à une autre entreprise, lorsque les données à caractère personnel sont communiquées pour la première fois.

Votre entreprise/organisation doit également informer la personne concernée des catégories de données et de la source qui lui a fourni les données; et, si des données ont été obtenues auprès de sources accessibles au public, cette information doit également être mentionnée. Dans certains cas spécifiques repris à l’article 13, paragraphe 4, et à l’article 14, paragraphe 5, du RGPD, votre entreprise/organisation peut être dispensée de l’obligation d’informer les personnes concernées. Veuillez vérifier si votre entreprise/organisation se trouve dans un de ces cas.

Références

  • Article 12, paragraphes 1, 5 et 7, articles 13 et 14 et considérants 58 à 62 du RGPD
  • Groupe de travail «Article 29», Lignes directrices sur la transparence