Introduction
Dans moins de 100 jours – le 25 mai 2018 –, le Réglement Général sur la Protection des données 2016/679 (le RGPD ou “GDPR”) entre en vigueur. Cette date approchant à grands pas, les organisations s’affairent à préparer l’implémentation du RGPD.
Dans le cadre de cette implémentation, il est important que les entreprises considèrent la question de savoir quelles sont les dispositions du RGPD à appliquer en priorité. Les termes de George Orwell dans La Ferme des Animaux (“all animals are equal but some animals are more equal than others”) s’appliquent somme toute aussi au RGPD – bien que toutes les dispositions du RGPD sont importantes, certaines le sont plus que d’autres.
Nous sommes d’avis que la transparence est l’une de ces dispositions que les entreprises doivent transposer en priorité. La transparence – i.e. le fait pour une organisation d’informer les personnes concernées sur la question de savoir pourquoi et comment elle traite leurs données – est en effet un concept fondamental du RGPD.
Quelles informations doivent être communiquées ?
Le RGPD contient des dispositions détaillées à propos des informations qu’une organisation doit fournir aux personnes concernées. Ces informations sont énumérées aux articles 13 et 14 du RGPD. Ces informations comprennent entre autres des informations à propos de l’organisation même (comme ses coordonnées), les finalités du traitement, les destinataires des données, la durée de conservation de celles-ci et les droits des personnes concernées.
Le RGPD ne prévoit pas d’exigences formelles spécifiques mais précise que l’information doit être communiquée de façon “facilement visible, compréhensible et clairement lisible”. Ceci signifie concrètement que par exemple l’information ne peut être “cachée” dans les conditions générales d’une entreprise – songez aux interminables licences lors du démarrage d’une application que personne ne lit (à l’exception de quelques utilisateurs juristes disposant de beaucoup de temps).
Une approche à plusieurs niveaux
Ce qui précède place les entreprises à première vue devant un paradoxe : elles doivent communiquer aux personnes concernées des informations (très) élargies, mais elles doivent le faire d’une façon simple et compréhensible. Cela exige donc une approche plus innovante et pratique que les longues déclarations classiques de confidentialité ou autres mentions légales.
Une bonne approche – qui a été approuvée par le Groupe de travail Article 29, un organe d’avis européen – est d’utiliser une déclaration de confidentialité à plusieurs niveaux.
Dans une telle approche, l’entreprise communique de manière visible (par exemple lors de la connexion) une déclaration de confidentialité courte et simple dans laquelle sont reprises les informations de base principales. Cette courte déclaration de confidentialité renvoie vers une déclaration de confidentialité plus complète, qui reprend toutes les informations exigées (et qui par exemple est publiée sur le site principal de l’entreprise).
Conclusion
Le RGPD se compose de nombreuses et diverses pierres, qui doivent en principe toutes être posées pour le 25 mai 2018.
Compte tenu de l’importance cruciale de la transparence, nous recommandons aux entreprises de prêter prioritairement attention à la transparence – l’assurance d’une transparence suffisante constitue une bonne fondation pour poser les autres pierres de l’édifice RGPD.
Peter Van Dyck
Avocat-associé chez Allen & Overy LLP
Laisser un commentaire