Le RGPD impose plusieurs obligations parmi lesquelles figurent le recours à une base légale pour la collecte et l’utilisation de données à caractère personnel ou encore l’obligation d’assurer un niveau approprié de sécurité des données, face aux atteintes pouvant compromettre leur intégrité, confidentialité et disponibilité. La CNIL a d’ailleurs rappelé à plusieurs reprises l’importance de ces obligations, notamment à travers certaines sanctions
En parallèle, l’obligation d’information et de transparence constitue l’un des principes clés du RGPD, afin de garantir aux personnes concernées la maîtrise de leurs données, quels que soient les traitements mis en œuvre. Principe qui a fait l’objet de nombreuses sanctions de la CNIL comme des autorités de contrôle européennes.
Le RGPD impose plusieurs obligations, parmi lesquelles le recours à une base légale pour toute collecte de données personnelles ainsi que l’obligation de transparence envers les personnes concernées, divers sujets RGPD que vous pouvez retrouver ici.
I. L’obligation de transparence au coeur du RGPD : cadre juridique et portée pratique
1. Le principe : que doivent savoir les personnes concernées?
Comme l’indique explicitement l’article 5 du RGPD1, toute collecte et utilisation de données personnelles doit être licite, loyale et transparente au regard de la personne concernée. En pratique, l’exigence de transparence, se concrétise par l’exhaustivité des informations fournies aux personnes et la façon dont celles-ci doivent leur être communiquées. Sur ce dernier point, il peut s’agir tant des détails sur la collecte et l’utilisation faites de leurs données que sur les modalités d’exercice des leurs droits (accès, rectification, suppression, etc.).
Les articles 12, 13 et 14 du RGPD apportent des précisions sur les informations à transmettre aux personnes. Parmi celles-ci, on trouve la finalité du traitement (le but derrière l’utilisation des données), la base légale justifiant un traitement (la raison pour laquelle nous avons le droit de collecter et d’utiliser des données personnelles), la durée pendant laquelle les données sont conservées, ainsi que les droits des personnes (accès, rectification, effacement, etc). L’ensemble de ces informations sont délivrées de façon claire, concise, compréhensible et facilement accessible. D’ailleurs, cette information est d’autant plus importante en présence de personnes vulnérables, comme les enfants, ou dans des contextes impliquant des données sensibles (ex : données de santé), entre autres, lors de la création d’entrepôts de données de santé (EDS) ou pour la recherche médicale.
Aussi, le RGPD distingue deux situations : lorsque les données sont collectées directement auprès des personnes concernées (Art 13) et lorsqu’elles le sont de manière indirecte (Art 14). Dans le premier cas, l’information est fournie au moment même de la collecte. En revanche, dans le second, elle est communiquée dans un délai d’un mois maximum après que les données aient été obtenues. Cette distinction vise à garantir que l’information soit toujours disponible de manière claire et en temps utile, quel que soit le mode de collecte retenu.
2. Déclinaison de l’obligation d’information : recueil d’un consentement explicite
L’information n’est pas seulement une obligation du RGPD, elle constitue également un critère de la validité de bases légales prévues par le RGPD comme le consentement « explicite », qui est recueilli pour le traitement de certaines données sensibles, telles que celles relatives à la santé (Art. 9(1)(a)).
En effet, pour être valable, le consentement explicite doit être « éclairé ». Cela veut dire qu’il doit être accompagné d’un minimum d’informations pour que la personne concernée puisse comprendre pleinement à quoi elle consent. Dans cette optique, l’EDPB/CEPD a précisé les informations minimales à fournir avant de recueillir ce type de consentement, notamment2 : (i) l’identité du responsable de traitement, (ii) la finalité de chacune des opérations de traitement, (iii) les types de données collectées, (iv) l’existence d’un droit de retrait du consentement et dans certains cas (v et vi) des informations relatives à l’utilisation de données dans le cadre de décisions individuelles automatisées ou en matière de transferts en dehors de l’UE.
A juste titre l’EDPB souligne que : « (…) Fournir des informations aux personnes concernées avant d’obtenir leur consentement est indispensable afin de leur permettre de prendre des décisions en toute connaissance de cause, de comprendre ce à quoi ils consentent et, par exemple, d’exercer leur droit de retirer leur consentement. Si le responsable du traitement ne fournit pas d’informations accessibles, le contrôle utilisateur devient illusoire et le consentement ne constituera pas une base valable pour le traitement. »3
3. Exemples de supports d’information conforme pour les personnes concernées
L’obligation d’information se matérialise au travers de supports d’information utilisés par les organisations pour assurer leur transparence. Parmi ceux-ci, on retrouve :
- Les politiques de confidentialité, qui renseignent les personnes sur la manière dont leurs données personnelles sont collectées, utilisées, protégées par une organisation ainsi que leurs droits, etc ;
- Les notes d’information qui peuvent fournir des précisions sur un traitement de données particulier, notamment dans des contextes sensibles comme la recherche en santé ou les essais cliniques ;
- Les portails de transparence en santé qui permettent aux patients de comprendre comment leurs données de santé sont utilisées ;
- Les panneaux d’informations relatifs à la vidéosurveillance qui informent les personnes de la présence de caméras, des zones surveillées, des finalités de cette surveillance, etc.
La transparence est indissociable de la gouvernance des données au sein d’une organisation. À ce titre, le DPO joue un rôle central dans sa mise en œuvre. Découvrez comment le DPO peut structurer une gouvernance conforme grace à un audit RGPD
II. Les enjeux de mise en œuvre concrète
La mise en œuvre de la transparence et de l’information soulève des enjeux pratiques considérables :
1. L’accessibilité de l’information : un défi majeur pour la transparence
Rendre l’information véritablement accessible constitue parfois un défi. En pratique, il arrive fréquemment que les personnes se retrouvent submergés par une masse de textes juridiques ou de politiques de confidentialité, souvent incompréhensibles. Cela crée un double problème : d’une part, les personnes risquent de ne pas prendre connaissance des informations importantes et d’autre part, même lorsqu’elles en prennent connaissance, elles peuvent avoir du mal à les comprendre. Par exemple, un audit mené par la CNIL a révélé que 89% des politiques de confidentialité sont rédigées dans un langage complexe, de niveau universitaire, rendant leur compréhension difficile pour le grand public4
Face à de tels constats, des solutions ont été proposées dès 2022 par la CNIL, qui encourageait déjà l’utilisation de termes plus clairs et plus simples dans les communications publiques. En avril 20225, elle rappelait que le RGPD exige que les informations transmises aux personnes concernées soient « concises, transparentes, compréhensibles et aisément accessibles, en des termes clairs et simples » (Article 12). Cette recommandation propose ainsi de remplacer certains termes techniques par des termes plus accessibles. Par exemple, au lieu de « cas d’espèce », il est préférable d’utiliser « cas particulier », ou encore remplacer « traitement de données » par « utilisation de données ». Ces simplifications sont pertinentes dans les communications destinées au grand public telles que les portails de transparence, ainsi que dans les réponses apportées aux demandes d’exercice de droits des personnes concernées.
En outre, la CNIL applique elle-même cette approche dans ses propres communications. Depuis 2021, elle s’efforce de rendre ses documents, tels que ses actualités, ses fiches pratiques, plus accessibles. En utilisant des termes simplifiés, elle permet au plus grand nombre de comprendre ses recommandations et les règles à suivre en matière de protection des données personnelles. Cependant, cette simplification ne s’applique pas à tous les documents juridiques ou officiels, comme les autorisations ou lignes directrices, où un langage plus technique reste nécessaire.
2. L’impact des « Dark Patterns » (interfaces truquées et design trompeurs) – manipulation des utilisateurs et défi pour la transparence :
Un autre enjeu majeur est celui des « dark patterns » qui sont des interfaces numériques conçues pour orienter subtilement, manipuler ou influencer les utilisateurs vers des choix et décisions qui peuvent leur être préjudiciables ou contraire à leurs intérêts6. Ce type de pratiques illicites sont particulièrement utilisés pour compliquer l’exercice de droits (comme le refus des cookies et traceurs en ligne) ou pour inciter à des comportements avantageux pour l’organisation qui propose le service (comme la collecte de données personnelles) au détriment d’une information conforme des personnes.
Par exemple, sur certains sites en ligne, l’option par défaut consiste à accepter la collecte de données personnelles, tandis que l’option pour refuser cette collecte est cachée, moins visible ou nécessite plusieurs étapes pour être activée. En effet, dans certains cas, la transparence est bafouée pour laisser place à des boutons de formulaires en ligne « Accepter » davantage mis en avant visuellement (couleur, taille, disposition, etc) par rapport aux boutons « Refuser » ; ces derniers étant discrètement relayé dans un coin ou dans une couleur moins attrayante.
Au-delà des aspects purement visuels, certaines manipulations portent directement sur la clarté des informations textuelles. Ainsi, l’emploi de formulations ambiguës ou floues, susceptibles de prêter à diverses interprétations, en constitue un exemple commun. Par exemple, la phrase « En cliquant sur « valider », vous acceptez de rester connecté avec nous » manque de clarté. Une formulation plus précise et explicite serait préférable, telle que : « En cochant la case « valider », vous confirmez avoir lu et accepté notre politique de confidentialité et consentez à ce que nous utilisions vos données personnelles pour répondre à votre demande de contact. »
Ces manquements ne sont pas sans conséquences, car la CNIL sanctionne fréquemment les organisations ayant recours à ce type de formulaires de consentement non conformes à l’obligation d’information (Délibérations : SAN-2023-025 du 29 décembre 2023 – Tagadamedia, SAN-2024-003 du 31 janvier 2024 – Foriu, SAN-2024-004 du 4 avril 2024 – Hubside Store7).
Dans ce contexte, plusieurs bonnes pratiques peuvent être mises en place pour éviter tout manquement à l’obligation d’information. En plus des bonnes pratiques liées à la i) neutralité visuelle des options de consentement, ii) à l’uniformité typographique ou iii) à la disposition équilibrée des boutons, les organisations doivent garantir la clarté de l’information fournie. Chaque élément actionnable, qu’il s’agisse de boutons ou de cases de consentement à cocher, doit être accompagné d’informations simples et directes. Ainsi, les utilisateurs doivent pouvoir exprimer leur consentement ou leur refus sans effort d’interprétation ou de concentration. Les instructions et les conséquences de chaque choix doivent être explicites, assurant une prise de décision libre et éclairée.
Dans l’optique de garantir la transparence et la clarté de l’information, il est intéressant de souligner les résultats d’une étude menée par le LINC (Laboratoire d’innovation numérique et de communication) de la CNIL8, qui a analysé de manière systématique 53 000 pages provenant d’environ 11 000 sites d’e-commerce. Cette analyse a permis de recenser un total de 1 841 cas d’utilisation de « dark patterns », répartis en 15 types et 7 catégories distinctes :
3. Portail de transparence en santé : un exemple d’accès à l’information pour les patients
Un domaine où la transparence joue un rôle hautement important est celui de la santé. À cet égard, des initiatives louables comme les « portails de transparence » ont été développées pour permettre aux patients d’accéder facilement aux informations relatives à l’utilisation de leurs données médicales.
Selon la CNIL9, le portail de transparence est un espace dédié sur le site internet d’un responsable de traitement et/ou de ses partenaires, ou un site en ligne dédié, qui centralise et diffuse l’ensemble des informations relatives aux traitements de données de santé mis en œuvre, ainsi qu’aux projets de réutilisation présents ou à venir desdites données. Cet outil garantit une information continue des personnes et assure la transparence quant aux usages faits des données.
Mettre en place un portail de transparence devient une composante indispensable, en particulier dans les domaines des entrepôts de donnée de santé (EDS), mais aussi dans le cadre du référentiel sur l’accès précoce10 dans lequel la CNIL prévoit que lorsqu’une réutilisation des données personnelles est envisagée à des fins de recherche ou d’étude, les patients doivent en être informés via une note d’information remise lors de la collecte des données, à condition qu’elle renvoie vers un portail de transparence. Ce dispositif est présenté comme une mesure de transparence complémentaire, qui peut éviter d’avoir à renouveler systématiquement une information individuelle à chaque nouveau traitement de données.
La même logique se retrouve dans le référentiel sur l’accès compassionnel11, où la CNIL réaffirme que les patients peuvent être informés des traitements ultérieurs soit individuellement, soit à travers un portail de transparence mentionné dès la première note d’information.
4. Modalités d’information insuffisantes : Le cas d’Amazon France Logistique
La société Amazon France logistique a été sanctionnée par la CNIL pour ne pas avoir correctement informé ses travailleurs intérimaires sur les traitements de leurs données personnelles. Bien qu’une politique de confidentialité ait été mise à disposition sur l’intranet de la société, la CNIL a retenu que cette information ne suffisait pas à garantir que chaque intérimaire ait effectivement pris connaissance des informations essentielles avant que leurs données ne soient collectées.
Ainsi, l’absence d’une méthode active d’information appropriée a créé une situation où ces derniers risquaient de ne pas être pleinement conscients de la manière dont leurs données étaient traitées, ce qui constitue une violation de l’obligation d’information du RGPD : « la formation restreinte relève que la CNIL recommande que l’information soit faite » selon les modalités les plus appropriées en fonction de l’organisation et du fonctionnement de l’entreprise « . En l’occurrence, elle considère qu’une information sur l’intranet destinée à des salariés travaillant au quotidien dans des entrepôts et n’ayant pas vocation à travailler dans un bureau sur un ordinateur, sans aucune incitation à s’y rendre, ne constitue pas une modalité d’information satisfaisante. »12
Cette délibération souligne aussi la question de l’information fournie aux employés et aux visiteurs lors du recours à la vidéo-surveillance. L’information apportée n’était pas complète car les panneaux d’information des entrepôts ne mentionnaient pas les coordonnées du DPO, la durée de conservation des données, ni le droit d’introduire une réclamation auprès de la CNIL. Ces omissions ont été interprétées comme une non-conformité avec l’article 13 du RGPD prévoyant que les informations doivent être fournies de manière accessible et transparente au moment de la collecte des données.
III. Quelles obligations pour les professionnels ?
| Information à fournir (Obligations RGPD) | Article 13 (Cas : Collecte directe auprès de la personne) | Article 14 (Cas : Collecte indirecte) | Commentaires |
| Identité et coordonnées du responsable du traitement | ✅ | ✅ | Commun aux deux articles |
| Coordonnées du délégué à la protection des données (DPO) | ✅ | ✅ | Si applicable |
| Finalités du traitement et base légale | ✅ | ✅ | Obligatoire pour tout traitement |
| Intérêts légitimes poursuivis (Art. 6(1)(f)) | ✅ | ✅ | Si cette base est utilisée |
| Destinataires ou catégories de destinataires des données | ✅ | ✅ | Si existants |
| Transfert vers un pays tiers ou organisation internationale + garanties | ✅ | ✅ | Et moyens d’obtenir une copie des données |
| Durée de conservation ou critères utilisés | ✅ | ✅ | Nécessaire dans les deux cas |
| Droits RGPD (accès, rectification, effacement, opposition, portabilité…) | ✅ | ✅ | Tous les droits doivent être précisés |
| Droit de retirer son consentement (si applicable) | ✅ | ✅ | Si le traitement repose sur l’article 6(1)(a) ou 9(2)(a) du RGPD |
| Droit d’introduire une réclamation auprès d’une autorité de contrôle | ✅ | ✅ | Par exemple la CNIL |
| Prise de décision automatisée, y compris profilage (logique, conséquences) | ✅ | ✅ | Si existant |
| Caractère obligatoire ou non de la fourniture des données et conséquences d’un refus | ✅ | ❌ | Spécifique à l’article 13 |
| Catégories de données concernées | ❌ | ✅ | Spécifique à l’article 14, mais demeure possible dans le cadre de l’article 13 |
| Source des données (et si issues de sources accessibles au public) | ❌ | ✅ | Spécifique à l’article 14 |
| Recommandations et bonnes pratiques pour la mise en œuvre de l’obligation d’information : | |
| Communiquer des informations : | Explications |
| « concises » | + Les informations sont courtes, claires et directes. |
| « transparentes » | + Les informations contiennent les éléments se rapportant à l’opération de traitement effectuée par l’organisation(voir éléments dans le tableau précédent). Ex : identité et coordonnées du responsable de traitement, finalités de traitements, données personnelles collectées, durées de conservation, etc. |
| « compréhensibles » | + Les informations sont communiquées et rédigées dans un langage intelligible pour le grand public (éviter les jargons complexes, juridiques, etc.). Par exemple, dans le contexte des formulaires en ligne, les personnes doivent pouvoir exprimer leur consentement ou refus sans efforts de concentration ou d’interprétation. Les instructions et les conséquences de chaque choix doivent être explicites, favorisant la prise de décision éclairée et libre. + Les supports d’information (tels que les politiques de confidentialité) sont structurées de façon logique avec des titres clairs et des repères pour rendre l’information digeste. |
| « aisément accessibles » | + Utiliser lesmoyens (modalités) de communication les plus appropriées en fonction des particularités de votre organisation et de son fonctionnement. Par exemple, informer via l’intranet de l’entreprise, des salariés qui travaillent quotidiennement sur le terrain et qui n’ont pas vocation à travailler sur un ordinateur, sans aucune incitation à s’y rendre, ne constitue pas un moyen d’information satisfaisant selon la CNIL. Il conviendrait plutôt de recourir à des moyens d’information individuels comme par courriel électronique. + L’accès aux informations doit être facilement accessible. Par exemple, un utilisateur doit pouvoir trouver en quelques clics la politique de confidentialité d’un site depuis toutes les pages importantes du site ou de l’application (par exemple, dans le pied de page ou dans les menus de navigation). Aussi, elle doit être proposée de manière visible au moment où les données sont collectées (par exemple, lors de l’inscription ou de l’activation d’un service), avec un lien direct pour que les utilisateurs puissent la consulter avant de renseigner leurs données personnelles. |
| « en des termes clairs et simples » | + Utilisation d’un jargon/langage et des termes simplifiés dans vos documents et supports informatifs (ex : politique de confidentialité, portail de transparence, note d’information) en remplaçant par exemple la mention « traitement de données » par « utilisation de données ». Ici, le mot « traitement » a un sens large puisqu’il se réfère aux nombreuses actions et opérations effectuées sur les données personnelles (utilisation, conservation, effacement, extraction, modification, etc). Alors que la notion « utilisation » se réfère davantage à l’exploitation directe des données dans un certain contexte et but précis. |
Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO
Assurer une information claire et conforme aux exigences du RGPD n’est pas une option, mais une obligation légale. Face à la complexité croissante des traitements de données personnelles, une approche rigoureuse et sécurisée de la transparence est indispensable pour limiter les risques juridiques et protéger la réputation de votre organisation.
Chez Aumans Avocats, nous accompagnons entreprises, associations et établissements publics dans la mise en œuvre concrète de leurs obligations d’information, la rédaction de mentions personnalisées, la conformité de leurs politiques de confidentialité, ou encore la gestion des demandes des personnes concernées. Notre expertise en droit des données personnelles vous garantit une approche à la fois pragmatique et juridiquement solide.
Besoin d’un audit de vos supports d’information ou d’un accompagnement dans le cadre d’un projet RGPD ?
Contactez Aumans Avocats pour bénéficier d’un accompagnement sur mesure, conforme aux recommandations de la CNIL et aux meilleures pratiques du secteur.
Sources
- https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr – Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel (RGPD) ↩︎
- https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fr.pdf – EDPB/CEPD, 4 mai 2020, Lignes directrices 5/2020 portant sur le consentement au sens du RGPD, page 18, point 64 ↩︎
- Ibid, page 17, point 62 ↩︎
- https://www.cnil.fr/fr/design-trompeur-les-resultats-de-laudit-du-global-privacy-enforcement-network – CNIL, Design trompeur : les résultats de l’audit du Global Privacy Enforcement Network ↩︎
- https://www.cnil.fr/fr/information-des-personnes-la-cnil-encourage-lemploi-de-termes-plus-clairs-pour-le-grand-public – CNIL, Information des personnes : la CNIL encourage l’emploi de termes plus clairs pour le grand public ↩︎
- https://linc.cnil.fr/dark-patterns-quelle-grille-de-lecture-pour-les-reguler – CNIL (LINC), Dark patterns : quelle grille de lecture pour les réguler ? ↩︎
- https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049051422 – CNIL, Délibération SAN-2023-025 du 29 décembre 2023 (Tagadamedia)
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049231950 – CNIL, Délibération SAN-2024-003 du 31 janvier 2024 (Foriu)
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049382214 – CNIL, Délibération SAN-2024-004 du 4 avril 2024 (Hudbiside.Store) ↩︎ - https://linc.cnil.fr/dark-patterns-quelle-grille-de-lecture-pour-les-reguler – CNIL (LINC), Dark patterns : quelle grille de lecture pour les réguler ? ↩︎
- https://www.cnil.fr/fr/demande-dautorisation-dans-le-domaine-de-la-sante-hors-recherche-les-informations-fournir-et-les – CNIL, Demande d’autorisation dans le domaine de la santé (hors recherche) : les informations à fournir et les critères d’octroi ↩︎
- https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046542586 – CNIL, Délibération n° 2022-107 du 22 septembre 2022 portant adoption d’un référentiel (accès précoce) ↩︎
- https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046542576 – CNIL, Délibération n° 2022-106 du 22 septembre 2022 portant adoption d’un référentiel (autorisation d’accès compassionnel) ↩︎
- https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048989272 – CNIL, Délibération SAN-2023-021 du 27 décembre 2023 (Amazon France Logistique) ↩︎
