Droit à l’information
Home » RGPD » Droits des personnes concernées » Droit à l’information

En vertu de l’article 12 du RGPD, les responsables du traitement sont tenus d’informer les personnes concernées du traitement envisagé. Le droit à l’information est donc étroitement lié au principe de transparence décrit au considérant 39 du RGPD (voir également “Licéité, loyauté et transparence” dans la section “Principes” de la partie II des présentes lignes directrices).

Le droit à l’information n’exige aucune action de la part de la personne concernée ; il doit être satisfait de manière proactive par le responsable du traitement. À quoi doivent ressembler ces informations ? À cet égard, comme déjà mentionné, toute information doit être concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, en particulier pour toute information adressée spécifiquement à un enfant. Les informations sont fournies par écrit, ou par d’autres moyens, y compris par voie électronique le cas échéant, et elles peuvent même être fournies oralement à la demande de la personne concernée et si son identité est prouvée de manière incontestable. Les informations sont fournies sans délai ni frais excessifs (article 12 du RGPD).

Les informations doivent être fournies de manière efficace et brève, afin que la personne concernée ne soit pas submergée par celles-ci et puisse prévoir la portée et les conséquences du traitement.[1] Pour atteindre ces objectifs, certains aspects doivent être pris en considération. Tout d’abord, les informations doivent être conçues sur mesure pour “le membre moyen du public visé”[2] qui, dans le cas d’une recherche, serait le participant moyen. En cas de doute sur le profil de l’individu moyen, les autorités chargées de la protection des données ou d’autres parties prenantes (par exemple, des groupes de défense) peuvent fournir des informations en retour. Il est également possible de valider des projets de textes informatifs devant des sujets d’essai avant de lancer un projet de recherche et de procéder à la collecte de données[3] .

Deuxièmement, comme aucun effort actif n’est requis de la part de la personne concernée, les informations doivent être immédiatement disponibles pour la personne concernée. Le responsable du traitement peut donc les fournir de la manière qui convient le mieux au contexte : directement, par le biais d’un lien ou d’un panneau indicateur ou en réponse à une question en langage naturel.

Troisièmement, le langage utilisé par le responsable du traitement doit être aussi simple que possible. À cette fin, la publication de la Commission européenne intitulée “Claire’s Clear Writing Tips” et “How to Write Clearly”[4] pourrait fournir des outils permettant de simplifier le message à transmettre. Parmi les éléments à éviter lors de la rédaction d’une notice d’information, citons :

  • des phrases complexes,
  • les formes passives,
  • tout jargon technique,
  • les verbes modaux, et
  • des notions abstraites qui peuvent toutes conduire à des interprétations divergentes.

Les enfants et autres groupes vulnérables nécessitent une attention supplémentaire. Là encore, de nombreux écrits ont été consacrés à cette question épineuse[5] . L’article 12 dispose que les informations dues à la personne concernée doivent être particulièrement adaptées aux enfants – qui constituent un exemple de groupe vulnérable – si les activités de traitement des données leur sont destinées. La langue est fondamentale lorsqu’il s’agit de personnes vulnérables, comme le souligne l’autorité de contrôle espagnole[6] , car la vulnérabilité pourrait être exacerbée si la personne n’a pas les connaissances nécessaires pour comprendre l’information.

Quatrièmement, afin d’être plus accessible, toute information écrite doit être fournie en un seul endroit ou dans un document complet (que ce soit en format numérique ou papier). Outre le format papier, le responsable du traitement des données peut utiliser d’autres moyens électroniques et non électroniques qui seront abordés plus loin, tels qu’une déclaration de protection des données en couches, des avis contextuels, des infographies, des organigrammes, des vidéos, des alertes vocales, des animations, etc. En revanche, les informations peuvent également être fournies oralement, de personne à personne ou par des moyens automatisés, à condition que l’identité de la personne concernée soit prouvée par d’autres moyens.

Les articles 13 et 14 du RGPD précisent les informations à fournir, selon que les données personnelles ont été collectées directement auprès de la personne concernée ou non.

Lorsque les données à caractère personnel sont collectées directement auprès de la personne concernée (article 13 duRGPD), le responsable du traitement doit fournir au moment de leur collecte les informations suivantes :

  • L’identité et les coordonnées du responsable du traitement (à savoir l’institution de recherche) et les coordonnées de son délégué à la protection des données ;
  • Les finalités et la base légale du traitement, y compris l’intérêt légitime le cas échéant ;
  • L’identité des destinataires (ou des catégories de destinataires) des données à caractère personnel, le cas échéant ;
  • Si les données seront transférées en dehors de l’UE, ainsi que les détails sur la base légale et les garanties du traitement à l’étranger ;
  • La période de conservation des données. Si l’établissement de cette période n’est pas possible, les critères utilisés pour la déterminer doivent être fixés ;
  • Tous les droits de la personne concernée, y compris le droit de déposer une plainte auprès d’une autorité de contrôle. En outre, si le traitement est fondé sur le consentement de la personne concernée, le droit de retirer ce consentement doit être inclus ;
  • Si la fourniture de données à caractère personnel est prévue par la loi ou par un contrat et si la personne concernée doit fournir les données à caractère personnel, ainsi que les conséquences potentielles découlant du fait de ne pas les fournir ;
  • L’existence d’une prise de décision automatisée, à savoir les décisions prises à l’aide de données à caractère personnel traitées uniquement par des moyens automatiques sans intervention humaine.

En outre, dans son document de réponse à la demande de clarification de la Commission européenne sur l’application cohérente du RGPD axée sur la recherche dans le domaine de la santé (2021), le Conseil européen de la protection des données recommande que si un responsable du traitement a l’intention d’utiliser les données obtenues des personnes concernées également à d’autres fins, ce responsable du traitement devrait, au moment de la collecte des données, prendre les mesures appropriées afin d’être en mesure de satisfaire aux obligations d’information relatives à ce traitement ultérieur.[7]

L’article 13 du RGPDdispense les responsables du traitement de leur obligation lorsque la personne concernée dispose déjà de ces informations. Bien que le responsable du traitement doive prouver ces circonstances (concernant, par exemple, la manière et le moment où ces informations ont été fournies, ainsi que la mesure dans laquelle elles n’ont pas changé entre-temps), il existe toujours une obligation de compléter potentiellement les connaissances de la personne concernée.

Lorsque les données à caractère personnel ne sont pas collectées directement auprès de la personne concernée (article 14 duRGPD), le responsable du traitement doit également informer la personne de la source des données à caractère personnel et des catégories spécifiques de données qu’il envisage de traiter. Toutes les informations doivent être fournies dans un délai raisonnable [de temps] après l’obtention des données personnelles, mais au plus tard dans un délai d’un mois, compte tenu des circonstances spécifiques dans lesquelles les données à caractère personnel sont traitées.

En définitive, l’article 14.5(b) du RGPD prévoit trois exemptions pour les institutions de recherche de l’obligation du responsable du traitement d’informer les personnes concernées du traitement de données à caractère personnel qui n’ont pas été collectées auprès d’elles :

  • une telle disposition s’avère impossible ;
  • ou impliquerait un effort disproportionné ;
  • […] ou dans la mesure où l’obligation […] est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de ce traitement.

Cela signifie tout d’abord que les responsables du traitement doivent montrer ce qui les a empêchés de fournir les informations, en considérant également que, chaque fois qu’un obstacle est temporaire, la fourniture d’informations doit se faire dès que possible[8] . Par exemple, des chercheurs obtiennent des données d’un réseau social par le biais d’une interface de programmation d’applications et, avant qu’ils puissent se conformer à l’article 14 du RGPD, le réseau social subit un déni de service qui rend impossible toute communication avec les personnes concernées.

En ce qui concerne l’effort disproportionné, le considérant 62 du RGPD fait référence au nombre de personnes concernées, à l’ancienneté des données et à l’existence de mesures de sauvegarde. Là encore, l’effort disproportionné doit être évalué et prouvé, en mettant en balance les coûts et les avantages en jeu. En tout état de cause, le responsable du traitement prend les mesures appropriées pour protéger les droits et libertés et les intérêts légitimes de la personne concernée, y compris en mettant les informations à la disposition du public. La mise à disposition du public peut découler, par exemple, du téléchargement des informations sur un site web et/ou de leur publication dans un journal. Parmi les autres mesures appropriées figurent la réalisation d’une analyse d’impact, la pseudonymisation et l’anonymisation des données à caractère personnel (voir la section “Identification, pseudonymisation et anonymisation” de la partie II, section “Concepts principaux” des présentes lignes directrices), l’adoption de mesures organisationnelles et techniques susceptibles d’améliorer le niveau de sécurité, etc.

En définitive, l‘atteinte grave aux objectifs d’un tel traitement requiert la preuve que la fourniture des informations visées à l’article 14.1 du RGPD annulerait ces objectifs. Par exemple, une recherche menée sur la manière dont les interactions humaines dans les réseaux sociaux sont affectées lors d’un scénario de verrouillage résultant d’une pandémie mondiale peut exiger que les chercheurs effectuent leur analyse aussi secrètement que possible afin de ne pas perturber ces interactions. Dans ce cas, le responsable du traitement prend les mesures appropriées pour protéger les droits et libertés et les intérêts légitimes de la personne concernée, y compris en rendant les informations accessibles au public conformément à l’article 14.5 (b) du RGPD.

Indépendamment de la source des données à caractère personnel, les responsables du traitement doivent informer la personne concernée de leur intention de traiter ultérieurement les données à caractère personnel dans un but autre que celui pour lequel elles ont été collectées, avant ce traitement ultérieur. Dans l’ensemble, le principe de limitation de la finalité (voir “Principe de limitation de la finalité” dans la section “Principes” de la partie II des présentes lignes directrices) prévoit que les données à caractère personnel doivent être traitées pour des finalités déterminées, explicites et légitimes, de sorte que tout traitement ultérieur incompatible avec celles-ci doit être interdit. Pourtant, selon l’article 5.1(b) du RGPD, tout traitement ultérieur à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ne doit pas être considéré comme incompatible avec la finalité initiale. En tout état de cause, l’obligation pour le responsable du traitement d’informer la personne concernée du traitement ultérieur implique le test de compatibilité (voir le paragraphe “Protection des données et recherche scientifique” de la partie II, section “Concepts principaux” des présentes lignes directrices) effectué sur la base de l’article 6, paragraphe 4, du RGPD, afin d’expliquer pourquoi le traitement à des fins supplémentaires est cohérent avec les finalités initiales. Comme le souligne le groupe de travail Article 29 (2013), la réalisation du test de compatibilité est de la plus haute importance pour garantir la transparence et la limitation des finalités. [9] Mais, lorsqu’on s’appuie sur la présomption de compatibilité consacrée par l’article 5, paragraphe 1, point b), du RGPD pour traiter ultérieurement des données à caractère personnel à des fins de recherche scientifique, il convient de tenir compte du fait que cette présomption ne peut être utilisée qu’à la condition que le traitement ultérieur respecte les garanties adéquates requises par l’article 89, paragraphe 1, du RGPD. [10]

En s’appuyant sur ces dispositions, les établissements de recherche peuvent adopter toutes les mesures qu’ils jugent appropriées pour se conformer à cette obligation. Le RGPD, en effet, ne prescrit aucune forme quant à la manière dont l’information doit être donnée. En général, le droit à l’information est satisfait par l’adoption d’une politique de protection des données, d’une déclaration de confidentialité ou d’un avis de traitement loyal ; leur efficacité a toutefois donné lieu à un débat polarisé entre les universitaires et les décideurs politiques[11] . En conséquence, de nouvelles méthodes ont été développées et pourraient être utilisées pour fournir des informations aux personnes concernées d’une manière claire et accessible, telles que :

  • Une approche par couches : plutôt que de présenter toutes les informations requises dans un seul avis et de risquer ainsi de submerger la personne concernée, un premier avis de confidentialité peut être lié aux autres catégories d’informations, de sorte que le niveau de détail augmente progressivement. Dans ce contexte, la première couche devrait inclure l’identité du responsable du traitement, la finalité du traitement et les droits de la personne concernée[12] , ainsi que les conséquences potentielles du traitement[13] . Il est important de souligner que l’approche par couches peut être adoptée tant dans les scénarios en ligne que hors ligne. Dans ce dernier cas, le premier niveau peut être fourni oralement, puis une copie de la politique de protection des données peut être envoyée et/ou un lien vers la déclaration de confidentialité en ligne peut être partagé[14] .
  • Un tableau de bord de la vie privée : cette interface utilisateur permet aux personnes concernées de gérer manuellement leurs préférences en matière de traitement des données personnelles ;
  • Icônes, pop-ups, codes QR et alertes vocales, indiquant l’existence d’un type particulier de traitement des données personnelles ;
  • Fiches d’information, infographies, organigrammes, informations intégrées dans les contrats.

Outre les lignes directrices sur la transparence en vertu du règlement n° 2016/679 adoptées par le groupe de travail Article 29, plusieurs projets de recherche explorent actuellement la manière de rendre les informations plus accessibles aux personnes concernées, comme le RGPD by Legal Design Project[15] et le PROTECT ITN[16] .

Enfin, dans son avis préliminaire 2020, le Contrôleur européen de la protection des données examine l’intersection entre la tromperie, le consentement éclairé et le droit à l’information. D’une manière générale, la tromperie peut consister à dissimuler des informations dans les instructions données aux participants à la recherche, à ne fournir que des informations limitées sur l’objectif de la recherche ou même à tromper les participants en leur fournissant une “histoire de couverture” pour masquer le sujet réel de l’étude. Dans certaines expériences de psychologie connues sous le nom de “recherche couverte”, les sujets sont trompés sur ce qui est testé, ce qui est cité comme un facteur clé de succès car la connaissance de la nature exacte de la recherche modifierait le comportement des gens. [L’information des participants à la recherche, le consentement éclairé rétrospectif et l’approbation éthique spécifique avant le début de la recherche font partie des mesures visant à garantir le respect de l’éthique. Il n’en reste pas moins que ces pratiques sont apparemment en contradiction avec le droit à l’information, dès lors que les données sont collectées directement auprès de la personne concernée conformément à l’article 13 du RGPD[17] .

Liste de contrôle pour le respect du droit à l’information

Ce qu’il faut fournir :

☐ Si les données à caractère personnel ont été fournies directement par la personne concernée, fournir toutes les informations énumérées à l’article 13.1 du RGPD ;

☐ Si les données à caractère personneln’ont pas été fournies par la personne concernée, fournir toutes les informations énumérées à l’article 14.1 – 2 du RGPD ;

☐ Si les informations ont déjà été entièrement fournies à la personne concernée, il n’est plus nécessaire de se conformer à cette obligation.

Quand les fournir :

☐ Au moment où les informations ont été collectées auprès de la personne concernée ;

☐ Lorsque les données ne sont pas collectées auprès de la personne concernée :

☐ dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais au plus tard dans un délai d’un mois ;

☐ si les données à caractère personnel doivent être utilisées pour la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne ;

☐ si une communication à un tiers est envisagée, au plus tard lors de la première communication des données à caractère personnel.

Comment les fournir :

☐ De manière concise ;

☐ En toute transparence ;

☐ De manière intelligible ;

☐ Facilement accessible ;

☐ Dans un langage clair et simple.

Exemptions :

☐ Lorsque la personne concernée dispose déjà de toutes les informations pertinentes ;

☐ Si les données à caractère personneln’ont pas été fournies par la personne concernée :

☐ Lorsque la fourniture d’informations est impossible ou disproportionnée.

 

  1. Groupe de travail Article 29 sur la protection des données (éd.), “Lignes directrices sur la transparence en vertu du règlement n° 2016/679 “, 2018, WP260 rev.01, p. 7.
  2. Ibid.
  3. Comme leur titre l’indique, ces deux documents fournissent au lecteur des conseils pour rédiger plus clairement. Ils sont disponibles à l’adresse suivante : https://ec.europa.eu/info/sites/info/files/clear_writing_tips_en.pdf ; https://op.europa.eu/en/publication-detail/-/publication/725b7eb0-d92e-11e5-8fea-01aa75ed71a1/language-en [dernier accès : 30.10.2020].
  4. Voir par exemple, I. Milkaite & E. Lievens, ‘Child-Friendly Transparency of Data Processing in the EU : From Legal Requirements to Platform Policies’, Journal of Children and Media, 2020, Vol. 14, No. 1, pp. 5-21.
  5. Agencia Española de Protección de Datos Personales, El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles, p. 2. À l’adresse : https://www.aepd.es/sites/default/files/2019-11/nota-tecnica-apps-moviles.pdf (consulté le 6 novembre 2020).
  6. Conseil européen de la protection des données, Document sur la réponse à la demande de la Commission européenne de clarifications sur l’application cohérente du RGPD axée sur la recherche en santé, adopté le 2 février 2021, p. 9, disponible à l’adresse :https://edpb.europa.eu/sites/default/files/files/file1/edpb_replyec_questionnaireresearch_final.pdf [dernier accès : 28.06.2021]
  7. Groupe de travail Article 29 sur la protection des données, ” Lignes directrices sur la transparence en vertu du règlement n° 2016/679 “, op. cit. p. 29.
  8. Pour plus de détails sur le test de compatibilité, voir le groupe de travail Article 29 sur la protection des données (éd.), “Avis 03/2013 sur la limitation de la finalité”, 2013, p. 13 WP 203 00569/13/EN.
  9. Conseil européen de la protection des données, op. cit. p. 6.
  10. M. Arcand, J. Nantel, M. Arles-Dufour &A. Vincent, ‘The Impact of Reading a Web Site’s Privacy Statement on Perceived Control over Privacy and Perceived Trust, Online Information Review, 2007, Vol. 31, No. 5, pp. 661-681 ; J. A. Obar &A. Oeldorf-Hirsch, ‘The Clickwrap : A Political Economic Mechanism for Manufacturing Consent on Social Media’, Social Media + Society, 2018, Vol. 4, No. 3, pp. 1-14 ; Y. Pan &G. M. Zinkhan, ‘Exploring the Impact of Online Privacy Disclosures on Consumer Trust, Journal of Retailing, 2006, Vol. 82, No. 4, pp. 331-338 ; B. Custers, S. van der Hof &B. Schermer, ‘Privacy Expectations of Social Media Users : The Role of Informed Consent in Privacy Policies : Privacy Expectations of Social Media Users’, Policy & Internet, 2014, Vol. 6, No. 3, pp. 268-295.
  11. Considérant 39, RGPD
  12. Groupe de travail Article 29 sur la protection des données (éd.), ” Lignes directrices sur la transparence en vertu du règlement n° 2016/679 “, op. cit. , p. 19
  13. Ibid. p. 20
  14. Pour plus d’informations : http://RGPDbydesign.cirsfid.unibo.it/
  15. Pour plus d’informations : https://protect-network.eu/research/
  16. Contrôleur européen de la protection des données, “A Preliminary Opinion on Data Protection and Scientific Research”, 2020 disponible à l’adresse : https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf [dernier accès : 30.10.2020].

 

Aller au contenu principal