Pensez à afficher vos mentions RGPD !

• Thiébaut Devergranne

Pensez à afficher vos mentions légales RGPP lorsque vous collecter des données à caractère personnel c’est extrêmement important ! En fait, cela fait partie des mesures les plus importantes lorsque l’on commence un processus de conformité - lorsqu’on s’assure qu’un traitement de données à caractère personnel et bien en conformité avec le règlement européen. Et il y a deux raisons à cela…

Pour montrer qu’un travail de conformité a été fait

Une première tient au fait que ça permet de montrer de manière assez ostensibles que des efforts de conformité on été fait. Que vous avez déjà réfléchi et mis en place des actions de conformité par rapport à un traitement donné.

C’est un premier élément important, en termes de communication, car lorsqu’on fait un audit - lorsque l’on va analyser effectivement si une organisation respecte le RGPD, on regarde de manière globale les traitements de données à caractère personnel qui sont mis en oeuvre.

Et évidemment on voit assez rapidement si une personne a fait des efforts de ce côté. Alors que vous collectez des données à caractère personnel, vous devez afficher un certain nombre de mentions légales notamment relatives à l’identité du responsable de traitement, et aux finalités par exemple.

Ainsi, on voit immédiatement si ces mentions ne sont pas présentes qu’en réalité il y a des problèmes.

Donc ça c’est un premier élément qui a à la fois un élément de représentation de communication, ce qui est important et qui va aussi montrer en fait l’ampleur du travail qui a été fait ou pas fait justement par rapport à à ces données à caractère personnel au enfin pas pour la mise en conformité donc

Pour assurer la protection des droits des personnes

Une seconde raison d’afficher clairement ses mentions légales tient au fait que la CNIL est extrêmement sensible par rapport à la présence de ces mentions.

Cela simplement pour une raison qui est que elle considère que si les personnes n’ont pas été informés, elles ne peuvent pas ensuite faire valoir leurs droits.

C’est-à-dire que si vous n’informez pas une personne au moment de la collecte qu’effectivement elle a un droit d’accès, qu’elle peut demander la modification, la rectification de ces données, et bien elle ne pourra pas faire valoir ses droits sur ses données.

Donc d’une certaine manière cela revient à priver cette personne ses droits.

Comment afficher autant d’informations sans perturber l’expérience utilisateur ?

Une difficulté à gérer à partir du moment où l’on décide d’afficher l’ensemble de ces mentions est que le volume d’information est gigantesque !

Il y a, en effet, énormément d’informations à afficher à l’utilisateur : le fait que la personne a un droit d’accès, de modification, de rectification sur ses données, l’existance de transferts hors de l’union européenne, les délais de conservation des données…

Il y a donc un énorme bloc à écrire, ce qui pose une problématique de gestion très pratique très opérationnelle, à savoir comment on fait pour afficher ces mentions légales à utilisateur sans trop perturber à la fois l’expérience utilisateur, et s’assurer que la personne puisse vraiment voir ces mentions

Ce sont des impératifs qui sont qui sont difficiles à concilier et qui sont pas évident.

Pour rajouter encore une couche de complexité supplémentaire, le règlement européen vous dit qu’il faut informer l’utilisateur “de manière de façon concise, transparente, compréhensible et clairement accessible, en termes clairs et simples”…

Une manière de fonctionner - et c’est la manière recommandée par la CNIL, c’est de donner sa priorité un certain nombre d’informations - telles que par exemple l’identité du responsable de traitement, les finalités du traitement et les droits des personnes. Cette doctrine est intéressante mais elle n’est pas inscrite dans le règlement européen, c’est la vision de la CNIL de l’application des articles 12 et 13.

Personnellement, j’ai tendance à plutôt conseiller une approche qui qui double par rapport à ça, c’est-à-dire d’informer de manière simple - et de manière complète sur le même support de collecte des données. Voici un exemple :

Si vous n’êtes pas certain de comment gérer ces obligations, retrouvez-nous en formation conformité RGPD pour apprendre l’ensemble du processus de conformité imposé par le RGPD et disposer d’une méthodologie précise et opérationnelle qui vous aidera à avancer.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)