La liste des informations à dispenser

• Thiébaut Devergranne

L’essentiel : La loi impose au responsable de dispenser une série d’informations légales, qui varie selon la manière dont les données sont collectées. La CNIL est vigilante quant au respect de cette obligation, car elle est le préalable à l’exercice des droits d’accès, de rectification ou d’opposition ; en cela elle n’hésite pas à sanctionner leur absence.

 

Précédent : Mentions légales
Suite : Les exceptions

 

Les informations imposées

1. – Si pesante soit-elle, il n’en reste pas moins que cette obligation d’information doit être exécutée. Si l’on omet quelques exceptions particulières (l’art. 32, par exemple, n’est pas applicable aux traitements réalisés aux fins de journalisme et d’expression littéraire et artistique mentionnés à l’article 67, ainsi qu’aux traitements ayant pour finalité la recherche en matière médicale qui répondent à un régime plus spécifique), la loi distingue deux situations, qui déterminent le nombre de mentions à apporter.

2. – Lors de la collecte des données personnelles, elle impose par principe de préciser 7 points :

  • l’identité du responsable du traitement et, le cas échéant, celle de son représentant ;
  • la finalité poursuivie par le traitement auquel les données sont destinées ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • les destinataires ou catégories de destinataires des données ;
  • les droits dont disposent les personnes à l’égard de ces données (essentiellement les droits d’opposition, d’accès et de rectification)
  • le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.

Ces informations devront être énoncées directement (et en caractères lisibles) sur le support de collecte, sauf si la personne a été informée préalablement.

3. – Le principe souffre toutefois d’une exception. La loi, en effet, réduit à quatre le nombre d’informations à dispenser dans le cas particulier où les données sont recueillies par voie de questionnaire. Alors il conviendra seulement informer de :

  • l’identité du responsable du traitement et, le cas échéant, celle de son représentant ;
  • la finalité poursuivie par le traitement auquel les données sont destinées ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les droits dont disposent les personnes à l’égard de ces données (principalement les droits d’opposition, d’accès et de rectification).

Dans ce dernier cas, rien n’interdit toutefois de mentionner les autres prescriptions légales, on ne gagnera rien sinon peut-être la sollicitude de la CNIL et son aimable considération.

4. – Celle-ci, toutefois, n’est pas à négliger ; en témoigne la sanction pécuniaire (10.000 euros) dont a fait les frais une société, pour avoir – entre autres – utilisé des mentions incomplètes lors de la mise en œuvre d’un dispositif de vidéosurveillance. La société s’était contentée de porter la mention suivante dans le contrat de travail d’un salarié : « la salariée est informée qu’un système de vidéosurveillance est installé dans tous les sites de l’entreprise ». La CNIL sanctionnait la société tout en rappelant que faisaient défaut : les finalités poursuivies, les destinataires des images ainsi que les modalités concrètes de l’exercice du droit d’accès dont disposent les personnes concernées. Naturellement, c’est bien l’ensemble des mentions légales qui doit être dispensé et non l’une ou l’autre de celles-ci.

5. – Une seconde illustration de l’importance des mentions légales peut également être trouvée dans la décision de la Cour d’appel d’Agen du 1er octobre 1997, qui offre un exemple, cette fois-ci judiciaire, des conséquences de leur insuffisance. En effet, dans cette espèce une entreprise avait mis en place un traitement de données personnelles permettant l’informatisation de son système de paye, faisant appel à une entreprise externe pour l’envoi des bulletins de salaire par voie postale. Des salariés mécontents avaient introduit une action prud’hommale afin d’obtenir que leurs bulletins leur soient remis directement en main propre. La Cour condamnait la société au motif que le traitement n’avait ni fait l’objet d’une déclaration, ni respecté les mentions d’information obligatoires. Le tribunal notait à cette occasion : « aux termes de la loi du 6 janvier 1978, les entreprises privées ont l’obligation, avant de mettre en place un traitement automatique d’information nominatives, d’en faire la déclaration auprès de la CNIL tandis que l’article 27 de ladite loi prescrit que les personnes auprès desquelles sont recueillies des informations nominatives doivent être informés du caractère obligatoire ou facultatif des réponses, des conséquences à leur égard d’un défaut de réponse, des personnes physiques ou morales destinataires des informations et de l’existence d’un droit d’accès et de rectification. »

6. – Au-delà des juridictions judiciaires, le Conseil d’Etat a également précisé l’étendue des obligations d’information dans une affaire dans laquelle une société demandait l’annulation d’une délibération de la CNIL qui avait prononcé des sanctions financières à son encontre (5000 euros). A cette occasion le Conseil considérait que : « ni le document intitulé « charte informatique » qui, s’il indique que l’employeur se réserve le droit d’accéder à la messagerie informatique des salariés, ne comporte aucune des informations requises (…), ni les stipulations des contrats de travail qu’elle conclut avec ses employés, aux termes desquelles le salarié « accepte que ses données soient traitées par C. » et « dispose d’un droit d’accès et de rectification sur les informations nominatives les concernant »(…) ne permettent de porter à la connaissance des salariés dont les données personnelles sont traitées par la société C, l’intégralité des informations qu’elle est tenue de leur donner en application des dispositions précitées de l’article 32« .

On le constate donc, le défaut de mentions légales est sujet à sanctions. Il existe cependant quelques cas particuliers dans lesquels ces mentions peuvent être omises.

Lire la suite : Les exceptions à l’obligation d’information

Le plan de l'article :

- La liste des informations imposées
- Les exceptions à l'obligation d'information 
- Les précisions du décret
- L'information lors de la collecte de données sur les réseaux électroniques
- Les obligations d'information en cas de collecte indirecte 
- Les sanctions à la violation de l'obligation d'information


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)