Comment mettre en place vos mentions légales RGPD

• Thiébaut Devergranne

Le règlement européen en matière de protection des données personnelles impose de nombreuses obligations dont une essentielle qui est d’informer les personnes dont les données sont collectées de certaines mentions spécifiques. Pour simplifier, on parle de « mentions légales RGPD« , qu’il faut afficher lors de la collecte des données personnelles. Attention toutefois, ces mentions RGPD se cumulent avec les autres mentions légales classiques qu’il faut également mettre en oeuvre (!).

Pour les juristes, les obligations d’informations imposées par le RGPD sont définies précisément aux articles 13 et 14 du règlement, avec en plus l’article 12 qui définit des prescriptions générales à l’attention des responsables de traitement qu’il faut respecter. On se concentrera ici sur les obligations imposées par l’article 13 – c’est-à-dire les informations à disposer lorsque les données personnelles sont collectées directement auprès des utilisateurs eux-même.

Pour vous aider dans votre rédaction, voici un exemple concret qui vous permettra de voir à quoi ressemble le résultat final et qui pour l’essentiel est tiré de mes propres formulaires d’inscription à ma newletter :

_L’inscription vous permet de télécharger le guide et recevoir des communications sur la conformité au RGPD ainsi que nos offres de produits et de services ; la base légale est l’article 6.1.a du règlement européen en matière de protection des données personnelles (consentement) ; les destinataires de données sont le responsable de traitement, ses services internes en charge de la gestion de la mailing list, le sous-traitant opérant la gestion du serveur web (Dupond Durand), ainsi que toute personne légalement autorisée à accéder aux données (services judiciaires, le cas échéant). La durée de traitement des données est limité au temps pendant lequel vous êtes inscrit à nos services de communication, étant entendu que vous pouvez retirer votre consentement et vous désinscrire à tout moment en cliquant sur le lien de désinscription en bas de chaque email. Le serveur sur lequel est hébergé la mailing list est hébergé par Durand Durand, ce qui implique que vos données peuvent être transférées hors UE dans le cadre de l’article 46.2.d du RGPD – Durand Durand ayant fourni les clauses de protection adéquates sur le modèle établit et approuvé par la Commission européenne. Vous pouvez trouver plus d’informations sur ces clauses ici : https://durand.durand. Vous disposez du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données. Le responsable du traitement est la SARL Dupont Dupont. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle. La fourniture de votre email est nécessaire pour recevoir les communications susmentionnées, et est entièrement facultative._

Voici donc pas à pas comment rédiger et mettre en place vos mentions RGPD !

Etape 1 : définissez l’étendue de votre traitement

La première étape est de déterminer la finalité de votre traitement – ou autrement dit, pourquoi vous collectez des données personnelles. L’obligation est imposée par l’article 13.1.c que je reproduit ici :

« le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes (…) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement; »

Voici typiquement quelques exemples simples de traitements de données personnelles :

  • newsletter
  • recrutement des personnels de l’entreprise
  • gestion des badges internes (droits d’accès)
  • gestion de la carte cantine

L’élément à bien cerner est de déterminer le périmètre du traitement – qui n’est pas une question simple en réalité et qui va avoir d’importantes conséquences juridique. Par exemple, est-ce que vous voulez collecter les données pour une newsletter ou dans un CRM qui comporte une newsletter ?

La définition de vos finalités est essentielle à ce titre. Lors de notre dernière session de formation, nous avons discuté assez largement de la question, j’ai fait une vidéo pour vous donner quelques lignes directrice à ce sujet :

Une fois que vous avez isolé l’étendue du traitement – il faudra alors procéder à une rédaction des finalités – de manière large si possible, car il faut s’assurer de ne pas traiter ces données ultérieurement de manière incompatible avec ce qui a été déclaré à l’origine à l’utilisateur (obligation imposée par l’article 5.1.b: les données devant être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités« ).

Dans le cadre de ma newsletter, voici ce que j’ai indiqué :

L’inscription vous permet de télécharger le guide et recevoir des communications sur la conformité au RGPD ainsi que nos offres de produits et de services.

Il est important d’indiquer les finalités commerciales si vous en prévoyez.

Etape 2 : définir la base légale (consentement, obligation légale…)

La seconde étape est de définir la base légale. L’article 13 le mentionne en même temps que la finalité du traitement, il faut donc indiquer l’une des six bases légales sur laquelle repose votre traitement qui sont définies dans l’article 6 :

  • le consentement des personnes (art. 6.1.a)
  • l’exécution d’un contrat, ou de mesure pré-contractuelles (art. 6.1.b)
  • une obligation légale (art. 6.1.c)
  • la sauvegarde des intérêts vitaux d’une personne (art. 6.1.d)
  • une mission d’intérêt public / autorité publique (art. 6.1.e)
  • les intérêts légitimes du responsable du traitement (art. 6.1.f) – mais attention à cette finalité elle est risquée et ne devrait être utilisée que très précautionneusement.

Par exemple, en ce qui concerne ma newsletter, notre base légale est le consentement. Si vous mettez en place un traitement de données personnelles dans le cadre d’un site e-commerce, par exemple pour la gestion des commandes et des achats, alors la base légale sera l’exécution contractuelle.

Une fois la base légale choisie, vous devrez l’indiquer dans vos mentions, voici la rédaction que j’ai choisi (mais on pourrait rédiger cela de manière plus claire) :

la base légale est l’article 6.1.a du règlement européen en matière de protection des données personnelles (consentement) ;

Etape 3 : indiquez les destinataires des données

L’étape suivante est définir les destinataires des données personnelles. Le RGPD opère ici un changement important avec la règlementation antérieure en exigeant de détailler assez précisément l’ensemble des personnes qui vont avoir accès aux données personnelles collectées.

L’article 13.1.e est clair à ce sujet vous devez indiquer :

les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent;

Dans la rédaction antérieure de la loi, il n’était pas obligatoire de préciser les personnes au sein des services du responsable du traitement qui avaient accès aux données personnelles, mais le RGPD est plus strict ici. Pour le comprendre, il faut se référer à l’article 4 qui définit la notion de destinataire : « «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ». 

De ce fait il sera important de détailler toutes les personnes ayant accès aux données. Voici ce que j’ai indiqué pour la newsletter :

les destinataires de données sont le responsable de traitement, ses services internes en charge de la gestion de la mailing list, le sous-traitant opérant la gestion du serveur web (Dupond Durand), ainsi que toute personne légalement autorisée à accéder aux données (services judiciaires, le cas échéant).

N’oubliez pas de mentionner l’autorité judiciaire qui peut également avoir accès, de par la loi, aux données personnelles (ex : en cas d’infraction pénale).

Etape 4 : déterminez la durée de conservation des données

C’est une des nouvelles règles imposées par le RGPD : il faut dorénavant expliciter aux personnes concernées la durée de conservation des données personnelles lorsque les données sont collectées. La règle est imposée par l’article 13.2.a qui demande à ce que la durée de conservation soit fixée par le responsable de traitement ou que, lorsque cette durée n’est pas possible à déterminer, d’expliciter les critères utilisés pour déterminer cette durée.

Dans notre exemple, voici ce que nous avons indiqué :

La durée de traitement des données est limité au temps pendant lequel vous êtes inscrit à nos services de communication, étant entendu que vous pouvez vous y désinscrire à tout moment.

A ce titre, il faut prendre en compte également les délais légaux qui déterminent parfois des durées spécifiques de conservation et de traitement (ex : la prescription en matière commerciale, ou les obligations particulières en matière de droit du travail, etc.).

Etape 5 : Indiquez si la fourniture des données est obligatoire ou non

L’exigeance est posée par l’article 13.2.e, le responsable du traitement étant tenu de fournir : « des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données« .

Dans l’exemple de la newsletter voici ce que j’ai indiqué :

La fourniture de votre email est nécessaire pour recevoir les communications susmentionnées, et est entièrement facultative.

Cela peut paraître assez paradoxal, car on se doute que la fourniture d’un email est nécessaire pour recevoir une newsletter… Mais la loi est la loi !

En général, il faut connecter votre rédaction avec la base légale initialement choisie – car si un responsable de traitement collecte des données en vertu d’une obligation légale – il faudra également l’indiquer à la personne concernée à ce moment. Typiquement, c’est le cas en matière de droit du travail ou droit de la sécurité sociale ou de nombreuses informations sont collectées afin d’assurer le respect d’obligations légales ce qu’il faudra indiquer simplement.

Etape 6 : Finalisez avec le reste des mentions obligatoires

Une fois tous ces éléments définis il ne vous reste plus qu’à ajouter l’ensemble des éléments obligatoires, qui consiste essentiellement à indiquer les prescriptions restantes de l’article 13, à savoir :

  • « l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement » (art. 13.1.a) ;
  • « le cas échéant, les coordonnées du délégué à la protection des données » (art. 13.1.b) – si vous n’avez pas de DPO vous n’indiquez rien ;
  • « l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données » (art. 13.2.b) – copier-coller ;
  • « le droit d’introduire une réclamation auprès d’une autorité de contrôle » (art. 13.2.d) – copier-coller.

Voici ce que j’ai indiqué pour la newsletter :

Le responsable du traitement est la SARL Dupont Dupont (ajouter l’adresse en question, ainsi qu’un point de contact).

Vous disposez du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données.  

Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle. 

Quelques cas particuliers à prendre en compte

A ce stade, vous avez indiqué l’essentiel. Mais l’article 13 mentionne tout de même certains cas particuliers, à savoir :

  • si le traitement met en place du profilage ou une prise de décision automatisée (ce cas est assez complexe et nécessite systématiquement une étude spécifique en raison des risques accrus qui présentent ce type de traitements)
  • en cas de transfert de données hors UE – c’est mon cas pour l’exemple de la newsletter puisque le serveur est hébergé sur Amazon Web Services – il faudra alors détailler les prescriptions de l’article 13.1.f qui sont assez complexes aussi puisqu’il faut isoler spécifiquement le cas qui autorise le transfert (cf. voici ce que dit l’article 13.1.f à ce sujet : « le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition » – et voici le détail de ma rédaction : « Le serveur sur lequel est hébergé la mailing list est hébergé par Durand Durand, ce qui implique que vos données peuvent être transférées hors UE dans le cadre de l’article 46.2.d du RGPD – Durand Durand ayant fourni les clauses de protection adéquates sur le modèle établit et approuvé par la Commission européenne. Vous pouvez trouver plus d’informations sur ces clauses ici : https://durand.durand. »)
  • si vous utilisez les intérêts légitimes du responsable du traitement comme base légale – ce qui est déconseillé – dans ce cas vous devrez indiquer en détail « les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers« .

Conclusion

La rédaction des mentions légales est un exercice passage obligé imposé par le RGDP, qui est important et pour lequel la CNIL est très sensible. En fait, mettre en place ses mentions légales est considérablement plus important que toutes les discussions que l’on trouve relativement à la case à cocher – j’ai fait une courte vidéo à ce sujet :

Attention a bien mettre en place vos mentions légales pour chaque traitement réalisé par l’organisation. L’idéal est de mettre en place un modèle type – ou d’utiliser des logiciels qui rédigent ces modèles pour vous comme Legiscope par exemple qui est très utile à ce titre.

Dernier point : il n’est pas forcément simple de gérer le volume d’information à dispenser. Le paradoxe est que le RGPD indique que le responsable du traitement doit s’assurer de mettre à dispositions ces mentions légales de manière claire et simple (considérant 58) : « Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu’il y a lieu, illustrée à l’aide d’éléments visuels. ».

La prescription est louable, mais il est tout de même difficile de ne pas rester interrogatif sur comment mettre cela en place en pratique considérant le volume d’informations à dispenser. Si vous avez une idée de solution, n’hésitez pas à nous en faire part dans les commentaires ce sera une contribution très utile !


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)