Les mentions d'information RGPD

Les mentions d’information RGPD font partie des mentions obligatoires qu’il est important de respecter. En effet, celles-ci vont permettre de montrer ostensiblement qu’une organisation est en conformité ou non avec le règlement européen.

On verra la liste des informations à dispenser avant de voir un exemple pratique

I - La liste des informations à fournir pour être conforme au RGPD

Les informations à dispenser aux personnes dont on collecte les données personnelles sont les suivantes:

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
  • le cas échéant, les coordonnées du délégué à la protection des données;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
  • lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
  • les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent;
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition

En outre les informations complémentaires suivantes :

  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
  • lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle;
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

A noter que le responsable du traitement n’est pas obligé de fournir ces informations si une personne à déjà été informée une première fois.

II - Un exemple pratique de mentions RGPD

Voici un exemple pratique de mention d’information :

L’inscription vous permet de télécharger le guide et recevoir des communications sur la conformité au RGPD ainsi que nos offres de produits et de services ; la base légale est l’article 6.1.a du règlement européen en matière de protection des données personnelles (consentement) ; les destinataires de données sont le responsable de traitement, ses services internes en charge de la gestion de la mailing list, le sous-traitant opérant la gestion du serveur web (Dupond Durand), ainsi que toute personne légalement autorisée à accéder aux données (services judiciaires, le cas échéant). La durée de traitement des données est limité au temps pendant lequel vous êtes inscrit à nos services de communication, étant entendu que vous pouvez retirer votre consentement et vous désinscrire à tout moment en cliquant sur le lien de désinscription en bas de chaque email. Le serveur sur lequel est hébergé la mailing list est hébergé par Durand Durand, ce qui implique que vos données peuvent être transférées hors UE dans le cadre de l’article 46.2.d du RGPD – Durand Durand ayant fourni les clauses de protection adéquates sur le modèle établit et approuvé par la Commission européenne. Vous pouvez trouver plus d’informations sur ces clauses ici : https://durand.durand. Vous disposez du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données. Le responsable du traitement est la SARL Dupont Dupont. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle. La fourniture de votre email est nécessaire pour recevoir les communications susmentionnées, et est entièrement facultative.

Si vous souhaitez une explication détaillée pas à pas sur comment mettre en places ces mentions légales, jetez un oeil à ce article ; vous pouvez également vous inscrire à nos formations RGPD afin de développer votre expertise sur le sujet.

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
RGPD (ressources essentielles)
VOS CGV (gratuites)