G29, Guidelines on Transparency under Regulation 2016/679, WP260
Le Groupe de l’Article 29 (G29) a publié, le 12 décembre 2017, des lignes directrices sur la transparence dans le RGPD. Ces lignes directrices s’ajoutent à celles sur le consentement dans le RGPD publiées le même jour et font l’objet d’une consultation publique jusqu’au 23 janvier 2018, consultation à l’issue de laquelle ces lignes directrices pourront faire l’objet d’aménagements.
Le plan du document
Les lignes directrices rassemblent des recommandations pratiques afin de garantir l’accès des personnes concernées à une information complète, facilement accessible et compréhensible, avant et pendant le traitement et approfondissent les points suivants :
- Notion de transparence ;
- Critères de la transparence dans le RGPD ;
- Informations à fournir aux personnes concernées (articles 13 et 14) ;
- Informations quant aux traitements ultérieurs ;
- Outils de visualisation ;
- Exercice des droits des personnes concernées ;
- Exceptions aux droits des personnes concernées (article 23) ;
- Transparence et violations des données.
Les points importants à retenir
Les lignes directrices abordent entre autre le sujet du « trop-plein » d’information. Le G29 rappelle qu’il incombe aux responsables de traitement de présenter et de communiquer l’information aux personnes concernées de façon intelligible et succincte afin d’éviter l’excès d’information. Les informations relatives à la vie privée devront être présentées distinctement des autres informations. Le G29 recommande que les politiques de confidentialité présentent les différents thèmes par section, de façon à ce que les personnes concernées puissent consulter rapidement les sections qui les intéressent et ainsi éviter l’écueil de l’excès d’information.
Les lignes directrices abordent l’accessibilité de l’information sur les applications pour smartphones. Il est recommandé, à titre d’exemple, que lorsqu’une application est installée, la politique de confidentialité ne soit jamais à plus de deux « taps ». Pour de nombreuses applications, cela implique l’ajout d’une section « confidentialité / protection des données » accessible à partir du menu.
Le document WP29 fournit également plusieurs exemples d’expressions qui ne seraient pas considérées comme d’« un langage clair et simple » :
- « Nous pourrons utiliser vos données personnelles pour développer de nouveaux services » – Cette expression ne fournit pas d’information sur les services concernés ou de l’utilisation faite de ces données pour développer ces nouveaux services;
- « Nous pourrons utiliser vos données personnelles à des fins de recherche » – Cette expression ne donne pas d’information sur le type de recherche auquel il est fait référence et ;
- « Nous pourrons utiliser vos données personnelles pour offrir des services personnalisés » – Cette expression ne donne pas d’information sur ce que la personnalisation implique.
Une annexe des lignes directrices résume les catégories d’informations devant être fournies au titre des articles 13 et 14. Le G29 considère que toutes ces informations sont d’importance égale.
S’agissant de l’utilisation d’icônes pour la fourniture de ces informations, telle que prévue à l’article 12, paragraphe 7 du RGPD[1], les lignes directrices précisent que leur utilisation effective dépend de leur normalisation. À cet égard, le G29 recommande qu’une recherche approfondie soit menée avec l’industrie et le grand public pour l’élaboration d’un référentiel d’icônes.
Il est possible de présenter des commentaires auprès du G29 sur ce document jusqu’au 23 janvier 2018. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
[1] Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine