JurisDoR
JurisDoR
Data gouv logo

Traitement loyal et transparent

Les données personnelles doivent être collectées et traitées de manière licite, loyale et transparente vis-à-vis des personnes concernées. – Article 5, 1° du Règlement général sur la protection des données ; Article 4, 1° de la Loi informatique et libertés

Cela signifie que les personnes concernées doivent être informées de l'utilisation de leurs données et que le traitement ne doit pas les tromper ou leur causer un préjudice.

La transparence implique que toute personne concernée doit comprendre clairement quelles données sont collectées, dans quel but, comment elles sont utilisées et quels sont ses droits. Il résulte de ceci que l’absence d’information de la personne rend ipso facto la collecte et le traitement illicites.

Elle comporte trois aspects :

1. informer clairement les personnes concernées sur le traitement équitable de leurs données ;

2. communiquer efficacement sur les droits des personnes concernées ;

3. faciliter l'exercice de leurs droits.

G29, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, WP260, révisées le 11 avril 2018, p. 4

I. Obligation d'information du responsable du traitement

Le principe de transparence exige que toute information et communication relatives au traitement des données personnelles soient aisément accessibles, faciles à comprendre et formulées en des termes clairs et simples. – Considérant 39 du Règlement général sur la protection des données

Le responsable du traitement doit prendre des mesures appropriées pour fournir toutes les mesures appropriées pour fournir les informations à la personne concernée. Cette communication doit être concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. – Article 12 du Règlement général sur la protection des données

A. Information sur le traitement

Le principe prévu par les textes exige que l’information doive être effective et complète au regard des circonstances de la collecte. - Articles 12 à 14 du Règlement général sur la protection des données ; Article 48 de la Loi informatique et libertés

Le traitement loyal impose d'informer les personnes concernées, au moment où les données sont obtenues.Articles 13 et 14 du Règlement général sur la protection des données

Cette information doit être claire, compréhensible et facilement accessible

Elle concerne :

  • l'identité du responsable du traitement
  • les finalités du traitement et sa base juridique
  • les catégories de données concernées
  • les destinataires des données
  • la durée de conservation
  • les droits des personnes concernées (accès, rectification, opposition, etc.)

Si les données ne sont pas collectées directement auprès des personnes, elles doivent être informées dans un délai raisonnable.

L'absence d'information rendent le traitement illicite.

B. Information sur l'exercice des droits

L’information des personnes est le préalable à l’exercice des droits que ces personnes peuvent exercer : 

II. Exceptions à l'obligation d'information

A. Exceptions générales

Certaines dérogations au principe de transparence existent de manière générale lorsque :

  • la personne concernée dispose déjà de ces informations ;
  • l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ; ou
  • les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Article 14, 5° du Règlement général sur la protection des données

B. Exception de recherche scientifique

Les chercheurs doivent respecter le principe de loyauté et de transparence. Ainsi, l’information doit être fournie de manière claire et accessible dans les formulaires de collecte de données personnelles. 

Mais il est possible de tenir compte, à certains égards, des spécificités de la recherche. Plusieurs exceptions sont donc prévues pour faciliter les activités de recherche. La possibilité de déroger à certains principes pour des raisons liées à la recherche scientifique est prévue, de manière générale, par l'article 89, 2° et 3° du Règlement général sur la protection des données

De manière plus précise, concernant le droit à l'information de la personne concernée, le règlement prévoit la possibilité d'y déroger lorsque les données personnes sont traitées à des fins :

  • de recherche scientifique ou historique,
  • statistiques, ou
  • archivistiques dans l'intérêt public.

Ainsi, dans le cadre d’une activité de recherche scientifique, le principe d'information de la personne concernée est écarté lorsque l'application du droit à l'information :

  • risquerait de rendre impossible à fournir ou exigerait des efforts disproportionnés, ou
  • compromettrait gravement les objectifs du traitement.

Les informations concernées par la dérogation sont les informations relatives à l'identité et coordonnées du responsable de traitement, aux coordonnées du délégué à la protection des données, aux finalités du traitement, aux catégories de données personnelles concernées, aux destinataires des données, à l'intention d'effectuer un transfert de données, à l'intention d'effectuer un traitement ultérieur, à la durée, à l'intérêt légitime poursuivi, aux droits d'accès, de rectification ou d'effacement, au droit de retrait du consentement, au droit d'introduire une réclamation auprès d'une autorité de contrôle, à la source des données, à l'existence d'une prise de décision automatisée.

- Article 14, 5° du Règlement général sur la protection des données

⚠︎ Attention

Ces exceptions s'appliquent sous réserve de dispositions particulières, notamment dans le domaine des données de santé.