Quels sont les principaux apports des lignes directrices sur la transparence du 29 novembre 2017 révisées le 11 avril 2018 ?
La transparence, plus qu’une simple obligation légale1)Article 5.2 du RGPD et, de plus en plus morale pour les entreprises, matérialise la pierre angulaire du RGPD2)Règlement Général sur la Protection des Données nº 2016-679 du 27 avril 2016 (« RGPD »).. Elle est, intrinsèquement, liée tant à l’équité d’un traitement de données personnelles qu’au nouveau principe dit d’« accountability »3)A cet égard, si la traduction officielle fait usage de « principe de responsabilité », et que la CNIL utilise le terme anglais, nous estimons que … Continue reading. Du point de vue de la personne concernée, la transparence permet de susciter sa confiance, par la fourniture des éléments de réponses aux grandes questions relatives aux traitements considérés : par qui, pour quoi et comment ses données seront utilisées. Et lorsque qu’il est requis, le consentement verra sa validité conditionnée à cette transparence, faute de quoi il ne saurait être « éclairé »4)Sur ce point, voir Consentement : Le Faux-Amis des Bases Légales ?, Armingaud C.-E., Ligot A., Revue Lamy Droit de l’Immatériel nº 160 … Continue reading.
Compte tenu de l’importance du sujet, le CEPD a adopté des lignes directrices sur ce sujet le 29 novembre 20175)Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 WP260 rev.01 (« Lignes Directrices » – par souci … Continue reading, révisées le 11 avril 2018. Ces lignes directrices visent à détailler et décliner de manière didactique l’obligation de transparence à la pratique des entreprises, et orienter l’approche que les responsables de traitement devraient adopter, en intégrant à leurs mesures de transparence les notions d’équité et de responsabilité.
I. – LA TRANSPARENCE OU LA CONDITION DE LA CONFIANCE
Aux termes de l’article 12 du RGPD, toute information ou communication relatives au traitement des données personnelles se doit de respecter les règles suivantes :
- être concise, transparente, compréhensible et aisément accessible ;
- employer des termes clairs et simples (particulièrement si l’information est destinée aux enfants ou tout autre typologie de destinataire dits « vulnérables ») ;
- être fournie par écrit (ou toute voie appropriée, y compris électronique) ou par oral lorsque la personne concernée en fait la demande ; et
- être fournie gratuitement (généralement).
Cependant, peut-être par fidélité zélée au grand principe des lois générales et impersonnelles, le RGPD ne définit pas plus avant la transparence, même si son Considérant 39 prévoit trois caractéristiques pour ces informations : « aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples ».
En premier lieu, le principe de transparence a vocation à s’appliquer de manière universelle :
- quelle que soit la base légale du traitement considéré – si le choix entre les six bases légales demeure à la discrétion raisonnée du responsable, et que le consentement n’est pas obligatoirement une nécessité, il ne peut être fait l’impasse sur l’information des personnes ; et
- tout au long du cycle de vie du traitement – dès la collecte (qu’elle soit effectuée directement auprès d’une personne concernée ou indirectement), lors de toute communication en aval, et plus spécifiquement aux moments clés du traitement, notamment en cas de violation de données ou de modification substantielle des conditions du traitement.
Pour autant, ces règles laissent aux entreprises une latitude d’appréciation pour adapter l’information à leurs modes de communication habituels et à leur connaissance de la situation des personnes concernées.
II. – LA TRANSPARENCE EN PRATIQUE : UNE INFORMATION ACCESSIBLE
L’exigence d’une information transparente implique que le responsable de traitement présente les informations de façon efficiente et succincte.
Pour ce faire, les informations relatives au traitement mis en œuvre doivent être clairement différenciée des autres informations, sans lien avec la vie privée. Ainsi, la dissociation entre d’une part, politique de confidentialité, charte sur la vie privée ou tout autre document explicitement dédié aux données personnelles regroupant les informations requises par le principe de transparence, et, d’autre part, conditions d’utilisation, d’inscription ou de vente, doit être opérationnelle et fonctionnelle. Là encore, les dérives des pratiques antérieures, et des dizaines d’écran d’information souvent validés de manière purement mécanique, ont pu motiver cette exigence, aux fins de guider les personnes concernées vers un accès privilégié aux détails des traitements. Ce n’est plus tant la personne qui doit aller à l’information (voire à la pêche de celle-ci), mais bien l’information qui vient à la personne…
A cet égard, les Lignes Directrices peuvent surprendre par leur avant-gardisme et l’invocation de la possibilité de communiquer l’information aux personnes concernées, au moyen d’un qR code, tant que l’information reste aisément accessible et nécessairement visible, tant par son emplacement que par les choix des couleurs et de la typographie opérés.
Les Lignes Directrices réitèrent également que cette information soit rendue accessible au plus tard au moment de la collecte d’information, notamment au travers d’une mention d’information, préalable potentiel à une information plus complète et vecteur de clarté pour les personnes concernées (voir supra).
Cependant, après une année de mise en pratique, et alors que la flexibilité avancée par les Lignes Directrices appelait les acteurs des écosystèmes concernés à développer de bonnes pratiques, la disparité toujours constatée à présent souligne que si la transparence est une évidence, son acception n’est pas universellement partagée.
III. – LA TRANSPARENCE EN PRATIQUE : UNE INFORMATION CLAIRE ET COMPRÉHENSIBLE
Sans compréhension de l’information qu’elle contient, la transparence n’est rien. Les Lignes Directrices réitèrent ainsi la nécessité d’une utilisation de termes clairs et simples, et proscrivent tout recours aux jargons juridiques, techniques ou spécialisés, ou aux formules volontairement complexes que certains peuvent affectionner outre-Atlantique.
Au-delà de l’excès de jargon, les Lignes Directrices proscrivent également l’entretien volontaire d’un flou parfois artistique sur les finalités envisagées pour les données collectées, notamment au travers de l’utilisation d’auxiliaires de modalité (devoir, pouvoir, etc.) couplés à des utilisations potentielles ou futures. Ici encore, la critique des pratiques passées, souvent d’initiative anglo-saxonne, se fait sentir En tout état de cause, elle souligne que la transparence est mobile dans le temps et toute utilisation, quand bien même compatible avec les finalités initiales, devra faire l’objet de complément d’informations… en temps voulu.
Dès lors, c’est une obligation intrinsèque au principe de responsabilisation qui repose sur les épaules du responsable du traitement, qui doit être en mesure de démontrer la bonne compréhension par les personnes concernées6)Le CEPD invite à cet égard les responsables de traitement, en cas de doute, à tester les moyens de communication retenus, par exemple au moyen de … Continue reading, prenant compte de leurs statuts, de leur expérience et des produits et services concernés. Et c’est une analyse in concreto qui s’imposera, aux responsables comme autorités de supervision sur l’efficience de la communication.
In fine, la personne concernée doit être en mesure de comprendre à l’avance la portée et les conséquences du traitement pour lequel elle donne accès à ses données personnelles.
Corollairement, la transparence ne saurait être pertinente si elle ne détaillait pas les traitements de données mis en œuvre par le responsable de traitement – une telle exigence implique donc nécessairement que ce dernier les ait déjà identifiés !
Dans la course effrénée à la conformité, de nombreux acteurs se sont préoccupés en priorité sur un vernis extérieur, en mettant à jour leur documentation externe. Pourtant, cette documentation ne peut intervenir qu’en bout de chaine de l’analyse interne par les responsables de traitement, tenus d’avoir une visibilité à 360º de leurs traitements.
Là encore, les Lignes Directrices appelait de leurs vœux les acteurs à innover ensemble et définir des modalités sectorielles permettant de véhiculer une information complète qui soit également claire, notamment par le biais de dessins, pictogrammes, bandes dessinées, animations ou vidéos… À en juger par les murs de textes toujours plus présents aujourd’hui, un certain conservatisme demeure de mise, non pas, pour une fois, du fait du régulateur mais des acteurs eux-mêmes.
IV. – LA TRANSPARENCE : UNE APPARENCE ?
Les développements à vocation pédagogique du CEPD rappellent que la transparence est centrée autour de l’utilisateur, soulignant si besoin en était que la protection des données est une question de droits des personnes et non de simple patrimonialité. En conséquence, si l’exhaustivité des informations à communiquer aux personnes en vertu des articles 13 et 14 du RGPD est essentielle, la transparence ne dépend pas que du respect aveugle d’une obligation légale de déclamer un inventaire à la Prévert. Ainsi, « la qualité, l’accessibilité et l’intelligibilité des informations sont aussi importantes que le contenu réel des informations en matière de transparence devant être fournies aux personnes concernées »7)Lignes Directrices, § 4.
Dès lors, il existe un conflit inhérent entre l’exigence, d’une part, de communiquer aux personnes concernées des informations complètes RGPD et, d’autre part, de le faire de manière concise, transparente, compréhensible et aisément accessible.
L’exercice de funambulisme rédactionnel peut sembler périlleux. N’en déplaise à Boileaux, et si « ce qui se conçoit bien s’énonce clairement », l’accumulation conséquente d’éléments énoncés clairement mène nécessairement à une complexité antithétique du principe de transparence. Le dénouement de ce nœud gordien conseillé par le CEPD résulte de la hiérarchisation les informations à fournir en fonction de la nature, des circonstances, de la portée et du contexte du traitement et de prévoir une approche à différents niveaux8)Ici encore, l’utilisation du terme « niveau » dans la version française ne nous semble pas communiquer la superposition intrinsèque des … Continue reading :
La première strate devra permettre à la personne concernée de bénéficier d’un aperçu clair des informations concernant le traitement de ses données personnelles, ainsi que de la manière d’accéder aux informations détaillées. Toute information susceptible de surprendre la personne quant au traitement de ses données devrait également être fourni dès cette première exposition à la « carte d’identité » du traitement.
La seconde strate, plus complexe, devra fournir les informations complémentaires, mais toujours dans un langage aisément compréhensible – notamment à travers d’une présentation en sections cohérentes – et non contradictoire de la première strate.
En tout état de cause, le nombre de paramètres tant informationnels que de publics visés impose la rédaction précise des différentes strates d’information, incompatible avec l’utilisation de politiques-types qui semblent pourtant pulluler depuis plus d’un an.
Après un an de mise en pratique, et malgré la flexibilité encouragée par le CEPD, force est de constater que l’avant-gardisme mentionné précédemment ne semble pas encore avoir percolé jusqu’à la CNIL.
Si les décisions rendues par la CNIL demeurent encore à ce jour limitées, ses mises en demeure publiques pointeraient vers une exigence d’information exhaustive dès la première strate.
Une telle approche, si elle n’est pas infléchie dans les prochains mois et dans les sentences finales, obligerait les entreprises à fournir systématiquement aux personnes concernées un large volume d’information, au détriment et de la clarté et de l’ergonomie des services en ligne.
Le risque d’un excès de zèle mènerait à des utilisateurs submergés d’information, incapables de faire la différence entre ce qui est important et ce qui le serait moins, soit l’exact opposé du but recherché par le RGPD et ses Lignes Directrices.
Une telle situation mettrait notamment à mal tout choix éclairé, en particulier celui si prisé par certains régulateurs : le consentement, qui ne pourrait alors que constater que « La transparence m’a tuer »
Première publication : Revue Lamy Droit de l’Immatériel, Nº 161, 1er juillet 2019, avec Violaine Sélosse, avec l’aimable autorisation de Lionel Costes
References
↑1 | Article 5.2 du RGPD |
---|---|
↑2 | Règlement Général sur la Protection des Données nº 2016-679 du 27 avril 2016 (« RGPD »). |
↑3 | A cet égard, si la traduction officielle fait usage de « principe de responsabilité », et que la CNIL utilise le terme anglais, nous estimons que la locution « principe de responsabilisation » serait plus adapté à illustrer l’autorégulation des acteurs, préalablement aux éventuels contrôles opérés par les régulateurs. |
↑4 | Sur ce point, voir Consentement : Le Faux-Amis des Bases Légales ?, Armingaud C.-E., Ligot A., Revue Lamy Droit de l’Immatériel nº 160 – juin 2019 |
↑5 | Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 WP260 rev.01 (« Lignes Directrices » – par souci d’homogénéité et dans la mesure où les Lignes Directrices ont été avalisées par le Comité Européen pour la Protection des Données (« CEPD »), nous parlerons par la suite du CEPD et non du G29). |
↑6 | Le CEPD invite à cet égard les responsables de traitement, en cas de doute, à tester les moyens de communication retenus, par exemple au moyen de panels d’utilisateurs, de tests de lisibilité, ou d’échanges avec des organisations représentatives des intérêts des consommateurs. |
↑7 | Lignes Directrices, § 4 |
↑8 | Ici encore, l’utilisation du terme « niveau » dans la version française ne nous semble pas communiquer la superposition intrinsèque des strates d’information successives. Nous utiliserons donc le terme « strates » ici. |