RGPD – Modèle de mentions conformes au RGPD, pour la collecte de données personnelles auprès des personnes concernées

Auteurs : FB Juris et Franck Beaudoin, avocat

Publié le 9 mai 2018 sur idroit.co – Mis à jour le 16 mai 2018

Guide

L’article 13 du RGPD liste les informations à fournir lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée. Le modèle qui suit est applicable dans ce cas. Les informations doivent être fournies au moment où les données en question sont obtenues. En pratique, un formulaire de collecte de données doit donc contenir les mentions qui suivent.

Modèle

> Identité et coordonnées du responsable du traitement [le cas échéant : et du représentant du responsable du traitement]

Le responsable du traitement est XXX [identité de la personne physique ou morale : cliquer ici pour sélectionner le modèle approprié]. Ses coordonnées sont : XXX [coordonnées : téléphone, courriel, site Internet].

[[OPTION si applicable : Le représentant du responsable du traitement est XXX [identité de la personne physique ou morale : cliquer ici pour sélectionner le modèle approprié]. Ses coordonnées sont : XXX [coordonnées : téléphone, courriel, site Internet].]]

[[OPTION si le responsable du traitement a nommé un DPD / DPO :

> Coordonnées du délégué à la protection des données

Les coordonnées du délégué à la protection des données sont : XXX [coordonnées : téléphone, courriel, site Internet].]]

> Finalités du traitement auquel sont destinées les données à caractère personnel et base juridique du traitement

Le traitement est destiné à XXX [préciser les finalités du traitement].

Il est effectué conformément à XXX [préciser la base juridique, par exemple : l’article XXX du règlement général sur la protection des données – RGPD (règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016)].

[[OPTION si le traitement est fondé sur l’article 6, paragraphe 1, point f) du RGPD, c’est-à-dire si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers :

> Intérêts légitimes poursuivis par le responsable du traitement [ou par XXX [identification du tiers]

Les intérêts légitimes poursuivis sont XXX [compléter].]]

> Destinataires des données à caractère personnel

Les XXX [destinataires / catégories de destinataires] des données sont XXX [compléter].

> Transfert de données

Le responsable du traitement XXX [OPTION 1 : n’a pas // OPTION 2 : a] l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

XXX [En cas de transfert, préciser l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition].

> Durée de conservation des données à caractère personnel

Les données seront conservées XXX [OPTION 1 : pendant une durée de XXX à compter de leur collecte // OPTION 2 : XXX [s’il n’est pas possible d’indiquer la durée, préciser les critères utilisés pour la déterminer].

> Droits de la personne dont les données sont collectées

La personne dont les données personnelles sont collectées a le droit :

– de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée,

– de s’opposer au traitement,

– à la portabilité de ses données,

[Si le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), c’est-à-dire sur le consentement de la personne concernée au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques : – de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci,]

– d’introduire une réclamation auprès d’une autorité de contrôle.

> Fondement de la demande de données et conséquences

La demande de données XXX [OPTION 1 : conditionne la conclusion d’un contrat // OPTION 2 : a un caractère contractuel // OPTION 3 : a un caractère réglementaire]. La personne concernée XXX [OPTION 1 : est // OPTION 2 : n’est pas] tenue de fournir les données. Si les données ne sont fournies, XXX [préciser les conséquences éventuelles].

> Prise de décision automatisée – profilage

XXX [[OPTION 1 : Aucun profilage ne sera réalisé et plus généralement aucune décision automatisée ne sera prise sur la base des données collectées. // OPTION 2 : Des décisions automatisées seront prises sur la base des données collectées. La logique sous-jacente de ces décisions automatisées est la suivante : XXX [informations utiles concernant la logique sous-jacente]. L’importance et les conséquences prévues de ce traitement pour la personne concernée sont les suivantes : XXX [compléter].]]