Réponse
Au moment où leurs données sont collectées, il faut au moins communiquer clairement aux personnes:
- qui est votre entreprise/organisation (vos coordonnées et celles de votre DPD le cas échéant);
- pourquoi votre entreprise/organisation utilisera leurs données à caractère personnel (finalités);
- les catégories de données à caractère personnel concernées;
- la raison juridique du traitement de leurs données;
- la durée pendant laquelle les données seront conservées;
- les autres destinataires éventuels des données;
- le transfert éventuel de leurs données à caractère personnel à un destinataire établi en dehors de l’UE;
- leur droit de copier les données (droit d’accès aux données à caractère personnel) et d’autres droits fondamentaux dans le domaine de la protection des données (voir la liste complète des droits);
- leur droit d’introduire une réclamation auprès d’une autorité de protection des données (APD);
- leur droit de retirer leur consentement à tout moment;
- le cas échéant, l’existence d’une prise de décision automatisée et la logique sous-jacente, y compris les conséquences de ce traitement.
Voir la liste complète des informations à fournir.
Ces informations peuvent être fournies par écrit, oralement à la demande de la personne concernée lorsque son identité est démontrée par d’autres moyens, ou par voie électronique lorsque c’est approprié. Votre entreprise/organisation doit le faire de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples et gratuitement.
Quand les données sont obtenues auprès d’une autre entreprise/organisation, votre entreprise/organisation devrait fournir les informations reprises ci-dessus à la personne concernée au plus tard dans un délai d’un mois à compter du moment où votre entreprise a obtenu les données à caractère personnel; ou, si votre entreprise/organisation communique avec la personne, lorsque les données sont utilisées pour communiquer avec elle; ou, s’il est envisagé de communiquer les informations à une autre entreprise, lorsque les données à caractère personnel sont communiquées pour la première fois.
Votre entreprise/organisation doit également informer la personne concernée des catégories de données et de la source qui lui a fourni les données; et, si des données ont été obtenues auprès de sources accessibles au public, cette information doit également être mentionnée. Dans certains cas spécifiques repris à l’article 13, paragraphe 4, et à l’article 14, paragraphe 5, du RGPD, votre entreprise/organisation peut être dispensée de l’obligation d’informer les personnes concernées. Veuillez vérifier si votre entreprise/organisation se trouve dans un de ces cas.