[Série Omnibus] Article 2 : L'omnibus et l'information des personnes concernées

Nous poursuivons notre série d'articles relatifs à la proposition Omnibus et abordons ici les modifications apportées par ce texte à l'obligation d'information des personnes concernées.

La proposition Digital Omnibus vise à simplifier les obligations relatives à l'information qui doit être fournie aux personnes concernées, lorsque les données sont collectées directement auprès d'elles (article 13 du RGPD).

Le RGPD prévoit actuellement que cette obligation d'information n'est pas applicable si les personnes concernées disposent déjà des informations.

Le Digital Omnibus supprime et remplace cette exception en indiquant désormais que cette obligation ne s'applique pas lorsque les données ont été collectées dans le cadre d'une relation claire et circonscrite entre les personnes concernées et un responsable de traitement exerçant une activité qui n'est pas intensive en données et qu'il existe des motifs raisonnables de supposer que la personne concernée ait déjà connaissance de l'identité du responsable de traitement et des finalités du traitement.

Ce tempérament à l'obligation d'information ne s'applique toutefois pas si le responsable de traitement :

• transmet les données à d'autres destinataires ;
• transfère les données vers un pays tiers ;
• procède à une prise de décision automatisée, y compris le profilage ;
• ou que le traitement soit susceptible d'engendrer un risque élevé pour les personnes concernées.

Cette évolution peut être bienvenue pour les responsables de traitement dans la mesure où elle simplifie cette obligation d'information pour des traitements présentant peu de risque pour les personnes concernées. Par exemple, cette exception évitera d'introduire, dans certains contrats ou dans certaines politiques de confidentialité des mentions d'information qui n'avaient que pour seul but de se conformer à la réglementation mais qui ne répondaient à aucun enjeu en matière de protection des données personnelles.

Il conviendra toutefois de préciser ce qu'est une activité non intensive en données.

Il peut être regretté que le texte ne reprenne pas l'exception actuellement prévue par l'article 13 du RGPD (connaissance préalable des informations par les personnes concernées). Ainsi, une interprétation restrictive de la notion de « relation claire et circonscrite » pourrait être de nature à réduire les exceptions à l'obligation d'information dans la mesure où le bénéfice de l'exception actuelle serait soumis à toutes les nouvelles conditions (relation claire et circonscrite notamment).

Il est donc indispensable d'obtenir des précisions sur l'interprétation à retenir afin d'être certain que ce texte constitue bien une mesure de simplification.

En outre, la proposition de Digital Omnibus ajoute une exception à l'obligation d'information lorsque le traitement est effectué à des fins de recherche scientifique et que la fourniture de ces informations s'avère impossible ou impliquerait un effort disproportionné de la part des responsables de traitement ou que le respect de cette obligation serait susceptible de rendre impossible ou de compromettre gravement la réalisation de la recherche elle-même.

Si cette exception est intéressante pour un responsable de traitement qui souhaite réutiliser, à des fins de recherche scientifique, des données déjà collectées auprès des personnes concernées et qui ne disposent pas ou plus des coordonnées des personnes concernées, elle n'aura d'effet que si les conditions de son application sont définies précisément.

Elle serait pourtant utile dans certains cas, en particulier dans le secteur de la recherche médicale où le lien entre le chercheur qui souhaite réutiliser des données collectées initialement pour une autre finalité se heurte régulièrement à des difficultés pratiques importantes pour respecter l'obligation individuelle d'information.

Elle devra également s'accorder en France avec le droit national et les dispositions des articles 65 et suivants de la loi Informatique et Libertés relatives au traitement des données de santé et en particulier aux dispositions spécifiques liées aux études, recherches et évaluations dans le domaine de la santé.

Ces traitements, pour être mis en œuvre, doivent ainsi être conformes à une méthodologie de référence ou une demande d'autorisation auprès de la CNIL.

On rappellera ici que malgré l'exception déjà mentionnée à l'article 14 du RGPD, la CNIL a intégré dans ses méthodologies de référence, et notamment dans la MR-004 relative aux recherches n'impliquant pas la personne humaine, études et évaluations dans le domaine de la santé, cette obligation d'information individuelle, nécessitant ainsi, en l'absence de cette information individuelle, de demander une autorisation auprès de la CNIL.

Ainsi, si cette simplification voulue par le Digital Omnibus permet à un responsable de traitement d'être dispensé de son obligation d'information, elle ne le dispensera pas de passer par la demande d'autorisation auprès de la CNIL.

Une mise à jour des méthodologies de référence, attendue de la part de la CNIL, est donc plus que souhaitable sur ce point pour aboutir à un réel choc de simplification.

Il est intéressant de noter que le texte de l'Omnibus fait référence à la possibilité de rendre accessibles au public les informations exigées au titre de l'information individuelle dès lors que celle-ci serait impossible, ce qui rejoint l'exigence de la mise en place des portails de transparence par la CNIL.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.