Lorsque l’on propose un formulaire à remplir, il s’agit d’une collecte directe de données et probablement de données personnelles. En tant qu’entreprise, vous avez une obligation de transparence envers les personnes qui vont vous fournir leurs données personnelles. Découvrez les Formulaires & RGPD – Les bons réflexes.
Ainsi, les internautes qui remplissent un formulaire doivent pouvoir avoir de façon claire et sans ambiguïté :
- La raison de la collecte des différentes données les concernant,
- Le motif du traitement qui sera effectué avec leurs données,
- Comment maîtriser leurs données, en facilitant l’exercice de leurs droits, autrement dit leur permettre de demander une rectification de leurs données ou même une suppression complète.
La CNIL a publié une page d’aide sur l’emploi de termes plus clairs pour le grand public afin d’aider les organismes à simplifier les termes techniques du RGPD et ainsi faciliter la compréhension de la majorité des internautes.
Nous vous présentons les règles à connaître pour un formulaire conforme au RGPD
Les personnes doivent être informées du traitement de leurs données « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples », au moment où elles remplissent votre formulaire (et non après).
Selon la CNIL, les informations qui doivent être accessibles lors du remplissage d’un formulaire sont les suivantes :
- Identité et coordonnées de l’organisme (il s’agit du responsable du traitement de données),
- Finalités de traitements des données (vos objectifs pour cette collecte),
- Base légale du traitement de données,
- Caractère obligatoire ou facultatif du recueil des données,
- Destinataires ou catégories de destinataires des données,
- Durée de conservation des données,
- Droits des personnes (droits d’accès, de rectification, d’effacement, etc.),
- Coordonnées du délégué à la protection des données de l’organisme (DPO) ou point de contact sur les questions de protection des données personnelles,
- Proposer la possibilité de réaliser une réclamation auprès de la CNIL.
S’il s’agit d’un formulaire en ligne, il est par exemple possible d’afficher une phrase mentionnant le traitement des données personnelles avec un lien cliquable vers une page dédiée où toutes les informations obligatoires sont listées.
Vous pouvez passer par des outils en ligne pour faciliter la création de vos formulaires. Ces derniers proposent des modèles prêts à l’emploi que vous pouvez personnaliser sans compétences techniques requises.
Quel sont les critères de validité du consentement ? Formulaires & RGPD
4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli pour vos Formulaires & RGPD. Le consentement doit être :
- Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.
- Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.
Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.
- Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.
Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :
l’identité du responsable du traitement ;
les finalités poursuivies ;
les catégories de données collectées ;
l’existence d’un droit de retrait du consentement ;
selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union Européenne.
- Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clair. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.
Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :
- les cases pré-cochées ou pré-activées
- les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)
- l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)
