L’année 2025 confirme une tendance lourde de la politique répressive de la CNIL : l’obligation d’information des personnes concernées s’impose comme l’un des principaux points de fragilité des dispositifs de conformité au RGPD.
Sur les trente-trois décisions de sanction rendues au cours de l’année, quatorze (soit près de la moitié) sanctionnent directement des manquements relatifs à l’information des personnes et à l’exercice effectif de leurs droits.
Défaut d’information : un obstacle persistant à l’effectivité des droits des personnes
Ces décisions, qui concernent des acteurs aux profils extrêmement variés : de la petite structure à des groupes internationaux, du secteur marchand aux activités hospitalières ou bancaires, révèlent une difficulté persistante des responsables de traitement à satisfaire pleinement aux exigences des articles 12 à 14 du RGPD.
En cause, le plus souvent, des informations insuffisamment précises sur les finalités poursuivies par les traitements, des mentions incomplètes ou obsolètes, ou encore des mécanismes de recueil du consentement qui, faute de clarté et d’exhaustivité, ne permettent pas aux utilisateurs de comprendre réellement la portée de leur engagement.
En l’absence d’une information claire, intelligible et complète, les personnes ne sont pas en mesure d’identifier les traitements mis en œuvre ni d’en mesurer les conséquences. Cette opacité compromet, par nature, l’exercice éclairé des droits d’accès, de rectification, d’opposition ou d’effacement, lesquels supposent que la personne concernée puisse déterminer précisément quelles données sont traitées, à quelles fins et sur quel fondement juridique.
Transparence à l’aune des exigences du CEPD
Pour rappel, les lignes directrices 5/2020 sur le consentement au sens du Règlement (UE) 2016/679 du CEPD du 4 mai 2020, indiquent que « fournir des informations aux personnes concernées avant d’obtenir leur consentement est indispensable afin de leur permettre de prendre des décisions en toute connaissance de cause, de comprendre ce à quoi [elles] consentent et, par exemple, d’exercer leur droit de retirer leur consentement ».
Par ailleurs, l’avis du CEPD précité précise « qu’il incombe aux responsables du traitement, en vertu du principe de responsabilité, d’élaborer et de documenter un processus d’information permettant aux personnes concernées d’avoir une compréhension complète et claire de la valeur, de la portée et des conséquences des différents choix qui s’offrent à elles ».
Notamment, il « est important de fournir des informations suffisamment détaillées pour que les personnes concernées puissent comprendre à quels aspects du service elles consentent, tout en conservant la possibilité de ne pas consentir à d’autres ».
En pratique, les manquements relevés ne tiennent pas tant à une méconnaissance théorique de la législation qu’à une défaillance dans la structuration, la mise à jour et la traçabilité de l’information délivrée aux personnes concernées.
Les conséquences d'une mauvaise information sur l'exercice des droits
Plus largement, l’insuffisance d’information compromet l’ensemble de l’exercice des droits reconnus par le RGPD. L’absence de vision claire et structurée des traitements conduit, en pratique, à des demandes des personnes concernées qui ne sont ni correctement identifiées, ni traitées dans les délais et conditions requis.
Ce déficit organisationnel met en évidence le lien direct entre la qualité de l’information fournie en amont et la capacité du responsable de traitement à répondre efficacement aux demandes d’accès, d’opposition, d’effacement ou de limitation formulées par les personnes concernées.
C’est dans cette perspective que s’inscrit DASTRA. Cet outil permet de garantir la cohérence des informations communiquées aux personnes concernées et d’assurer, en aval, un traitement efficace et traçable de leurs demandes.
Gérer une demande d'exercice de droits via Dastra
Une plateforme de gouvernance comme Dastra permet de constituer un registre de demandes d'exercice de droits centralisant toutes les demandes passées, présentes et à venir. Celui-ci est disponible en cliquant dans l'onglet « exercice des droits » dans le bandeau à gauche de l'écran du logiciel.
De manière générale, le logiciel permet de gérer le cycle complet d’une demande d’exercice de droits (DSAR) : qualification, vérification d’identité, traitement des données associées et réponse conforme au demandeur.
Chaque étape est documentée et historisée, garantissant la conformité légale et une réponse claire aux personnes concernées.
En complément des fonctionnalités principales, Dastra propose des outils avancés pour personnaliser et sécuriser la gestion des demandes, tels que des workflows automatiques, ou encore un espace dédié dans lequel la personne à l’origine d’une demande accède, sécurisé par un code unique transmis par email.