Du fait des nombreuses interrogations des participants à des ateliers du Laboratoire d’Innovation Numérique de la Cnil (LINC), celui-ci a publié un guide pratique autour du legal design, permettant ainsi de structurer les informations d’une interface, notamment par finalité de traitement.
Le LINC est un dispositif de réflexion, d’information et de partage sur les tendances émergentes d’usage du numérique, permettant de conduire des projets autour des données.
L'intérêt de mettre en place un legal design
Le legal design vient faciliter la lecture d'un document, sans synthétiser ni vulgariser les informations. C'est donc une méthodologie permettant de structurer le droit de manière intelligible et accessible afin qu'il soit compréhensible.
Cette approche rend le traitement des données personnelles clair et transparent en regroupant et décrivant précisément les raisons de sa mise en place et de son fonctionnement. Ce système est donc très intéressant pour les professionnels du droit, puisque cela leur permet d'augmenter leur capacité d’attention et de compréhension afin d'optimiser leur programme de conformité au Règlement Général sur la Protection des Données (RGPD).
Les personnes concernées, quant à elles, pourront rapidement identifier les différentes utilisations de leurs données. Ce pattern permet alors de respecter le principe de transparence du RGPD, qui exige que toute information ou communication relative au traitement de données à caractère personnel soit concise, transparente, compréhensible et aisément accessible en des termes simples et clairs.
En effet, il convient d'informer les personnes concernées, au sens des articles 12, 13 et 14 du RGPD, en cas de collecte directe (auprès des personnes concernées) ou indirecte (auprès de tiers ou sources accessibles, comme un site internet) des données.
De ce fait, l’utilisateur doit trouver l'information sans difficultés. Celle-ci doit être rédigée avec un vocabulaire simple (comme des phrases courtes, sans termes juridiques ou techniques) et adaptée au public visé. Enfin, elle doit être pertinente afin d'éviter le flot d'informations.
Le legal design est donc une approche très intéressante afin que les personnes concernées par la collecte et le traitement des données personnelles puissent comprendre leurs utilisations et, ainsi, autoriser ou non le traitement, ou demander sa limitation.
Comme exemple, le LINC présente une politique de confidentialité qui structure les informations requises par le RGPD autour des finalités poursuivies par le service :
Pour quelle(s) utilisation(s) ?
Le principal intérêt étant de respecter le principe de transparence du RGPD, ce pattern peut être utilisé :
- pour s'inscrire sur un service afin d’informer les personnes sur l’utilisation de leurs données dans le cadre de ce service ;
- lors de l'usage de ce service, afin que les informations soient toujours accessibles pour l'utilisateur ;
- dans une politique de confidentialité, afin d'informer les personnes sur l'utilisation de leurs données au regard des finalités du traitement ;
- en cas de problème qui concerne les données ou leur usage, afin que l'utilisateur comprenne plus facilement le fonctionnement du traitement de ses données ;
- lorsque l'utilisateur paramètre ses préférences, afin de comprendre l'utilisation de ses données, et pouvoir autoriser ou non le traitement sur celles-ci.