Article 14 du RGPD

Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

RGPD » chapitre 3 - droits de la personne concernée » section 2 - information et accès aux données à caractère personnel »  article 14

  1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
    • a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
    • b) le cas échéant, les coordonnées du délégué à la protection des données;
    • c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
    • d) les catégories de données à caractère personnel concernées;
    • e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;
    • f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;
  2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:
    • a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
    • b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
    • c) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;
    • d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
    • e) le droit d’introduire une réclamation auprès d’une autorité de contrôle;
    • f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;
    • g) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
  1. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :
    • a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;
    • b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou
    • c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
  1. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
  2. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:
    • a) la personne concernée dispose déjà de ces informations;
    • b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;
    • c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou
    • d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Article 14 du RGPD : Ce qu'il faut comprendre

L’article 14 du RGPD concerne les situations où les données personnelles n’ont pas été collectées directement auprès de la personne concernée, mais plutôt obtenues par d’autres moyens (comme auprès de tiers ou via des bases de données publiques). Voici une explication simple, avec des exemples :

Informations à fournir

Quand une organisation collecte des données personnelles d’une personne sans les lui demander directement (par exemple, en achetant une liste de contacts), elle doit lui fournir certaines informations :

  1. Identité et coordonnées du responsable du traitement (par exemple, l’entreprise qui traite les données) et, le cas échéant, celles du délégué à la protection des données.
  2. Les finalités et la base juridique du traitement : Pourquoi ces données sont utilisées ? Est-ce pour des raisons contractuelles, légales ou basées sur un intérêt légitime ?
  3. Les catégories de données : Quelles types de données sont traitées (nom, adresse, numéro de téléphone, etc.) ?
  4. Destinataires : Qui recevra les données, le cas échéant (partenaires commerciaux, par exemple) ?
  5. Transfert de données : Si les données sont envoyées en dehors de l’UE, il faut préciser où et sous quelles garanties.

Informations complémentaires

Pour garantir un traitement transparent, d’autres informations doivent être fournies :

  1. Durée de conservation des données : Combien de temps seront-elles conservées ?
  2. Droits de la personne concernée : La personne peut demander l’accès, la rectification, l’effacement, ou la portabilité de ses données. Elle peut aussi s’opposer au traitement.
  3. Droit de retirer son consentement si le traitement repose sur celui-ci.
  4. Droit de plainte auprès d’une autorité de protection des données.
  5. Source des données : D’où viennent ces données ? Par exemple, d’une base de données publique ou d’un autre service.
  6. Profilage ou décisions automatisées : Si les données sont utilisées pour des décisions automatisées (comme une offre de crédit basée sur des algorithmes), il faut l’indiquer.

Délai de communication

Ces informations doivent être fournies à la personne concernée :

  • Dans un délai d’un mois après avoir obtenu les données.
  • Avant la première communication avec la personne (par exemple, avant d’envoyer une première newsletter).
  • Avant de partager les données avec un tiers pour la première fois.

Exemptions

Dans certains cas, l’entreprise n’a pas à fournir ces informations :

  1. Si la personne connaît déjà ces informations.
    • Exemple : Si vous avez déjà été informé que vos données sont partagées entre plusieurs entreprises d’un même groupe.
  2. Si c’est impossible ou disproportionné.
    • Exemple : Si une organisation de recherche médicale utilise des données anonymisées pour des études statistiques, il peut être très compliqué d’informer chaque individu, surtout s’ils sont nombreux ou anonymes.
  3. Si la loi l’exige : Certaines situations légales peuvent autoriser le traitement sans nécessité d’informer.
    • Exemple : Si la loi oblige une banque à transmettre certaines informations aux autorités fiscales, elle n’a pas besoin d’informer les clients chaque fois que cela arrive.

Article 14 du RGPD – Exemples concrets

  • Exemple 1 : Achat d’une base de données de prospects
    Une entreprise de marketing achète une liste de contacts pour envoyer des offres. Elle doit informer chaque personne qu’elle a obtenu ses coordonnées, pourquoi elle les utilise (envoi d’offres commerciales), qui va recevoir ces données (par exemple, les partenaires commerciaux), et combien de temps les données seront conservées.
  • Exemple 2 : Utilisation de données publiques
    Un recruteur trouve des informations professionnelles sur LinkedIn. Si ces informations sont utilisées pour des raisons professionnelles, le recruteur doit informer la personne de la collecte de ces données et de l’utilisation prévue (par exemple, pour des opportunités d’emploi).
  • Exemple 3 : Statistiques à partir de données anonymes
    Un institut de recherche médicale utilise des données anonymes pour ses études. Si informer chaque participant compromettrait la recherche ou serait disproportionné, l’institut pourrait être exempté de cette obligation, à condition que les données soient bien protégées.

← Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Article 15 – Droit d’accès de la personne concernée →

Les articles du RGPD mentionnant l'article 14

Votre site internet est-il en conformité vis à vis des données personnelles ?

Si un site internet collecte des données par des moyens indirects (par exemple, via des cookies tiers), il doit informer les utilisateurs.

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit