Article 13 du RGPD
Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
- a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
- b) le cas échéant, les coordonnées du délégué à la protection des données;
- c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
- e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et
- f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;
- En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
- a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
- b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
- c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
- d) le droit d’introduire une réclamation auprès d’une autorité de contrôle;
- e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
- f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
- Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
- Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
Article 13 du RGPD : Ce qu'il faut comprendre
L’article 13 du RGPD oblige le responsable du traitement à informer la personne concernée, au moment de la collecte de ses données personnelles, de plusieurs éléments essentiels.
Il doit notamment lui communiquer :
- son identité,
- les finalités du traitement,
- la base juridique,
- les destinataires des données,
- et l’éventualité d’un transfert international.
La personne doit être informée de ses droits, comme l’accès, la rectification, l’effacement des données, la portabilité, et la possibilité de retirer son consentement.
Si un traitement ultérieur pour une nouvelle finalité est envisagé, la personne concernée doit en être préalablement informée. Ces obligations ne s’appliquent pas si la personne connaît déjà ces informations.
Exemples pour illustre l’article 13 du RGPD
1. Inscription à une newsletter
Lorsqu’une personne s’inscrit à une newsletter en ligne, l’entreprise doit lui fournir les informations suivantes :
- Identité du responsable : « Nous, XYZ Corporation, sommes responsables du traitement de vos données. »
- Finalité du traitement : « Nous utilisons votre adresse e-mail pour vous envoyer des newsletters hebdomadaires avec des offres spéciales. »
- Base juridique : « Ce traitement est basé sur votre consentement. »
- Durée de conservation : « Vos données seront conservées jusqu’à ce que vous retiriez votre consentement. »
- Droit de retirer le consentement : « Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription dans nos e-mails. »
- Transfert de données : « Nous ne transférons pas vos données en dehors de l’UE. »
2. Création d’un compte en ligne
Lorsqu’un utilisateur crée un compte sur un site de e-commerce, l’entreprise doit lui fournir plusieurs informations lors de la collecte de ses données personnelles (nom, adresse, etc.) :
- Finalités du traitement : « Vos données seront utilisées pour créer votre compte, gérer vos commandes et vous envoyer des notifications sur l’expédition de vos produits. »
- Base juridique : « Ce traitement est nécessaire pour l’exécution de votre contrat d’achat avec nous. »
- Durée de conservation : « Vos informations seront conservées pendant la durée de votre compte et supprimées 2 ans après la clôture de votre compte, sauf si des obligations légales exigent une conservation plus longue. »
- Droit d’accès, de rectification et d’effacement : « Vous pouvez accéder à vos informations et les modifier via votre espace client, ou demander leur suppression en contactant notre service client. »
- Profilage ou prise de décision automatisée : « Nous utilisons un système automatisé pour vous recommander des produits basés sur vos précédents achats. »
3. Application de santé
Une application mobile de suivi de la santé collecte des données personnelles sensibles, comme des informations sur l’état de santé de l’utilisateur. L’entreprise doit fournir des informations spécifiques :
- Finalité du traitement : « Vos données de santé sont collectées pour vous proposer un suivi personnalisé de vos habitudes alimentaires et de votre activité physique. »
- Base juridique : « Le traitement de vos données est fondé sur votre consentement explicite. »
- Droit de retirer son consentement : « Vous pouvez retirer votre consentement à tout moment via les paramètres de l’application, sans que cela n’affecte la légalité du traitement déjà effectué. »
- Transfert international : « Vos données ne seront pas transférées hors de l’Union européenne. »
- Durée de conservation : « Vos données de santé seront conservées tant que vous utiliserez l’application. Si vous supprimez votre compte, elles seront supprimées immédiatement. »
← Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée 
Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée →
Les articles du RGPD mentionnant l'article 13
Votre site internet est-il en conformité vis à vis des données personnelles ?
Les sites internet doivent indiquer clairement quelles données sont collectées auprès des utilisateurs et pour quelle finalité.
Faites auditer votre site gratuitement par un développeur consultant en RGPD !
Audit RGPD gratuit