Article 13 du RGPD

Droits de la personne concernée

Ce que dit le RGPD :

1.  Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2.  En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;

c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3.  Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4.  Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

225000000
Autorité irlandaise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Whatsapp Irlande Ltd.
225000000
Autorité irlandaise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Whatsapp Irlande Ltd.
50000000
Autorité française de protection des données (CNIL)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Google Inc.
6000000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Caixabank Sa
5000000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Banco Bilbao Vizcaya Argentaria, Sa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
2520000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Mercadona Sa
2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
2250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Carrefour France
1750000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Sgam Ag2r La Mondiale
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Comercializadora, Sau
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Energía, Sau
900000
Autorité de protection des données de Hambourg
Contexte :
Accord de traitement des données insuffisant
En cause :
Vattenfall Europe Sales Gmbh
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Rome Capitale
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Rome Capitale
720000
Autorité suédoise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Klarna Bank Ab
720000
Autorité suédoise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Klarna Bank Ab
500000
Autorité française de protection des données (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Futura Internationale
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Roma Capitale (municipalité De Rome)
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
400000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
B&t Spa
400000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
B&t Spa
250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Spartoo
250000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iab Europe
250000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iab Europe

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre