Article 13 du RGPD

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Ce que dit le RGPD :

1.  Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2.  En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;

c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3.  Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4.  Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

Que doit-on en comprendre ?

L’article 13 du RGPD appartient au Chapitre III du RGPD concernant le “Droit de la personne concernée”. Ce chapitre est l’expression d’un des objectifs du système européen de la protection des données : redonner la maîtrise aux personnes dans l’utilisation qui est faite de leurs informations personnelles.

Pour ce faire, le Chapitre III traite d’abord des droits des personnes (de l’article 12 RGPD à l’article 15 RGPD) puis la manière dont elles peuvent exercer leurs droits (de l’article 16 RGPD à l’article 23 RGPD).

Le premier sous-ensemble du Chapitre III se compose ainsi :

  • L’article 12 est une présentation générale du droit à l’information des personnes et de l’obligation de transparence de la part des organismes qui traitent de la donnée personnelle,
  • L’article 13 établit une liste exhaustive des obligations d’information lorsque les données sont directement traitées par le responsable de traitement,
  • L’article 14 établit une liste exhaustive des obligations d’information lorsque les données sont indirectement traitées par un sous-traitant,
  • Enfin, l’article 15 concerne le droit à l’accès des personnes à leurs données personnelles.

💡 Pour rappel, le sous-traitant, est la personne ou l’organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD). Le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.

L’article 13 distingue les informations qui doivent être fournies “au moment où les données sont collectées” (article 13, §1) et “si cela est nécessaire pour garantir un traitement équitable et transparent” (article 13, §2).

Cependant, le Groupe 29 (organe consultatif de l’Union européenne sur la protection des données) considère, dans ses lignes directrices, qu’il ne faut pas tenir compte de cette distinction car “toutes les informations contenues dans ces paragraphes sont d’égale importance et doivent être fournies à la personne concernée”.

Ainsi, au titre de l’article 13 RGPD, toutes les informations suivantes doivent être communiquées par le responsable de traitement :

  • L’identité et les coordonnées du responsable du traitement et, le cas échéant, de son délégué à la protection des données (DPO),
  • Les finalités du traitement, c’est-à-dire les objectifs pour lesquels sont collectées ces données,
  • La base juridique, c’est-à-dire le fondement sur lequel le responsable de traitement s’appuie pour collecter l’information (par exemple le consentement de la personne, une loi l’obligeant à collecter l’information, un contrat l’y autorisant etc..),
  • Les destinataires des données personnelles, c’est-à-dire les personnes (morales ou physiques) à qui ces données vont être transmises (par exemple, les équipes techniques de l’entreprise, les sous-traitants etc.).
  • Le transfert de ces données en dehors de l’UE, c’est-à-dire les personnes morales à qui ces données sont transmises en dehors de l’UE. Tel est le cas lorsque le responsable de traitement passe par des sous-traitants non européens (par exemple Google Analytics). Pour plus d’informations sur les transferts de données hors UE, c’est par ici.
  • La durée de conservation des données personnelles. Le RGPD prévoit que le responsable de traitement doit, au préalable, déterminer la durée (ou le critère pour déterminer la durée) durant laquelle il traitera ces données.
  • La possibilité pour la personne concernée d’exercer ses droits, c’est-à-dire le fait de demander :
  • L’effacement des données personnelles définitivement (aussi appelé “droit à l’oubli”),
  • La limitation du traitement de données personnelles, c’est-à-dire une utilisation limitée à ce que demande la personne concernée,
  • L’opposition au traitement de données personnelles, ce qui correspond au refus de l’utilisation des données pour une certaine finalité,
  • La portabilité des données personnelles ce qui permet d’en obtenir une copie par l’organisme.
  • La possibilité de retirer son consentement à tout moment lorsque la personne concernée a été amenée à le donner.
  • Le droit d’introduire une réclamation auprès de la CNIL.
  • L’existence d’une prise de décision automatisée, y compris profilage. Il s’agit d’un traitement automatisé de données à caractère personnel pour analyser et prédire des comportements (aussi appelé profilage). Cette pratique (définie à l’article 4 RGPD) est très encadrée, notamment par l’article 22 du RGPD.

Enfin, si le responsable de traitement a l’intention d’effectuer un traitement ultérieur des données personnelles pour une autre finalité, il devra informer la personne concernée au préalable (article 13 RGPD, §3).

Pour rappel, l’article 5 RGPD (point 1, b) prévoit que le traitement qui est fait ultérieurement doit être compatible avec la finalité du traitement d’origine. Ainsi, une lecture combinée de l’article 13, §3 du RGPD et de l’article 5, point 1, b) du RGPD permet d’établir que lorsque le responsable de traitement utilise des données personnelles à d’autres fins, il doit :

  • Informer au préalable la personne concernée de ce changement,
  • Et expliquer en quoi la nouvelle finalité est compatible avec la finalité initiale.

⚠️ L'article 13 du RGPD ne précise pas la forme que doivent prendre ces informations.

→ Il convient de se référer aux lignes directrices du G29 qui précisent que le responsable de traitement prend des “mesures appropriées” pour fournir ces informations, c’est-à-dire en fonction du produit et du service en cause.

Par exemple, lorsque le responsable de traitement collecte des données personnelles relatives aux utilisateurs de son site internet, ces informations prendront le plus souvent la forme de politique de confidentialité (ou Privacy Policy).

Pour donner un autre exemple, lorsque le responsable de traitement collecte des données personnelles par le biais de caméras de vidéosurveillance sur le lieu de travail, la CNIL considère qu’un panneau affiché en permanence doit comprendre les informations suivantes :

  • Finalités du traitement,
  • Durée de conservation des images,
  • Nom et coordonnées du responsable et du délégué à la protection des données (DPO),
  • La possibilité d’exercer ses droits,
  • La possibilité d’introduire une réclamation auprès de la CNIL.

Et pour que le panneau reste lisible, le responsable doit afficher sur le site internet ou un autre biais, les informations suivantes :

  • La base légale du traitement,
  • Les destinataires des données personnelles, y compris hors UE,
  • L’existence d’une prise de décision automatisée, y compris profilage.

Pour plus d’accompagnement dans votre conformité RGPD, n’hésitez pas à demander une démo de notre solution 💁🏻‍♀️ !

Des exemples de sanctions dans le cadre de cet article

225000000
Autorité irlandaise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Whatsapp Irlande Ltd.
50000000
Autorité française de protection des données (CNIL)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Google Inc.
6000000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Caixabank Sa
5000000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Banco Bilbao Vizcaya Argentaria, Sa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
2520000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Mercadona Sa
2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
2250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Carrefour France
1750000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Sgam Ag2r La Mondiale
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Comercializadora, Sau
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Energía, Sau
900000
Autorité de protection des données de Hambourg
Contexte :
Accord de traitement des données insuffisant
En cause :
Vattenfall Europe Sales Gmbh
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Rome Capitale
720000
Autorité suédoise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Klarna Bank Ab
500000
Autorité française de protection des données (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Futura Internationale
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Roma Capitale (municipalité De Rome)
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
400000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
B&t Spa
250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Spartoo
250000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iab Europe
150000
Autorité hellénique de protection des données (HDPA)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Solutions D'affaires Pwc
110000
Autorité de protection des données d'Irlande
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Conseil Municipal Et Du Comté De Limerick
100000
Médiateur adjoint pour la protection des données
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Posti Group Oyj
100000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Unità Sanitaria Locale Toscana Sud Est
92146
Autorité nationale hongroise pour la protection des données et la liberté de l'information (NAIH)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Organisateur Du Festival Sziget Et Du Festival Volt
84000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Commune De Bolzano
80000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Azienda Ospedaliera Di Rilievo Nazionale 'antonio Cardarelli' (hôpital Privé)
75000
Autorité hellénique de protection des données (HDPA)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Ministère Grec Du Tourisme
51000
Autorité islandaise de protection des données (« Persónuvernd »)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Ministère Islandais De L'industrie Et De L'innovation
50000
Autorité autrichienne de protection des données (DSB)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Entreprise Du Secteur Médical

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre