Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:- a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
- b) le cas échéant, les coordonnées du délégué à la protection des données;
- c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
- e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
- f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l' article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
- a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
- c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
- d) le droit d'introduire une réclamationauprès d'une autorité de contrôle;
- e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
- f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
En savoir plus...
L'article 13 du RGPD concrétise le principe de transparence énoncé à l'article 5, paragraphe 1, point a) du Règlement (défini plus en détail à l'article 12), en soulignant l'obligation du responsable du traitement de fournir activement aux personnes des informations claires et complètes sur le traitement de leurs données à caractère personnel, L'article 13 s'applique dans les situations où les données à caractère personnel sont collectées directement auprès des personnes concernées et où un contrat direct est présumé, tandis que l'article 14 s'applique dans toutes les autres situations.L'article 13 du RGPD est divisé en quatre. Le premier impose au responsable du traitement de décrire certains éléments du traitement, tels que l'identité et les coordonnées du responsable du traitement et du délégué à la protection des données, lorsqu'il a été désigné, les finalités du traitement, les bases juridiques, tout intérêt légitime poursuivi par le responsable du traitement, les destinataires des données, etc. Le deuxième paragraphe précise qu'« en plus » des éléments susmentionnés, des précisions doivent être fournies pour « assurer un traitement loyal et transparent », par exemple des informations sur la conservation des données, l'existence de droits pouvant être exercés par la personne concernée, ainsi que des précisions sur le fonctionnement et les conséquences potentielles des systèmes de prise de décision automatisée. Le troisième paragraphe définit l'obligation d'informer la personne concernée lorsque le responsable du traitement envisage de procéder à un traitement supplémentaire qui n'a pas été divulgué auparavant. Enfin, le quatrième paragraphe établit un principe général selon lequel les informations susmentionnées peuvent être omises si la personne concernée les possède déjà .
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
60. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.
[Le moment de l'information]
61. Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.
[Exceptions à l'obligation d'information]
62. Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.
Droit souple
Lignes directrices et recommandations
Références
Cet article cite...
Cet article est cité par...
Autres textes liés
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | Accès de la police aux données contenues dans un téléphone portable - Information des motifs sur lesquels repose l'autorisation à partir du moment où cela n'impacterait plus l'enquête - Obligation | Lien | Directive Police-Justice, Moment de l'information | Police-Justice | Cour de Justice de l'UE | 2024 |
| C-333/22 | Ligue des droits humains (Vérification du traitement des données par l’autorité de contrôle) | 16/11/2023 | Exercice des droits de manière indirecte (Directive Police-Justice) - Recours juridictionnel contre la décision de clôturer la procédure - Existence | Lien | Exercice indirect des droits | Police-Justice | Cour de Justice de l'UE | 2023 |
| SAN-2023-006 | Doctissimo | 11/05/2023 | Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation | Lien | Données de santé, Consentement, Contenu de l'information | Santé | CNIL ou équivalent | 2023 |
| SAN-2022-021 | EDF | 24/11/2022 | Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion | Lien | Contenu de l'information | Marketing et prospection | CNIL ou équivalent | 2022 |
| MED-2021-131 | Société X | 01/12/2021 | Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation | Lien | Consentement, Eclairé | Marketing et prospection | CNIL ou équivalent | 2021 |
| 430810 | Google LLC | 19/06/2020 | Information et transparence - Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement | Lien | A classer | Conseil d'Etat | 2020 | |
| C-673/17 | Planet49 | 01/10/2019 | Exhaustivité de la liste des informations que doit fournir le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant - Absence | Lien | A classer | Technologie | Cour de Justice de l'UE | 2019 |
| C-673/17 | Planet49 | 01/10/2019 | Information claire et complète devant être donnée par le fournisseur de services - Durée de fonctionnement des cookies - Inclusion - Possibilité ou non pour des tiers d’avoir accès aux cookies - Inclusion | Lien | A classer | Technologie | Cour de Justice de l'UE | 2019 |
| C-40/17 | Fashion ID | 29/07/2019 | Portée du consentement que peut solliciter le responsable du traitement et de son obligation d'information (directive 95/46) - Traitements mis en place par des tiers - Rejet | Lien | Consentement, Contenu de l'information | Technologie | Cour de Justice de l'UE | 2019 |
Actualités
Profitez de nos actualités en lien avec cet article !En Corée du Sud, annonce des résultats de l’examen préliminaire du service DeepSeek
Suite au lancement du service DeepSeek en janvier de cette année, des préoccupations concernant les violations de données personnelles ont été soulevées tant au niveau national qu’international. La Commission de protection a immédiatement envoyé un questionnaire à DeepSeek concernant sa méthode de collecte et de traitement de [...]
Une entreprise condamnée à 90 000 £ pour des appels marketing illégaux
L’ICO a annoncé avoir infligé une amende de 90 000 livres sterling (soit environ 105 000 euos) à AFK Letters Co Ltd (AFK) pour avoir passé plus de 95 000 appels commerciaux non sollicités à des personnes enregistrées auprès du Telephone Preference Service (TPS), l’équivalent de Bloctel, en violation flagrante de la législation sur le mark [...]
11 000 euros d’amende contre GRUAS IGNACI pour manquements à plusieurs grands piliers du RGPD
L’autorité espagnole de protection des données (AEPD) a publié une décision de sanction à l’encontre de la société GRUAS IGNACI, S.L. pour plusieurs violations potentielles du Règlement Général sur la Protection des Données (RGPD). L’affaire a débuté par une réclamation d’un particulier qui, lors de la récupération de son [...]
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de l’institut de sondage Baléare de la Jeunesse pour avoir illégalement traité des données sensibles. L’enquête a, très classique, été ouverte suite d’une réclamation d’un certain A.A.A. contre l’Institut Bal [...]
« Non au contrôle du travail à distance », dit l’autorité italienne : une entreprise de transport condamnée à 50 000 euros d’amende
Dans sa newsletter en date du 21 mars, l’autorité est revenue sur la condamnation prononcée à l’encontre d’une entreprise de transport pour avoir surveillé illégalement une cinquantaine d’employés, pendant leurs activités professionnelles, à l’aide [...]
En Lettonie: l’examen sur la conformité des politiques de confidentialité est terminé, l’autorité note elle-aussi de nombreuses lacunes
L’année dernière, en 2024, l’Inspection nationale des données a effectué un examen préventif de la politique de confidentialité de trente commerçants enregistrés en Lettonie, dont l’activité principale est liée au commerce de détail par correspondance ou en [...]
En Corée du Sud, les résultats de l’évaluation de la politique de traitement des données personnelles pour 2024 montrent des lacunes
La Commission de Protection des Données Personnelles (présidée par Ko Hak-soo, ci-après « Commission ») a publié les résultats de l’évaluation de la « politique de traitement des données personnelles pour 2024 » concernant sept domaines étroitement liés à la vie des citoyens : [...]
Un sauna érotique reçoit un avertissement en raison des données traitées dans son livre d’or (mais pas que!)
La Chambre des litiges de l’Autorité belge de protection des données (GBA) a, ce vendredi, adressé un avertissement à un sauna érotique en raison de manquements en matière de licéité du traitement des données de son livre d’or. L’affaire commence par une plainte déposée en octobre 2019 par [...]
La CGT espagnole condamnée en raison (notamment) d’un manquement en matière d’information
lL’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre du « Syndicat de l’administration publique de la CGT » en raison de manquements à la transparence … mais pas que. Fait intéressant: la procédure a été initiée suite à une plainte [...]
En Italie, une société de réaménagement de crédit condamnée à 70 000 euros d’amende : son gérant était également … le DPO
Dans sa newsletter du 28 février, l’autorité italienne a évoqué le cas d’une société de réaménagement de crédit, notamment condamnée pour avoir nommé son représentant légal en tant que DPO. Sur la base des éléments recueillis au cours de l’enquête menée par l’autor [...]
<< Retourner au menu