Article
En savoir plus...
Jurisprudence
Actualités
Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:- a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
- b) le cas échéant, les coordonnées du délégué à la protection des données;
- c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
- e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
- f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l' article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
- a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
- c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
- d) le droit d'introduire une réclamationauprès d'une autorité de contrôle;
- e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
- f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
En savoir plus...
L'article 13 précise les obligations d’information du responsable du traitement lors de la collecte directe de données personnelles auprès de la personne concernée. Dès le moment de la collecte, celle-ci doit être informée de manière claire sur l’identité du responsable, la finalité du traitement, sa base légale, les destinataires des données, les transferts éventuels à l’étranger, la durée de conservation, ainsi que sur ses droits (accès, rectification, opposition, retrait du consentement, etc.). L’article impose également d’informer sur la prise de décision automatisée s’il y a lieu. En cas de changement de finalité, une nouvelle information doit être fournie. Ces obligations ne s’appliquent toutefois pas si la personne dispose déjà de toutes ces informations.Cet article concrétise le principe de transparence énoncé à l'article 5, paragraphe 1, point a) du Règlement (défini plus en détail à l'article 12), en soulignant l'obligation du responsable du traitement de fournir activement aux personnes des informations claires et complètes sur le traitement de leurs données à caractère personnel, L'article 13 s'applique dans les situations où les données à caractère personnel sont collectées directement auprès des personnes concernées et où un contrat direct est présumé, tandis que l'article 14 s'applique dans toutes les autres situations.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Obligation d'information]
60. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.
[Le moment de l'information]
61. Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.
[Exceptions à l'obligation d'information]
62. Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.
60. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.
[Le moment de l'information]
61. Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.
[Exceptions à l'obligation d'information]
62. Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.
Droit souple
Documents anciens
> WP29 – Lignes directrices WP260
– La transparence (rev,.01)
11 avril 2018, Document ancien
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 6 - Licéité du traitement
> Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel
> Article 22 - Décision individuelle automatisée, y compris le profilage
> Article 46 - Transferts moyennant des garanties appropriées
> Article 47 - Règles d'entreprise contraignantes
> Article 49 - Dérogations pour des situations particulières
Cet article est cité par...
> Article 23 - Limitations
> Article 26 - Responsables conjoints du traitement
> Article 47 - Règles d'entreprise contraignantes
> Article 49 - Dérogations pour des situations particulières
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL – Recommandations – Applications mobiles
8 avril 2025
> CNIL РRecommandations РUtilisation des donn̩es de localisation des v̩hicules connect̩s
25 mars 2025 (Projet, Ouvert à consultation publique)
> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/58/CE)
7 octobre 2024 (v2.0)
> CNIL РRecommandations РR̩utilisateurs de donn̩es publi̩es sur Internet
12 juin 2024
> CNIL РRecommandations РDispositifs de vid̩osurveillance au sein des chambres des Ehpads
29 février 2024
> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)
7 juillet 2023
> CNIL РRecommandations РT̩l̩surveillance pour les examens en ligne
8 juin 2023
> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels
7 juillet 2021 (v2.0)
> EDPB РLignes directrices 8/2020 РLe ciblage des utilisateurs de m̩dias sociaux
13 avril 2021 (v2.0)
> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité
9 mars 2021 (v2.0)
> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD
15 décembre 2020 (v2.0)
> CNIL – Lignes directrices – Cookies et autres traceurs
17 septembre 2020
> CNIL – Recommandations – Cookies et autres traceurs
17 septembre 2020
> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo
29 janvier 2020 (v2.0)
Référentiels
> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle
6 juillet 2023
> CNIL РR̩f̩rentiel РGestion des officines de pharmacie
18 juillet 2022
> CNIL РR̩f̩rentiel РGestion des activit̩s commerciales
3 février 2022
> CNIL РR̩f̩rentiel РGestion des impay̩s dans une transaction commerciale
3 février 2022
> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans
20 janvier 2022
> CNIL РR̩f̩rentiel РGestion locative
6 mai 2021
> CNIL РR̩f̩rentiel РAccueil, h̩bergement et accompagnement social et m̩dico-social des personnes ̢g̩es, des personnes en situation de handicap et de celles en difficult̩
11 mars 2021
> CNIL РR̩f̩rentiel РGestion du personnel
21 novembre 2019
Guides pratiques
> CNIL РGuide pratique РEquipe de d̩veloppement
13 décembre 2021 ((sur le github de la CNIL))
> CNIL РGuide pratique РSensibilisation pour les collectivit̩s territoriales
18 septembre 2019
> CNIL – Guide pratique – L’Ordre des médecins
1 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| Courrier présidente | Courrier présidente | 29/05/2024 | Mentions d’information obligatoires et droit d’accès à certaines informations - 1) Emplacement exact des caméras de surveillance - Absence 2) Cas d’espèce | Lien | Transparence et information, Contenu de l'information, Droits des personnes, Droit d'accès, Contenu | CNIL ou équivalent | 2024 | |
| C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | Accès de la police aux données contenues dans un téléphone portable - Information des motifs sur lesquels repose l'autorisation à partir du moment où cela n'impacterait plus l'enquête - Obligation | Lien | Directive Police-Justice, Transparence et information, Moment de l'information | Police-Justice | Cour de Justice de l'UE | 2024 |
| SAN-2023-023 | NS CARDS France | 29/12/2023 | Exigence d’accessibilité de l’information - Politique de confidentialité disponible uniquement en anglais - Illicéité. | Lien | Transparence et information, Format de l'information | CNIL ou équivalent | 2023 | |
| C-333/22 | Ligue des droits humains (Vérification du traitement des données par l’autorité de contrôle) | 16/11/2023 | Exercice des droits de manière indirecte (Directive Police-Justice) - Recours juridictionnel contre la décision de clôturer la procédure - Existence | Lien | Droits des personnes, Droit d'accès, Droit de rectification, Droit à l'effacement et au déréférencement, Droit à la limitation, Exercice indirect des droits | Police-Justice | Cour de Justice de l'UE | 2023 |
| SAN-2023-006 | Doctissimo | 11/05/2023 | Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation | Lien | Données de santé, Consentement, Transparence et information, Contenu de l'information | Santé | CNIL ou équivalent | 2023 |
| SAN-2022-021 | EDF | 24/11/2022 | Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion | Lien | Droits des personnes, Droit d'accès, Contenu, Transparence et information, Contenu de l'information | Marketing et prospection | CNIL ou équivalent | 2022 |
| MED-2021-131 | Société X | 01/12/2021 | Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation | Lien | Transparence et information, Bases légales, Consentement, Eclairé | Marketing et prospection | CNIL ou équivalent | 2021 |
| 430810 | Google LLC | 19/06/2020 | Information et transparence - Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement | Lien | Transparence et information, Format de l'information | Conseil d'Etat | 2020 | |
| C-673/17 | Planet49 | 01/10/2019 | Exhaustivité de la liste des informations que doit fournir le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant - Absence | Lien | Transparence et information, Contenu de l'information | Technologie | Cour de Justice de l'UE | 2019 |
| C-673/17 | Planet49 | 01/10/2019 | Information claire et complète devant être donnée par le fournisseur de services - Durée de fonctionnement des cookies - Inclusion - Possibilité ou non pour des tiers d’avoir accès aux cookies - Inclusion | Lien | Contenu de l'information | Technologie | Cour de Justice de l'UE | 2019 |
| C-40/17 | Fashion ID | 29/07/2019 | Portée du consentement que peut solliciter le responsable du traitement et de son obligation d'information (directive 95/46) - Traitements mis en place par des tiers - Rejet | Lien | Bases légales, Consentement, Transparence et information, Contenu de l'information | Technologie | Cour de Justice de l'UE | 2019 |
Actualités
Profitez de nos actualités en lien avec cet article !
Chargement des actualités...
<< Retourner au menu