Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
b) le cas échéant, les coordonnées du délégué à la protection des données;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l' article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
d) le droit d'introduire une réclamationauprès d'une autorité de contrôle;
e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

En savoir plus...

L'article 13 du RGPD concrétise le principe de transparence énoncé à l'article 5, paragraphe 1, point a) du Règlement (défini plus en détail à l'article 12), en soulignant l'obligation du responsable du traitement de fournir activement aux personnes des informations claires et complètes sur le traitement de leurs données à caractère personnel, L'article 13 s'applique dans les situations où les données à caractère personnel sont collectées directement auprès des personnes concernées et où un contrat direct est présumé, tandis que l'article 14 s'applique dans toutes les autres situations.

L'article 13 du RGPD est divisé en quatre. Le premier impose au responsable du traitement de décrire certains éléments du traitement, tels que l'identité et les coordonnées du responsable du traitement et du délégué à la protection des données, lorsqu'il a été désigné, les finalités du traitement, les bases juridiques, tout intérêt légitime poursuivi par le responsable du traitement, les destinataires des données, etc. Le deuxième paragraphe précise qu'« en plus » des éléments susmentionnés, des précisions doivent être fournies pour « assurer un traitement loyal et transparent », par exemple des informations sur la conservation des données, l'existence de droits pouvant être exercés par la personne concernée, ainsi que des précisions sur le fonctionnement et les conséquences potentielles des systèmes de prise de décision automatisée. Le troisième paragraphe définit l'obligation d'informer la personne concernée lorsque le responsable du traitement envisage de procéder à un traitement supplémentaire qui n'a pas été divulgué auparavant. Enfin, le quatrième paragraphe établit un principe général selon lequel les informations susmentionnées peuvent être omises si la personne concernée les possède déjà.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Obligation d'information]
60. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.

[Le moment de l'information]
61. Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

[Exceptions à l'obligation d'information]
62. Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.

Droit souple

Lignes directrices et recommandations

> WP29 - Lignes directrices - La transparence

WP260, 29 novembre 2017, modifiées le 11 avril 2018

Références

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Lien
SAN-2022-021	EDF	24/11/2022	2022	France	CNIL ou équivalent	Contenu de l'information	Marketing et prospection	Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion	22. [...] En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.	13, 14, 15	f7475b81fdc4723ec189ed2fbacb5f50b84b6a92	Cliquer pour accéder à la décision
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	A classer	Marketing et prospection	Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation	Dans le contexte d’une transmission de données à des partenaires en vue qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement éclairé requiert en particulier d’informer les personnes concernées de l’étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d’activité des partenaires rendus destinataires des données avant toute transmission, sont de nature à éclairer les personnes concernées quant à l’utilisation ultérieure qui sera faite de leurs données.	6, 7, 12, 13	f7475b81fdc4723ec189ed2fbacb5f50b84b6a92	Non publié. Source: CNIL, Tables Informatique et Libertés
430810	Google LLC	19/06/2020	2020	France	Conseil d'Etat	A classer		Information et transparence - Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement	20. Dans ces conditions, l’arborescence choisie par Google apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées.	12, 13	f7475b81fdc4723ec189ed2fbacb5f50b84b6a92	Cliquer pour accéder à la décision
C-673/17	Planet49	01/10/2019	2019	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Information claire et complète devant être donnée par le fournisseur de services - Durée de fonctionnement des cookies - Inclusion - Possibilité ou non pour des tiers d’avoir accès aux cookies - Inclusion	81. Eu égard aux considérations qui précèdent, il convient de répondre à la seconde question que l’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.	12, 13	f7475b81fdc4723ec189ed2fbacb5f50b84b6a92	Cliquer pour accéder à la décision
C-673/17	Planet49	01/10/2019	2019	Allemagne	Cour de Justice de l'UE	A classer	Technologie	Exhaustivité de la liste des informations que doit fournir le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant - Absence	78. Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles-ci ne sont pas énumérées de manière exhaustive. Or, l’information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel	12, 13	f7475b81fdc4723ec189ed2fbacb5f50b84b6a92	Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

DPA (autorité grecque)

19 décembre 2024

30 000 euros d’amende pour un médecin ayant publié des photographies médicales sur un réseau social L’autorité hellénique a publié aujourd’hui une décision de sanction à l’encontre d’un médecin, avec 30 000 euros d’amende à la clé, pour avoir publié des photographies d’une partie du corps de la plaignante sur un réseau social géré par […]

Disponible sur: veille.portail-rgpd.com

AP (autorité néerlandaise)

18 décembre 2024

Amende de 4,75 millions d’euros pour Netflix pour ne pas avoir correctement informé ses clients L’autorité néerlandaise a aujourd’hui annoncé avoir condamné Netflix à payer une amende de 4,75 millions d’euros pour des manquements en matière d’information. En effet, une enquêtelancée par l’autorité en 2019 (faisant suite à une plainte de NOYB) a permis de […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

22 novembre 2024

Sanction de 5 millions d’euros à Foodinho: la société transmettait les données à des tiers même lorsque l’application était désactivée L’autorité italienne a aujourd’hui annoncé avoir condamné Foodinho srl, une société du groupe Glovo, à payer une amende de 5 millions d’euros pour avoir traité illégalement les données personnelles de plus de 35 000 coureurs […]

Disponible sur: veille.portail-rgpd.com

Tietosuoja (autorité finlandaise)

15 novembre 2024

Amende de 2,4 millions d’euros à l’encontre de la Poste finlandaise pour des lacunes en matière de protection des données dans le service MyPost L’autorité en Finlande a aujourd’hui annoncé avoir imposé une amende de 2,4 millions d’euros à Posti pour ses pratiques dans le service MyPost; le service créait automatiquement une boîte aux lettres […]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

14 novembre 2024

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … […]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

08 novembre 2024

Le Service national de renseignement (EYP) condamné pour avoir transmis les données de son employée à un autre service… un jour avant la publication de la loi le permettant Une ancienne employée de l’Agence Nationale de Renseignement (EYP) a déposé une plainte pour une transmission illégale de ses données personnelles par l’EYP à d’autres autorités […]

Disponible sur: veille.portail-rgpd.com

CNIL

06 novembre 2024

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

05 novembre 2024

Le Comité de protection des données personnelles sanctionne Meta pour la collecte et l’utilisation d’informations sensibles sans base légale … mais pas que Le 4 novembre, l’autorité de protection des données sud-coréenne (présidé par Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière et a décidé d’imposer une amende administrative de 21,6 […]

Disponible sur: veille.portail-rgpd.com