Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne

Article

Jurisprudence

Actualités

Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne

1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
b) le cas échéant, les coordonnées du délégué à la protection des données;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
d) les catégories de données à caractère personnel concernées;
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;
f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
e) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;
g) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;
b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou
c) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations;
b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;
c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou
d) les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

En savoir plus...

Conjointement avec l'article 13, l'article 14 du RGPD concrétise le principe de transparence inscrit à l'article 5 et défini plus en détail à l'article 12. Alors que l'article 13 s'applique aux situations dans lesquelles les données à caractère personnel sont collectées directement auprès des personnes concernées, l'article 14 traite de l’obligation d’information lorsque les données personnelles ne sont pas collectées directement auprès de la personne concernée.

Dans un tel cas, le responsable du traitement doit lui transmettre, dans un délai raisonnable (au plus tard sous un mois ou au moment de la première communication), des informations claires sur l’identité du responsable, les finalités du traitement, les catégories de données concernées, leur origine, les destinataires éventuels, ainsi que ses droits (accès, rectification, opposition, etc.). Si un traitement ultérieur est envisagé pour une autre finalité, la personne concernée doit également en être informée. Des exceptions à cette obligation existent, notamment si l'information est déjà connue, si la fournir est impossible ou disproportionnée, ou si elle est légalement encadrée ou soumise au secret professionnel.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Obligation d'information]
60. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.

[Le moment de l'information]
61. Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

[Exceptions à l'obligation d'information]
62. Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.

Droit souple

Documents anciens

> WP29 – Lignes directrices WP260 – La transparence (rev,.01)

11 avril 2018, Document ancien

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

En savoir plus...

Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations

> CNIL – Recommandations – Applications mobiles

8 avril 2025

> CNIL – Recommandations – Utilisation des données de localisation des véhicules connectés

25 mars 2025 (Projet, Ouvert à consultation publique)

> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/58/CE)

7 octobre 2024 (v2.0)

> CNIL – Recommandations – Réutilisateurs de données publiées sur Internet

12 juin 2024

> CNIL – Recommandations – Dispositifs de vidéosurveillance au sein des chambres des Ehpads

29 février 2024

> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)

7 juillet 2023

> CNIL – Recommandations – Télésurveillance pour les examens en ligne

8 juin 2023

> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels

7 juillet 2021 (v2.0)

> EDPB – Lignes directrices 8/2020 – Le ciblage des utilisateurs de médias sociaux

13 avril 2021 (v2.0)

> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité

9 mars 2021 (v2.0)

> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD

15 décembre 2020 (v2.0)

> CNIL – Lignes directrices – Cookies et autres traceurs

17 septembre 2020

> CNIL – Recommandations – Cookies et autres traceurs

17 septembre 2020

> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo

29 janvier 2020 (v2.0)

Référentiels

> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle

6 juillet 2023

> CNIL – Référentiel – Gestion des officines de pharmacie

18 juillet 2022

> CNIL – Référentiel – Gestion des activités commerciales

3 février 2022

> CNIL – Référentiel – Gestion des impayés dans une transaction commerciale

3 février 2022

> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans

20 janvier 2022

> CNIL – Référentiel – Gestion locative

6 mai 2021

> CNIL – Référentiel – Accueil, hébergement et accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté

11 mars 2021

> CNIL – Référentiel – Gestion du personnel

21 novembre 2019

Guides pratiques

> CNIL – Guide pratique – Equipe de développement

13 décembre 2021 ((sur le github de la CNIL))

> CNIL – Guide pratique – Sensibilisation pour les collectivités territoriales

18 septembre 2019

> CNIL – Guide pratique – L’Ordre des médecins

1 juin 2018

Jurisprudence

Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Effacer les filtres

Décision n°	Nom	Date	Apport de la décision	+ d'infos	Thème	Secteur	Autorite	Annee
MED-2024-107	Société X	24/07/2024	Annuaires réutilisant les données publiées sur internet - Information des personnes au moyen de courriels lorsque les adresses électroniques des personnes concernées figurent dans la base de données utilisée - Exception liée à un effort disproportionné - Absence	Lien	Transparence et information, Exceptions		CNIL ou équivalent	2024
MED-2024-107	Société X	24/07/2024	Service d’annuaire recensant les données de médecins - 2) Obligation de recueil du consentement préalable du professionnel concerné - Absence - 3) Obligation d’informer les personnes concernées des finalités et des conditions de mise en œuvre du traitement - Existence	Lien	Bases légales, Consentement, Transparence et information, Contenu de l'information	Santé	CNIL ou équivalent	2024
C-169/23	Másdi	28/11/2024	Données générées par le responsable de traitement - Régime d'information distinct que des données collectées auprès de tiers - Absence	Lien	Transparence et information, Contenu de l'information	Administration	Cour de Justice de l'UE	2024
C-169/23	Másdi	28/11/2024	Exception à l'information des personnes (communication expressément prévue par le droit de l'Union ou de l'Etat Membre) - Réclamation - 1) Vérification par l'autorité de la présence de mesures appropriées pour protéger les intérêts des personnes - Admission - 2) Vérification des mesures de sécurité de l'article 32 - Rejet	Lien	Transparence et information, Exceptions	Administration	Cour de Justice de l'UE	2024
C-548/21	Bezirkshauptmannschaft Landeck	04/10/2024	Accès de la police aux données contenues dans un téléphone portable - Information des motifs sur lesquels repose l'autorisation à partir du moment où cela n'impacterait plus l'enquête - Obligation	Lien	Directive Police-Justice, Transparence et information, Moment de l'information	Police-Justice	Cour de Justice de l'UE	2024
SAN-2023-023	NS CARDS France	29/12/2023	Exigence d’accessibilité de l’information - Politique de confidentialité disponible uniquement en anglais - Illicéité.	Lien	Transparence et information, Format de l'information		CNIL ou équivalent	2023
SAN-2022-021	EDF	24/11/2022	Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion	Lien	Droits des personnes, Droit d'accès, Contenu, Transparence et information, Contenu de l'information	Marketing et prospection	CNIL ou équivalent	2022
SAN-2021-012	Monsanto	26/07/2021	Information des personnes - Exemption en cas de publicité des données ou en cas d'absence d'utilisation du fichier - Exclusion - Exception liée au caractère disproportionné des efforts nécessaires pour la délivrance de l'information - Inapplicable en l'espèce	Lien	Transparence et information, Exceptions	Economie et fiscalité, Marketing et prospection	CNIL ou équivalent	2021
C-13/16	Rïgas satiksme	04/05/2017	Intérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence	Lien	Bases légales, Intérêt légitime, Transparence et information		Cour de Justice de l'UE	2017

Actualités

Profitez de nos actualités en lien avec cet article !

Chargement des actualités...

Signaler une erreur / Faire une suggestion

<< Retourner au menu

Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne

En savoir plus...

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Considérants pertinents

Droit souple

Documents anciens

Références

Cet article cite...

Cet article est cité par...

Autres textes liés

En savoir plus...

Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations

Référentiels

Guides pratiques

Jurisprudence

Actualités