Article
En savoir plus...
Jurisprudence
Actualités
Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne
1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:- a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
- b) le cas échéant, les coordonnées du délégué à la protection des données;
- c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- d) les catégories de données à caractère personnel concernées;
- e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;
- f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
- a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
- c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;
- d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
- e) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
- f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;
- g) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
- a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;
- b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou
- c) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:
- a) la personne concernée dispose déjà de ces informations;
- b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;
- c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou
- d) les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.
En savoir plus...
Conjointement avec l'article 13, l'article 14 du RGPD concrétise le principe de transparence inscrit à l'article 5, paragraphe 1, point a) et défini plus en détail à l'article 12. Alors que l'article 13 s'applique aux situations dans lesquelles les données à caractère personnel sont collectées directement auprès des personnes concernées (c'est-à -dire en remplissant un formulaire électronique), l'article 14 s'applique aux situations dans lesquelles les données à caractère personnel n'ont pas été collectées auprès des personnes concernées, mais plutôt auprès d'un tiers (c'est-à -dire une collecte indirecte). En général, cette mesure permet d'éviter la collecte secrète de données à caractère personnel, avec tous les inconvénients que cela comporte. La disposition exige donc que les responsables du traitement fournissent des informations spécifiques aux personnes concernées peu de temps après avoir obtenu les données.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Obligation d'information]
60. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.
[Le moment de l'information]
61. Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.
[Exceptions à l'obligation d'information]
62. Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.
60. Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.
[Le moment de l'information]
61. Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.
[Exceptions à l'obligation d'information]
62. Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.
Droit souple
Lignes directrices et recommandations
> WP29 - Lignes directrices - La transparence
WP260, 29 novembre 2017, modifiées le 11 avril 2018
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 6 - Licéité du traitement
> Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel
> Article 22 - Décision individuelle automatisée, y compris le profilage
> Article 46 - Transferts moyennant des garanties appropriées
> Article 47 - Règles d'entreprise contraignantes
> Article 49 - Dérogations pour des situations particulières
> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Cet article est cité par...
> Article 23 - Limitations
> Article 26 - Responsables conjoints du traitement
> Article 47 - Règles d'entreprise contraignantes
> Article 49 - Dérogations pour des situations particulières
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-169/23 | Másdi | 28/11/2024 | Données générées par le responsable de traitement - Régime d'information distinct que des données collectées auprès de tiers - Absence | Lien | Contenu de l'information | Administration | Cour de Justice de l'UE | 2024 |
| C-169/23 | Másdi | 28/11/2024 | Exception à l'information des personnes (communication expressément prévue par le droit de l'Union ou de l'Etat Membre) - Réclamation - 1) Vérification par l'autorité de la présence de mesures appropriées pour protéger les intérêts des personnes - Admission - 2) Vérification des mesures de sécurité de l'article 32 - Rejet | Lien | Exceptions | Administration | Cour de Justice de l'UE | 2024 |
| C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | Accès de la police aux données contenues dans un téléphone portable - Information des motifs sur lesquels repose l'autorisation à partir du moment où cela n'impacterait plus l'enquête - Obligation | Lien | Directive Police-Justice, Moment de l'information | Police-Justice | Cour de Justice de l'UE | 2024 |
| SAN-2022-021 | EDF | 24/11/2022 | Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion | Lien | Contenu de l'information | Marketing et prospection | CNIL ou équivalent | 2022 |
| SAN-2021-012 | Monsanto | 26/07/2021 | Information des personnes - Exemption en cas de publicité des données ou en cas d'absence d'utilisation du fichier - Exclusion - Exception liée au caractère disproportionné des efforts nécessaires pour la délivrance de l'information - Inapplicable en l'espèce | Lien | Exceptions | Economie et fiscalité, Marketing et prospection | CNIL ou équivalent | 2021 |
| C-13/16 | Rïgas satiksme | 04/05/2017 | Intérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence | Lien | Intérêt légitime | Cour de Justice de l'UE | 2017 |
Actualités
Profitez de nos actualités en lien avec cet article !AEPD (autorité espagnole)
15 avril 2025
Une entreprise condamnée à une amende de 20 000 euros pour collecte illégale de données et manquement à l’information
L’autorité espagnole a publié une décision de sanction à l’encontre de la société ESTUDIO ALCAZAR DEL GENIL 2022, S.L., lui infligeant une amende de 12 000 euros pour avoir collecté illégalement des données personnelles et pour ne pas avoir informé les personnes concernées. L’affaire a, comme [...]
DVI (autorité lettonne)
24 mars 2025
En Lettonie: l’examen sur la conformité des politiques de confidentialité est terminé, l’autorité note elle-aussi de nombreuses lacunes
L’année dernière, en 2024, l’Inspection nationale des données a effectué un examen préventif de la politique de confidentialité de trente commerçants enregistrés en Lettonie, dont l’activité principale est liée au commerce de détail par correspondance ou en [...]
PIPC (autorité coréenne)
24 mars 2025
En Corée du Sud, les résultats de l’évaluation de la politique de traitement des données personnelles pour 2024 montrent des lacunes
La Commission de Protection des Données Personnelles (présidée par Ko Hak-soo, ci-après « Commission ») a publié les résultats de l’évaluation de la « politique de traitement des données personnelles pour 2024 » concernant sept domaines étroitement liés à la vie des citoyens : [...]
APD (autorité belge)
20 mars 2025
En Belgique, l’autorité de contrôle réprimande l’Office des étrangers pour un traitement sans base légale
La Chambre Contentieuse de l’APD a aujourd’hui annoncé avoir adressé une réprimande à l’Office des étrangers pour avoir traité des données à caractère sans base légale. En 2023, l’Office des étrangers a adopté une décision de fin de séjour à l’encontre d’une personne de nationalité étrangère (en séjour r [...]
CNIL
08 février 2025
IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable
Le Sommet pour l’action sur l’intelligence artificielle, organisé par la France du 6 au 11 février 2025, accueillera de nombreux évènements qui confirment que l’IA recèle un potentiel d’innovation et de compétitivité pour les prochaines années. Depuis 1978, la France s’est dotée de règles pour encadrer l’usage des donn [...]
Tietosuoja (autorité finlandaise)
15 novembre 2024
Amende de 2,4 millions d’euros à l’encontre de la Poste finlandaise pour des lacunes en matière de protection des données dans le service MyPost
L’autorité en Finlande a aujourd’hui annoncé avoir imposé une amende de 2,4 millions d’euros à Posti pour ses pratiques dans le service MyPost; le service créait automatiquement une boîte aux lettres électronique pour ses clients sans qu’ils [...]
DPA (autorité grecque)
14 novembre 2024
Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique
L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiqu [...]
CNIL
06 novembre 2024
Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères
Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victi [...]
<< Retourner au menu