Expert du droit > RGPD > Article 13 du RGPD : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Article 13 du RGPD : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Sommaire :
Comprendre l’article 13
L’article 13 du Règlement Général sur la Protection des Données liste l’ensemble des informations devant être communiquées à la personne dont sont détenues les données lorsque ses données sont collectées directement auprès d’elle. On retrouve notamment :
identité et coordonnées du responsable du traitement (personne ou organisme décisionnaire des opérations réalisées sur les données), le cas échéant, son représentant, et le cas échéant les coordonnées du DPO
la finalité du traitement et sa base juridique (son objectif et son fondement selon l’article 6)
si le traitement poursuit un intérêt légitime pour le responsable de traitement, l’intérêt légitime en question
les destinataires ou catégories de destinataire ou le transfert des données en dehors de l’Etat
D’autres informations doivent être mises à la disposition de la personne concernée lors de la réception des données :
les durées de conservation, ou les critères permettant de déterminer la durée de conservation
du droit d’accès aux données, au droit de rectification, d’effacement, de limitation du traitement ou le droit d’opposition
le droit de retirer son consentement à tout moment
le droit d’induire une réclamation auprès des autorités de contrôle (en France, la CNIL)
la nature de l’exigence de fourniture des données (contractuelle ou réglementaire)
l’existence d’une prise de décision automatisée
Ces informations doivent être fournies et/ou mises à dispositions par le responsable de traitement.
Si le responsable de traitement souhaite réutiliser les mêmes données, il doit informer les personnes concernées des informations mentionnées ci-dessus.
Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?
Article 13 du RGPD
- « Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
- En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée
b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données
c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
d) le droit d’introduire une réclamation auprès d’une autorité de contrôle;
e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
- Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
- Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations. »
Jurisprudence
Plusieurs décisions sur le fondement de cet article : il est –malheureusement– fréquent que certaines de ces informations ne soient pas mentionnées, et l’omission de ces informations est souvent évoquée dans les décisions rendues par la CNIL.
Sanction : 1 750 000€ d’amende
- Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société x. Plusieurs informations manquantes, notamment relatives aux destinataires des données.
Sanction : 500 000€ d’amende pour Brico Privé
- Délibération de la formation restreinte n°SAN-2021-008 du 14 juin 2021 concernant la société BRICO PRIVÉ. Plusieurs informations manquantes, relatives aux coordonnées du DPO, aux durées de conservation, et les bases juridiques du traitement.
Sanction : 2 250 000€ d’amende pour Carrefour France
- Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE. Absence de mentions relatives au transfert des données.
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €