Article 14 du RGPD : Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
Sommaire :
Comprendre l’article 14
Cet article précise la liste d’informations devant être fournies à une personne concernée (une personne dont on détient ou utilise des données personnelles) lorsque ses données n’ont pas été collectées directement auprès d’elle (par exemple des données issues d’une base de données).
On retrouve notamment comme informations obligatoires prévues par le RGPD :
- identité et coordonnées du responsable de traitement (dirigeant ou organisme à l’origine et décisionnaire des opérations réalisées sur les données) ou le cas échéant de son représentant ou à défaut du DPO (Data Protection Officer)
- finalité et base juridique du traitement : c’est-à-dire l’objectif poursuivi par le traitement et son fondement juridique, conformément à l’article 6 du RGPD
- catégorie de données concernées (données d’identité, données bancaires…) ou le cas échéant les destinataires (service, entité….) ou à défaut le choix du responsable de traitement d’effectuer un transfert à l’étranger
- la durée de conservation des données ou les critères utilisés pour déterminer cette durée
- si le traitement est fondé sur l’intérêt légitime, l’intérêt en question
- les droits des personnes concernées (droit d’accès, droit à l’oubli…)
- la source de collecte des données ou si la mise à disposition des données était publique
- l’existence d’une prise de décision automatisée
Ces informations doivent être fournies dans un délai raisonnable (moins d’un mois) ou dès lors la première communication basée sur ces données ou lors du transfert de celles-ci.
Si la finalité du traitement devait être amenée à changer, le responsable du traitement doit en informer les personnes concernées.
La mise à disposition de ces informations est obligatoire sauf dans 4 cas :
- la personne concerné dispose déjà de ces informations
- la mise à disposition de ces informations n’est pas possible (traitements à fins archivistiques notamment)
- s’il s’agit d’un secret professionnel
- selon le droit de l’Etat membre
Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?
Article 14 du RGPD
- « Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
- Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
- La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »
Jurisprudence
Sanction de 1 000 000€ pour Total Energies
Le 23 juin 2022, la CNIL a condamné TOTAL ENERGIES à une sanction de 1 000 000€ sur la base de cet article 14. Pourquoi ? La CNIL a constaté que le géant du gaz et de l’électricité ne mettait pas à disposition des personnes démarchées téléphoniquement les informations listées ci-dessus. Pour lire la délibération : Délibération SAN-2022-011 du 23 juin 2022 – Légifrance
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €
