Article 14 du RGPD
Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Chapitre 3 - Droits de la personne concernée
Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Ce que dit l'Article 14 du RGPD

1.  Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) les catégories de données à caractère personnel concernées;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2.  En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;

g) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3.  Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4.  Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5.  Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations;

b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d) les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Que doit-on comprendre de l'Article 14 du RGPD ?

Des exemples de sanctions dans le cadre de l'Article 14 du RGPD

225000000
Autorité irlandaise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Whatsapp Irlande Ltd.
50000000
Autorité française de protection des données (CNIL)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Google Inc.
6000000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Caixabank Sa
3296326
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Sky Italia Srl
1750000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Sgam Ag2r La Mondiale
720000
Autorité suédoise de protection des données
Contexte :
Respect insuffisant des obligations d'information
En cause :
Klarna Bank Ab
500000
Autorité française de protection des données (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Futura Internationale
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Roma Capitale (municipalité De Rome)
400000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Société Monsanto
400000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
B&t Spa
250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Spartoo
250000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Iab Europe
220000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Entreprise Privée Travaillant Avec Des Données Provenant De Sources Accessibles Au Public
150000
Autorité hellénique de protection des données (HDPA)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Solutions D'affaires Pwc
118500
Autorité tchèque de protection des données (UOOU)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Inconnu
100000
Médiateur adjoint pour la protection des données
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Posti Group Oyj
100000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Azienda Unità Sanitaria Locale Toscana Sud Est
75000
Médiateur adjoint pour la protection des données
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Parkkipate Oy
65000
Commissaire à la protection des données de Malte
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
C-planet (it Solutions) Limited
50000
Autorité belge de protection des données (APD)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Inconnu
50000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Région Stockholm
40000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Miraclia Telecomunicaciones Sl
30000
Autorité hellénique de protection des données (HDPA)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Services De Communication D'informations
25000
Autorité hellénique de protection des données (HDPA)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Plus La Vraie Publicité
15000
Autorité belge de protection des données (APD)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Inconnu
10000
Autorité belge de protection des données (APD)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Inconnu
8000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Filigrana Comunicación Slu
7300
Autorité française de protection des données (CNIL)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Perfomeclic
6000
Autorité espagnole de protection des données (aepd)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Amalfi Servicios De Restauracion Sl
3200
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Détaillant

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?