Article 14

Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

(a)

l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

(b)

le cas échéant, les coordonnées du délégué à la protection des données;

(c)

les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

(d)

les catégories de données à caractère personnel concernées;

(e)

le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

(f)

le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

(a)

la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

(b)

lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

(c)

l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;

(d)

lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

(e)

le droit d’introduire une réclamation auprès d’une autorité de contrôle;

(f)

la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;

(g)

l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

(a)

dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

(b)

si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

(c)

s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

(a)

la personne concernée dispose déjà de ces informations;

(b)

la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

(c)

l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

(d)

les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Qu'est-ce que ça veut dire?

Si vous collectez des données personnelles, vous devez informer la personne concernée de la manière dont vous traitez ses données.

L’article 14 décrit comment vous devez fournir les informations à la personne concernée lorsque vous n’avez pas obtenu de données à caractère personnel de la personne concernée mais d’autres sources. Si vous obtenez des données personnelles de la part de la personne concernée, vous devez plutôt consulter l’article 13.

L’article 14 vous oblige, entre autres, à fournir des informations sur vos sources de données et à indiquer si les données à caractère personnel proviennent de sources accessibles au public.

Vous devez informer les personnes concernées par écrit, car le RGPD exige que vous soyez en mesure de documenter votre conformité à ces règles.

Cette règle, ainsi que l’article 13, est la raison pour laquelle vous voyez tous les sites web avoir une politique de confidentialité.

L’article 14 exige que toute personne traitant des données à caractère personnel qui n’ont pas été obtenues auprès de la personne concernée communique la manière dont elle entend traiter ces données.

En tant que responsable du traitement, si vous traitez des données personnelles collectées auprès d’agences gouvernementales, de bases de données publiques ou d’un partenaire, vous êtes couvert par les règles de l’article 14.

Lorsque les informations personnelles n’ont pas été obtenues auprès de la personne concernée, vous devez informer cette dernière au plus tard dans un délai d’un mois, compte tenu des circonstances spécifiques dans lesquelles les données sont traitées.

Idéalement, vous devriez informer la personne concernée dès que possible après avoir obtenu les données personnelles.

Supposons que vous ayez l’intention d’utiliser des données personnelles pour communiquer avec la personne concernée. Dans ce cas, vous devez fournir les informations au moment de la première communication avec cette personne spécifique.

Les articles 13 et 14 vous obligent à fournir des informations à la personne concernée lorsque vous avez obtenu ses données personnelles et à lui expliquer quelles informations lui fournir.

L’article 13 concerne les informations que vous devez fournir à la personne concernée lorsque des données à caractère personnel sont collectées auprès d’elle.

D’autre part, l’article 14 concerne les informations que vous devez fournir à la personne concernée lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, mais auprès d’autres sources.

Ces autres sources de données peuvent être des registres publics, des vendeurs ou autres.

Une politique de confidentialité est un texte qui communique la manière dont vous traitez les données personnelles de la personne concernée, qui peut être un utilisateur, un client, un employé, un partenaire, etc.

La politique de protection de la vie privée est souvent accessible sur le site web du responsable du traitement, de sorte que vous pouvez y renvoyer lorsque les personnes concernées demandent des informations complémentaires sur le traitement de leurs données personnelles.

Les articles 13 et 14 du RGPD vous obligent à informer vos personnes concernées du traitement de leurs données personnelles.

L’article 13 précise comment vous devez communiquer votre traitement lorsque les données personnelles sont collectées auprès de la personne concernée elle-même. Vous collectez des données personnelles auprès de la personne concernée lorsque vous lui demandez ses coordonnées ou des informations similaires. Ceci est contraire à la situation décrite à l’article 14, qui définit les règles de votre communication lorsque les données personnelles n’ont pas été obtenues de la personne concernée.

Si vous souhaitez créer une politique de protection de la vie privée à partir de zéro, vous devez suivre les exigences des articles 14(1), 14(2) et 14(3). Toutefois, ces dispositions peuvent ne pas s’appliquer si la personne concernée a déjà reçu ces informations ou si la fourniture de ces informations est jugée impossible ou impliquerait un effort disproportionné.

En outre, l’article 12 vous oblige à communiquer de manière transparente, ce qui signifie que les informations fournies dans la politique de confidentialité doivent être claires.

Oui. Vous pouvez utiliser un modèle de politique de confidentialitémais il est essentiel d’adapter la politique de confidentialité à votre traitement spécifique des données personnelles.

Si vous n’adaptez pas la politique de confidentialité à votre traitement spécifique des données à caractère personnel, la communication risque de devenir vague et donc d’apporter peu de valeur ajoutée au lecteur.

L’objectif de la politique de confidentialité est d’informer la personne concernée afin qu’elle puisse décider en toute connaissance de cause de vous laisser traiter ses données personnelles.

Vous pouvez trouver un modèle de politique de confidentialité sur ce site web.

Ce modèle a été conçu pour une entreprise typique ; il peut donc être utilisé par la plupart des sociétés, mais n’oubliez pas de le personnaliser en fonction de vos besoins si vous décidez de l’utiliser.

Le cas d’utilisation actuel du modèle est fait en tenant compte de l’article 13. Cela signifie que vous devez faire attention et adapter le modèle à vos besoins si, au contraire, vous êtes couvert par les exigences décrites à l’article 14.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About