📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 14 du RGPD : Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée

Sommaire

Introduction 

L’Article 14 du Règlement Général sur la Protection des Données (RGPD) précise les informations que l’organisation ou l’entreprise (le responsable du traitement) doit fournir à une personne lorsque ses données personnelles n’ont pas été collectées directement auprès d’elle. Cette obligation vise à garantir la transparence et le respect des droits fondamentaux des personnes concernées.

Explication de l’article 

Cet article précise la liste d’informations devant être fournies à une personne concernée (une personne dont on détient ou utilise des données personnelles) lorsque ses données n’ont pas été collectées directement auprès d’elle (par exemple des données issues d’une base de données).

On retrouve notamment comme informations obligatoires prévues par le RGPD : 

  • Identité et coordonnées du responsable de traitement (dirigeant ou organisme à l’origine et décisionnaire des opérations réalisées sur les données) ou le cas échéant de son représentant ou à défaut du DPO (Data Protection Officer).
  • Finalité et base juridique du traitement : c’est-à-dire l’objectif poursuivi par le traitement et son fondement juridique, conformément à l’article 6 du RGPD.
  • Catégorie de données concernées (données d’identité, données bancaires…) ou le cas échéant les destinataires (service, entité….) ou à défaut le choix du responsable de traitement d’effectuer un transfert à l’étranger.
  • Durée de conservation des données ou critères utilisés pour déterminer cette durée.
  • Si le traitement est fondé sur l’intérêt légitime, l’intérêt en question.
  • Droits des personnes concernées (droit d’accès, droit à l’oubli…).
  • Existence d’une prise de décision automatisée.

Ces informations doivent être fournies dans un délai raisonnable (moins d’un mois) ou dès lors la première communication basée sur ces données ou lors du transfert de celles-ci.

Si la finalité du traitement devait être amenée à changer, le responsable du traitement doit en informer les personnes concernées.

La mise à disposition de ces informations est obligatoire sauf dans 4 cas :

  • La personne concernée dispose déjà de ces informations.
  • La mise à disposition de ces informations n’est pas possible (traitements à fins archivistiques notamment).
  • S’il s’agit d’un secret professionnel.
  • Selon le droit de l’Etat membre.
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) les catégories de données à caractère personnel concernées;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

c) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;

g) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations;

b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 11 

Informations lorsque les données n’ont pas été collectées auprès de la personne concernée

1. Lorsque les données n’ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l’enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l’identité du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement;

c) toute information supplémentaire telle que:

– les catégories de données concernées,

– les destinataires ou les catégories de destinataires des données,

– l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s’applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l’information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l’enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 32

Version en vigueur du 27 août 2011 au 09 octobre 2016

Modifié par Ordonnance n°2011-1012 du 24 août 2011 – art. 37

I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

II- Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

– de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

– des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

– soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

– soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

III.-Lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s’appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.

IV.-Si les données à caractère personnel recueillies sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l’informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.

V.-Les dispositions du I ne s’appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d’un traitement mis en oeuvre pour le compte de l’Etat et intéressant la sûreté de l’Etat, la défense, la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

VI.-Les dispositions du présent article ne s’appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales.

Analyse des 3 textes qui précèdent

Le devoir d’information des personnes concernées par un traitement de données personnelles est encadré différemment selon le cadre juridique considéré : la Directive européenne, la loi française et le Règlement général sur la protection des données (RGPD).

La Directive 95/46 CE établissait un devoir d’information différencié selon que les données étaient collectées directement auprès de la personne concernée ou indirectement via un tiers. Elle imposait au responsable du traitement d’informer la personne de l’identité du responsable, des finalités du traitement et, le cas échéant, des destinataires des données. Cependant, ces obligations restaient relativement succinctes et ne détaillaient pas systématiquement les éléments comme la durée de conservation ou les droits étendus des personnes.

La loi  Informatique et Libertés a repris le principe du devoir d’information de la Directive et l’a étendu pour inclure les cas où les données sont collectées auprès d’un tiers. L’information devait être fournie au moment de l’enregistrement des données ou, au plus tard, lors de la première communication des données. Des exceptions étaient prévues, par exemple lorsque la personne était déjà informée, lorsque l’information était impossible ou nécessitait des efforts disproportionnés, ou pour des traitements ayant pour objet la prévention ou la poursuite d’infractions pénales.

Le RGPD renforce considérablement le devoir d’information lorsque les données n’ont pas été collectées directement auprès de la personne concernée. Il élargit les informations à communiquer, notamment : l’identité du délégué à la protection des données, le fondement juridique du traitement, les intérêts légitimes, les transferts de données vers des pays tiers, la durée de conservation ou les critères permettant de la déterminer, l’ensemble des droits reconnus à la personne, la source des données, ainsi que l’existence éventuelle d’une prise de décision automatisée ou de profilage.

Le RGPD précise également le délai de communication : l’information doit être fournie dans un délai raisonnable n’excédant pas un mois après la collecte, ou avant la première communication des données à un tiers. Il prévoit des exceptions détaillées, semblables mais plus étendues que celles de la loi française, notamment pour les traitements à des fins scientifiques, statistiques, d’archivage dans l’intérêt public ou lorsque la divulgation est interdite par le droit ou le secret professionnel.

En somme, si la Directive et la loi française posaient un cadre général pour le devoir d’information, l’article 14 du RGPD le précise, le complète et le systématise, en imposant davantage d’informations et en encadrant plus strictement les exceptions. La principale difficulté pratique réside dans la détermination de la nécessité de communiquer certaines informations pour garantir un traitement « équitable et transparent », notamment lorsqu’il s’agit d’intérêts légitimes ou de décisions automatisées.

Jurisprudences 

Cass. Fr., n°20-12.263 (10 novembre 2021)

La Cour précise les modalités d’information à fournir dans un contexte professionnel, confirmant la nécessité de transparence et de clarté dans l’information préalable, principes repris par l’article 14 RGPD.

Cass. Fr., n°23-22.218 (27 février 2025)

Arrêt qui précise les conditions d’exceptions à l’obligation d’information, notamment en lien avec des textes légaux spécifiques protégeant certains intérêts légitimes. Cela montre la mise en œuvre concrète des dérogations aux obligations de l’article 14 RGPD.

Délibération SAN-2024-004 du 4 avril 2024 

Sanction de 525 000 euros : La CNIL a sanctionné HUBSIDE.STORE pour avoir utilisé des données achetées auprès de courtiers en données à des fins de prospection commerciale (SMS et téléphone) sans obtenir le consentement valide des personnes concernées. L’enquête a révélé que les formulaires de collecte utilisés par les courtiers ne permettaient pas d’obtenir un consentement éclairé et valide, ce qui constitue un manquement à l’article 6 du RGPD (base légale) et à l’article L.34-5 du Code des postes et communications électroniques. En outre, HUBSIDE.STORE a été sanctionnée pour ne pas avoir suffisamment informé les personnes concernées pendant ses opérations de prospection, ce qui constitue une violation directe de l’article 14 du RGPD, qui impose une obligation d’information lorsque les données ne sont pas collectées auprès de la personne concernée. Cette obligation n’a pas été respectée, accentuant la gravité des manquements. La CNIL a prononcé une amende équivalente à environ 2% du chiffre d’affaires de la société, en coopération avec d’autres autorités européennes.

Délibération SAN-2022-011 du 23 juin 2022

Sanction de 1 000 000 euros : La CNIL a sanctionné TotalEnergies pour divers manquements, notamment en matière de prospection commerciale et de respect des droits des personnes concernées (droit d’accès, opposition). La société ne fournissait pas une information complète et transparente aux utilisateurs lors de la collecte de leurs données, ni ne leur permettait facilement d’exercer leurs droits, notamment le droit d’opposition à la prospection. Ces manquements touchent directement l’article 14 du RGPD qui impose une obligation d’information à la personne concernée, notamment quand les données ne sont pas collectées directement auprès d’elle, ainsi que les articles 15 (droit d’accès) et 21 (droit d’opposition). La sanction a pris en compte la prise de mesures correctives de la société, mais le non-respect initial des obligations d’information demeure central dans cette affaire.

Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC.

Sanction de 50 000 000 euros : La CNIL a infligé la plus haute sanction à Google pour défaut de transparence et information insuffisante des utilisateurs concernant le traitement de leurs données personnelles à des fins de personnalisation publicitaire. L’entreprise n’a pas fourni une information claire et accessible aux personnes concernées, en violation de l’article 14 du RGPD (obligation d’information), mais aussi des articles 13 (transparence), 6 (licéité du traitement) et 5 (principe de loyauté). Le manquement majeur portait sur le fait que les utilisateurs n’étaient pas suffisamment informés avant que leurs données ne soient traitées par Google, ce qui rendait le consentement invalide pour la personnalisation des publicités.

Recommandations 

CNIL 

Conformité RGPD : comment informer les personnes et assurer la transparence ?

CEPD 

Guidelines 01/2022 on data subject rights – Right of access

Vous avez besoin d’un accompagnement RGPD clair et efficace ? Trouvez votre DPO externe avec Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.