📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 13 du RGPD : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Sommaire

Introduction

Lorsqu’une entreprise ou une organisation collecte directement des données personnelles auprès d’une personne (par exemple à travers un formulaire d’inscription, un contrat ou l’installation d’une application), elle doit obligatoirement informer cette personne sur l’utilisation de ses données.
L’article 13 du Règlement Général sur la Protection des Données  précise tout ce que le responsable de traitement doit dire à la personne concernée, au moment de la collecte. L’objectif est de garantir un choix éclairé et une transparence totale dès la première interaction.

Explication de l’article 

L’article 13 du RGPD consacre le droit à l’information des personnes lorsque leurs données sont collectées directement par un organisme. Son objectif est de garantir la transparence et de donner aux individus les moyens de comprendre et contrôler l’usage de leurs données personnelles.

Quand informer ?

L’information doit être donnée au moment même de la collecte. Elle doit être claire, accessible et compréhensible, sans jargon juridique ou technique, afin que toute personne puisse réellement savoir ce qui va être fait de ses données.

Quelles informations communiquer ?

Le responsable de traitement doit fournir aux personnes concernées :

  • L’identité et les coordonnées du responsable de traitement et, s’il existe, du Délégué à la protection des données (DPO).
  • Les finalités du traitement (pourquoi les données sont collectées).
  • La base légale qui permet cette collecte (par exemple : consentement, obligation légale, contrat).
  • Les destinataires des données (personnes internes ou prestataires externes qui auront accès aux informations).
  • L’éventuel transfert hors de l’Union européenne et les garanties mises en place.
  • La durée de conservation prévue ou les critères utilisés pour la déterminer.
  • Les droits de la personne : accès, rectification, effacement, opposition, limitation, portabilité.
  • La possibilité de retirer son consentement à tout moment si le traitement repose sur celui-ci.
  • Le droit de déposer une réclamation auprès de la CNIL (ou de l’autorité locale compétente).
  • L’existence d’une prise de décision automatisée ou de profilage, le cas échéant.
  • Enfin, si un usage différent des données est envisagé par la suite, la personne doit être prévenue à l’avance et informée des nouvelles finalités.

Sous quelle forme ?

Le RGPD ne fixe pas de modèle unique. L’essentiel est que l’information soit adaptée au contexte :

  • Dans un site internet ou une application : une politique de confidentialité claire et détaillée.
  • Dans un magasin équipé de caméras : un panneau visible avec les principales informations, complété par un document plus détaillé disponible en ligne ou sur demande.
  • Dans le cadre d’un service client ou d’un contrat : l’intégration des informations directement dans les conditions ou formulaires.

L’article 13 donne à la personne concernée une vue complète et immédiate sur l’utilisation de ses données. Il impose au responsable de traitement de jouer la carte de la transparence et de la loyauté, condition indispensable pour renforcer la confiance dans le numérique et assurer le respect du principe fondateur du RGPD : redonner le contrôle des données aux individus.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

  1. « Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitementb) le cas échéant, les coordonnées du délégué à la protection des données;c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et

    f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

  2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des donnéesc) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;d) le droit d’introduire une réclamation auprès d’une autorité de contrôle;e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
  3. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
  4. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations. »

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 10

Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

  1. a) l’identité du responsable du traitement et, le cas échéant, de son représentant;
  2. b) les finalités du traitement auquel les données sont destinées;
  3. c) toute information supplémentaire telle que:

– les destinataires ou les catégories de destinataires des données,

– le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,

– l’existence d’un droit d’accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 48

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le droit à l’information s’exerce dans les conditions prévues aux articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016.

En particulier, lorsque les données à caractère personnel sont collectées auprès d’un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées à l’article 13 de ce règlement dans un langage clair et facilement accessible.

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est également informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant du droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort, dans les conditions prévues à l’article 85.

En application de l’article 23 du même règlement, le droit à l’information ne s’applique pas aux données collectées dans les conditions prévues à l’article 14 de ce règlement et utilisées lors d’un traitement mis en œuvre pour le compte de l’Etat et intéressant la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par ce traitement et prévue par l’acte instaurant le traitement.

Il est fait application des dispositions de l’alinéa précédent lorsque le traitement est mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d’effectuer des contrôles de l’activité de personnes physiques ou morales pouvant donner lieu à la constatation d’une infraction ou d’un manquement, à des amendes administratives ou à des pénalités.

Analyse des 3 textes qui précèdent

La Directive 95/46/CE contenait des principes fondamentaux d’information lors de la collecte des données personnelles (notamment articles 10 et 11), mais ceux-ci étaient moins détaillés et moins précis que dans le RGPD. La directive imposait déjà l’obligation d’informer la personne concernée du responsable de traitement, des finalités du traitement, des destinataires des données, et du droit d’accès.

L’article 13 marque un renforcement majeur par rapport à la directive de 1995 et la loi Informatique et Libertés initiale.
Il ne se limite pas à exiger une information sur qui collecte les données et pourquoi, mais impose aussi une transparence totale sur la base légale, la durée de conservation, les droits détaillés des personnes, et même sur les décisions automatisées.
Ce niveau de détail est conçu pour permettre aux individus de faire des choix réellement éclairés et de détecter tout usage abusif ou disproportionné.

En pratique, cet article est l’un des piliers de la transparence numérique exigée par le RGPD et explique pourquoi la plupart des entreprises doivent aujourd’hui afficher des politiques de confidentialité claires, accessibles et détaillées.

Vous avez besoin d’un accompagnement RGPD clair et efficace ? Trouvez votre DPO externe avec Mon Expert RGPD.

Jurisprudences 

Européennes 

C-154/21, rendu le 12 janvier 2023

Arrêt Österreichische Post . La Cour y précise que le responsable de traitement doit fournir à la personne concernée, sur demande, des informations complètes et claires sur les destinataires précis de ses données personnelles, conformément à l’article 13 du RGPD. Cependant, cet article permet aussi de refuser ou de limiter l’accès si la demande est manifestement infondée ou excessive.

C-40/17, 29 juillet 2019

Arrêt Fashion ID, qui souligne l’obligation conjointe des responsables de fournir une information claire à la personne concernée, notamment au moment de la collecte.

Françaises 

Délibération SAN-2023-009 du 15 juin 2023 : Sanction : 40 millions d’euros d’amende pour Criteo 

Plusieurs manquements au RGPD, notamment une violation grave de l’obligation d’information prévue à l’article 13. Criteo n’a pas correctement informé les internautes au moment de la collecte de leurs données personnelles sur l’identité du responsable, la finalité du traitement et les catégories de données collectées. Cette absence de transparence a empêché les personnes concernées de comprendre et d’exercer pleinement leurs droits, ce qui constitue une infraction directe à l’article 13 du RGPD.

Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société x. Sanction : 1 750 000€ d’amende. Plusieurs informations manquantes, notamment relatives aux destinataires des données.

Délibération de la formation restreinte n°SAN-2021-008 du 14 juin 2021 concernant la société BRICO PRIVÉ. Sanction : 500 000€ d’amende pour Brico Privé. Plusieurs informations manquantes, relatives aux coordonnées du DPO, aux durées de conservation, et les bases juridiques du traitement.

Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE. Sanction : 2 250 000€ d’amende pour Carrefour France. Absence de mentions relatives au transfert des données.

Recommandations

CNIL 

Conformité RGPD : comment informer les personnes et assurer la transparence ?

CEPD 

Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès 

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.