menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : Belgique) language
Contactez notre membre local en Belgique mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 13
Article suivantarrow_forward

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Textes
Officiels Guidelines
& Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 13 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 13 keyboard_arrow_up

Articles liés à l'article 13

Mots clés liés à l'article 13

Afficher les considérants du Règlement liés à l'article 13 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 13 keyboard_arrow_up

(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitementles concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

(59) Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d'obtenir, sans frais, notamment, l'accès aux données à caractère personnel, et leur rectification ou leur effacement, et l'exercice d'un droit d'opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l'objet d'un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d'un mois et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes.

(60) Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.

(61) Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d'elle ou, si les données à caractère personnel sont obtenues d'une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu'il a l'intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l'origine des données à caractère personnel n'a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

(62) Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d’informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu’il s’agit d’un traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.

(63) Une personne concernée devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l'identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

Afficher les considérants de la Directive 95/46 liés à l'article 13 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 13 keyboard_arrow_up

(38) considérant que le traitement loyal des données suppose que les personnes concernées puissent connaître l'existence des traitements et bénéficier, lorsque des données sont collectées auprès d'elles, d'une information effective et complète au regard des circonstances de cette collecte;

(39) considérant que certains traitements portent sur des données que le responsable n'a pas collectées directement auprès de la personne concernée; que, par ailleurs, des données peuvent être légitimement communiquées à un tiers, alors même que cette communication n'avait pas été prévue lors de la collecte des données auprès de la personne concernée; que, dans toutes ces hypothèses, l'information de la personne concernée doit se faire au moment de l'enregistrement des données ou, au plus tard, lorsque les données sont communiquées pour la première fois à un tiers;

(40) considérant que, cependant, il n'est pas nécessaire d'imposer cette obligation si la personne concernée est déjà informée; que, en outre, cette obligation n'est pas prévue si cet enregistrement ou cette communication sont expressément prévus par la loi ou si l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés, ce qui peut être le cas pour des traitements à des fins historiques, statistiques ou scientifiques; que, à cet égard, peuvent être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les mesures compensatrices qui peuvent être prises.

Le GDPR

L’article 14 du Règlement renforce le devoir d’information lorsque les données sont collectées auprès de la personne, sauf si la personne concernée dispose déjà des informations visées.

Les éléments d’informations inconditionnés déjà présents dans la Directive se diversifient: l’information donnée devra permettre d’identifier l’éventuel délégué à la protection des données, le fondement juridique du traitement en sus de ses finalités ou les intérêts légitimes sur lesquels se fonde le responsable. Une autre information obligatoire porte sur la volonté d’effectuer un transfert de données vers un destinataire d’un pays tiers ou d’une organisation internationale, l’absence de décision d’adéquation du niveau de protection ou encore, le cas échéant, des garanties prises ou des moyens d’obtenir copie.

La notion de destinataire doit être entendue comme la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires (art. 4, 7)).

La condition du devoir d’information des autres éléments devient le caractère nécessaire pour garantir « un traitement équitable et transparent », ce qui ne devrait rien changer sur le fond.

Par contre les éléments d’informations sont aussi plus nombreux.

On vise maintenant notamment la période de conservation des données ou à tout le moins les éléments permettant de la déterminer,  l’existence de l’ensemble des droits reconnus à la personne (en ce compris par exemple le droit à la portabilité des données ou de retrait du consentement), et le droit d’introduire une réclamation auprès d’une autorité de contrôle.

La nature obligatoire éventuelle de la collecte donne lieu à la plus grande précision (caractère réglementaire ou contractuel de l’exigence de fourniture des données, conséquences notamment sur la conclusion d’un contrat de la fourniture des données, etc.).

Il faut également, le cas échéant, informer de l’existence d’une prise de décision automatisée comprenant un profilage ainsi qu’une information significative de la logique sous-jacente et les conséquences du traitement pour la personne.

Il faut encore informer, le cas échéant, des changements de finalités par rapport à la finalité initiale ce qui implique le cas échéant, une nouvelle information préalable sur l’ensemble des éléments précités.

La Directive

L’article 10 de la Directive prévoyait un devoir d’information de la personne concernée qui s’exécute différemment selon que la collecte se fait directement auprès de la personne concernée ou auprès d’un tiers.

Belgique

La législation belge a repris à son compte, selon des modalités propres, l’obligation d’information au cas où la collecte se fait directement auprès de la personne concernée. A la suite de la Directive, seuls trois éléments étaient obligatoires inconditionnellement (identité du responsable, des finalités, existence du droit d’opposition), d’autres informations (destinataires, caractère obligatoire de la réponse, existence d’un droit d’accès et de rectification etc.) ne devant être précisées que si elles apparaissent comme nécessaires à la loyauté du traitement en cause (cfr. art. 9, § 1 et 2).

Difficultés probables ?

La difficulté ne naît pas tant du plus grand nombre d’informations dont il faudra tenir compte, mais de l’incertitude quant à leur transmission à la personne concernée, dès lors que la toute grande majorité de celles-ci est conditionnée par sa nécessité à un traitement « équitable et transparent ». Difficile de dire si, dans le doute, les responsables choisiront la transparence ou non, d’autant que le contenu de certaines de ces informations risque poser difficulté (identification des intérêts légitimes, par exemple).

arrow_back Article précédentArticle 13Article suivant arrow_forward
arrow_back Article précédentArticle 13 Article suivant arrow_forward

Groupe 29

Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (6 february 2018)

(Endorsed by the EDPB)

The General Data Protection Regulation (the GDPR), specifically addresses profiling and automated individual decision-making, including profiling.

Profiling and automated decision-making are used in an increasing number of sectors, both private and public. Banking and finance, healthcare, taxation, insurance, marketing and advertising are just a few examples of the fields where profiling is being carried out more regularly to aid decision-making.

Advances in technology and the capabilities of big data analytics, artificial intelligence and machine learning have made it easier to create profiles and make automated decisions with the potential to significantly impact individuals’ rights and freedoms.

The widespread availability of personal data on the internet and from Internet of Things (IoT) devices, and the ability to find correlations and create links, can allow aspects of an individual’s personality or behaviour, interests and habits to be determined, analysed and predicted.

Profiling and automated decision-making can be useful for individuals and organisations, delivering benefits such as:

  • increased efficiencies; and
  • resource savings.

They have many commercial applications, for example, they can be used to better segment markets and tailor services and products to align with individual needs. Medicine, education, healthcare and transportation can also all benefit from these processes.

However, profiling and automated decision-making can pose significant risks for individuals’ rights and freedoms which require appropriate safeguards.

These processes can be opaque. Individuals might not know that they are being profiled or understand what is involved.

Profiling can perpetuate existing stereotypes and social segregation. It can also lock a person into a specific category and restrict them to their suggested preferences. This can undermine their freedom to choose, for example, certain products or services such as books, music or newsfeeds. In some cases, profiling can lead to inaccurate predictions. In other cases it can lead to denial of services and goods and unjustified discrimination.

The GDPR introduces new provisions to address the risks arising from profiling and automated decision-making, notably, but not limited to, privacy. The purpose of these guidelines is to clarify those provisions.

This document covers:

  • Definitions of profiling and automated decision-making and the GDPR approach to these in general – Chapter II
  • General provisions on profiling and automated decision-making – Chapter III
  • Specific provisions on solely automated decision-making defined in Article 22 - Chapter IV
  • Children and profiling – Chapter V
  • Data protection impact assessments and data protection officers– Chapter VI

The Annexes provide best practice recommendations, building on the experience gained in EU Member States.

The Article 29 Data Protection Working Party (WP29) will monitor the implementation of these guidelines and may complement them with further details as appropriate.

Read the Guidelines

Jurisprudence de la CJUE

C-201/14 (1 octobre 2015)

Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.

Conclusions de l'Avocat général

Arrêt rendu

 

arrow_back Article précédentArticle 13 Article suivant arrow_forward
Règlement
1e 2e

Art. 13

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;

c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

 
Proposition 1 close

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne au moins les informations suivantes:

 a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données;

b) les finalités du traitement auquel sont destinées les données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l’article 6, paragraphe 1, point b), et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f);

c) la durée pendant laquelle les données à caractère personnel seront conservées;

d) l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données;

e) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

 f) les destinataires ou les catégories de destinataires des données à caractère personnel;

g) le cas échéant, son intention d'effectuer un transfert vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers ou l'organisation internationale en question, par référence à une décision relative au caractère adéquat du niveau de protection rendue par la Commission

h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées.

2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel.

4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3:

a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée,

ou b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l’enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment où les données sont communiquées pour la première fois.

5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque:

a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3;

ou b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés;

ou c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation;

ou d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autrui tels qu'ils sont définis dans le droit de l'Union ou le droit des États membres, conformément à l'article 21.

6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protéger les intérêts légitimes de la personne concernée.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. 8. La Commission peut établir des formulaires types pour la communication des informations énumérées aux paragraphes 1 à 3, compte tenu des caractéristiques et des besoins particuliers des différents secteurs et, le cas échéant, des situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
Proposition 2 close

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement doit fournir à cette personne (…), au moment de l'obtention des données en question, les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable; le responsable du traitement inclut en outre les coordonnées de l'éventuel délégué à la protection des données;

b) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que le fondement juridique du traitement.

1 bis. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les autres informations qui sont nécessaires pour garantir (...) un traitement équitable et transparent, compte tenu des circonstances spécifiques et du contexte du traitement des données à caractère personnel, à savoir:

a) (…);

b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

c) les destinataires ou les catégories de destinataires des données à caractère personnel;

 d) le cas échéant, la volonté du responsable du traitement d'effectuer un transfert de données à caractère personnel vers un destinataire d'un pays tiers ou d'une organisation internationale;

e) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou une limitation de leur traitement, ainsi que du droit de s'opposer au traitement de ces données (…) et du droit à la portabilité des données; e bis) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement avant le retrait de celui-ci;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle (…);

g) des précisions sur le caractère réglementaire ou contractuel de l'exigence de fourniture de données à caractère personnel, ou sur la question de savoir si cette exigence conditionne la conclusion d'un contrat, ainsi que sur la question de savoir si la personne concernée est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

(h) l'existence d'une prise de décision automatisée comprenant un profilage visé à l'article 20, paragraphes 1 et 3, et des informations concernant (…) la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

1 ter. Lorsqu'il a l'intention de traiter les données (...) à des fins autres que la finalité initiale de la collecte des données, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 1 bis.

2. (...)

3. (...)

4. (...)

5. Les paragraphes 1, 1 bis et 1 ter ne s'appliquent pas lorsque et dans la mesure où la personne concernée dispose déjà de ces informations.

6. (...)

7. (...)

 8. (...)
Directive close

Art. 10

Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement auquel les données sont destinées;

c) toute information supplémentaire telle que:

- les destinataires ou les catégories de destinataires des données,

- le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.
Belgique
compare_arrows
visibility Ancienne loi

Aucune disposition spécifique
Ancienne loi close

Art. 9

§ 1er. Le responsable du traitement ou son représentant doit fournir à la personne concernée auprès de laquelle il obtient les données la concernant et au plus tard au moment où ces données sont obtenues, au moins les informations énumérées ci-dessous, sauf si la personne concernée en est déjà informée :

a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement;

c) l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing;

d) d'autres informations supplémentaires, notamment :

  - les destinataires ou les catégories de destinataires des données,

  - le caractère obligatoire ou non de la réponse ainsi que les conséquences éventuelles d'un défaut de réponse,

  - l'existence d'un droit d'accès et de rectification des données la concernant; sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont obtenues, ces informations supplémentaires ne sont pas nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données;

  e) d'autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la commission de la protection de la vie privée.
arrow_back Article précédentArticle 13 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.