Article 14
Informations à fournir lorsque les données n'ont pas été collectées auprès de la personne concernée

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national

Il n'y a pas de considérant du Règlement lié à l'article 14.

Afficher les considérants de la Directive 95/46 liés à l'article 14 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 14 keyboard_arrow_up

(39) considérant que certains traitements portent sur des données que le responsable n'a pas collectées directement auprès de la personne concernée; que, par ailleurs, des données peuvent être légitimement communiquées à un tiers, alors même que cette communication n'avait pas été prévue lors de la collecte des données auprès de la personne concernée; que, dans toutes ces hypothèses, l'information de la personne concernée doit se faire au moment de l'enregistrement des données ou, au plus tard, lorsque les données sont communiquées pour la première fois à un tiers;

(40) considérant que, cependant, il n'est pas nécessaire d'imposer cette obligation si la personne concernée est déjà informée; que, en outre, cette obligation n'est pas prévue si cet enregistrement ou cette communication sont expressément prévus par la loi ou si l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés, ce qui peut être le cas pour des traitements à des fins historiques, statistiques ou scientifiques; que, à cet égard, peuvent être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les mesures compensatrices qui peuvent être prises;

Le GDPR

Le Règlement en son article 14 renforce ici aussi le devoir d’information lorsque les données n’ont pas été collectées auprès de la personne, tout en élargissant dans le même temps les exceptions générales à celui-ci.

Les éléments d’informations inconditionnés déjà présents dans la Directive se diversifient ici également : l’information donnée devra permettre d’identifier l’éventuel délégué à la protection des données, et indiquer le fondement juridique du traitement en sus de ses finalités ou les intérêts légitimes sur lesquels se fonde le responsable. Une autre information obligatoire porte sur la volonté d’effectuer un transfert de données vers un destinataire d’un pays tiers ou d’une organisation internationale, l’absence de décision d’adéquation du niveau de protection ou encore, le cas échéant, des garanties prises ou des moyens d’obtenir copie. La condition du devoir d’information des autres éléments devient le caractère nécessaire pour garantir « un traitement équitable et transparent », ce qui ne devrait rien changer sur le fond.

Par contre les éléments d’informations sont plus nombreux.

On vise maintenant notamment la période de conservation des données, à tout le moins, les éléments permettant de la déterminer, l’identification des intérêts légitimes en cas de licéité basée sur un équilibre des intérêts, droits et libertés (article 6 §1er, f du Règlement), l’existence de l’ensemble des droits reconnus à la personne (en ce compris par exemple le droit à la portabilité des données ou de retrait du consentement), et le droit d’introduire une réclamation auprès d’une autorité de contrôle. Est enfin spécialement visée la source d’où proviennent les données en ce compris les sources accessibles au public.

Il faut également, le cas échéant, informer de l’existence d’une prise de décision automatisée comprenant un profilage ainsi qu’une information significative de la logique sous-jacente et les conséquences pour la personne.

Le Règlement précise aussi que le responsable doit fournir ces informations à la personne concernée SOIT dans un délai raisonnable qui n’excède pas un mois après la collecte SOIT s’il est envisagé de communiquer les informations à un autre destinataire ou d’utiliser les données pour une communication à la personne concernée, au plus tard lorsque les informations sont communiquées pour la première fois.

Il faut encore informer, le cas échéant, des changements de finalités par rapport à la finalité initiale ce qui implique le cas échéant, une nouvelle information sur l’ensemble des éléments précités.

Des exceptions sont prévues. L’information ne doit pas être fournie si la personne dispose déjà des informations, si elle s’avère impossible ou nécessiterait des efforts disproportionnés. Des précisions apparaissent concernant les traitements pour des finalités d’archivage dans l’intérêt public ainsi que pour des finalités scientifiques, de recherche historique ou statistique.

Une autre exception est prévue dans le cas où l’obtention ou la communication des informations fait l’objet de dispositions spécifiques dans le droit de l’Union ou la législation nationale ou si les données doivent rester confidentielles, sujets à une obligation de secret professionnel conformément à la législation de l’Union ou d’un État membre, en ce compris d’origine statutaire.

La Directive

Les articles 10 et 11 de la Directive prévoyaient un devoir d’information de la personne concernée qui s’exécutait différemment selon que la collecte se faisait directement auprès de la personne concernée ou auprès d’un tiers.

Belgique

La législation belge a prévu un devoir d’information au cas où la collecte se fait auprès d’un tiers (article 9). A la suite de la Directive, seuls trois éléments étaient obligatoires inconditionnellement (identité du responsable, des finalités, existence du droit d’opposition), d’autres informations (destinataires, caractère obligatoire de la réponse, existence d’un droit d’accès et de rectification etc.) ne devant être précisées que si elles apparaissaient comme nécessaires à la loyauté du traitement en cause, outre les cas où la personne en est déjà informée. Cette information devait être effectuée lors de l’enregistrement des données ou au plus tard, lors de la première communication des données. La loi du 8 décembre 1992 contient diverses exceptions au devoir d’information, conformément à la Directive (traitements à des fins statistiques, scientifiques ou historiques lorsque l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés (art. 9, § 2, a).

Difficultés probables ?

La difficulté ne naît pas tant du plus grand nombre d’informations dont il faudra tenir compte, mais de l’incertitude quant à leur transmission à la personne concernée, dès lors que la grande majorité de celles-ci est conditionnée par sa nécessité à un traitement « équitable et transparent ». Difficile de dire si dans le doute, les responsables choisiront la transparence ou non. D’autant que le contenu de certaines de ces informations risque poser difficulté (identification des intérêts légitimes, par exemple).

Sommaire

Union Européenne

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 - wp260rev.01 (11 avril 2018)

(Approuvées par le CEPD)

Les présentes lignes directrices du groupe de travail «Article 29» (G29) fournissent une orientation pratique ainsi qu’une aide à l’interprétation concernant la nouvelle obligation de transparence applicable au traitement des données à caractère personnel au titre du règlement général sur la protection des données (ci-après le «RGPD»). La transparence est une obligation globale au sens du RGPD qui s’applique à trois domaines centraux: 1) la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits. Dans la mesure où le respect de la transparence à l’égard du traitement des données est requis par la directive (UE) 2016/6803, ces lignes directrices s’appliquent également à l’interprétation de ce principe4. À l’instar de toutes les lignes directrices du G29, les présentes lignes directrices ont vocation à être généralement applicables et pertinentes pour les responsables du traitement, quelles que soient les caractéristiques sectorielles, d’entreprise ou réglementaires spécifiques à un responsable du traitement en particulier. À ce titre, ces lignes directrices ne peuvent pas prendre en compte les nuances et nombreuses variables pouvant apparaître dans le contexte des obligations de transparence d’un secteur, d’une entreprise ou d’un domaine réglementé spécifique. Néanmoins, elles visent, d’une part, à permettre aux responsables du traitement de comprendre, à un degré élevé, l’interprétation par le G29 de ce que les obligations de transparence impliquent dans la pratique et, d’autre part, à indiquer l'approche que les responsables du traitement devraient, selon le G29, adopter en matière de transparence tout en intégrant les notions d’équité et de responsabilité dans leurs mesures de transparence.

La transparence est une caractéristique bien ancrée dans le droit de l’Union européenne. Son objectif premier est de susciter la confiance dans les processus applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits processus. C’est également une expression du principe d’équité à l’égard du traitement des données à caractère personnel énoncé à l’article 8 de la charte des droits fondamentaux de l’Union européenne. Conformément au RGPD [article 5, paragraphe 1, point a)], outre l’obligation de traiter les données de manière licite et loyale, la transparence constitue désormais un aspect fondamental des principes relatifs au traitement. La transparence est intrinsèquement liée à l’équité et au nouveau principe de responsabilité au titre du RGPD. Il ressort également de l’article 5, paragraphe 2, que le responsable du traitement doit toujours être en mesure de démontrer que les données à caractère personnel sont traitées de manière transparente au regard de la personne concernée. Parallèlement, le principe de responsabilité exige la transparence des opérations de traitement afin que les responsables du traitement puissent démontrer qu’ils satisfont aux obligations leur incombant en vertu du RGPD.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-201/14 (1 octobre 2015) - Bara e.a.

Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be, n°51/2014 (27 mars 2014)

La Cour - annule l'article 11 de la loi du 3 août 2012 « portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions » en ce qu'il permet au responsable du traitement des données de (i) refuser l'exercice des droits garantis par les articles 9, § 2, 10 et 12 de la loi du 8 décembre 1992 « relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel » à l'égard des données personnelles du contribuable qui sont étrangères à l'objet de l'enquête ou du contrôle en cours et (ii) en ce qu'il ne prévoit pas de limitation dans le temps de la possibilité de faire exception à l'application de ces droits justifiée par l'accomplissement d'actes préparatoires à un contrôle ou à une enquête

La circonstance que la loi ne définisse pas explicitement ce qu’il faut entendre par la notion de « préparatifs » à une enquête ou à un contrôle n’a pas forcément pour effet que le critère de distinction, qui repose en partie sur cette notion, soit non objectif ou dénué de pertinence. Dans le silence de la loi, cette notion doit s’entendre dans son sens courant. Elle implique que des actes indiquant l’intention de l’administration d’ouvrir une enquête ou de procéder à un contrôle à l’égard d’un contribuable déterminé aient été posés préalablement à la demande de celui-ci d’exercer les droits garantis par la loi du 8 décembre 1992 et qu’une mention de ces actes figure dans le dossier du contribuable. En d’autres termes, la demande formulée par le contribuable d’avoir accès aux données personnelles le concernant ne peut pas constituer elle-même l’élément déclencheur d’une enquête ou d’un contrôle à partir duquel l’accès peut lui être refusé.

Arrêt rendu

C. const. Be, n°59/2014 (3 avril 2014)

La Cour dit pour droit : L'article 9 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel viole les articles 10 et 11 de la Constitution dans la mesure où il s'applique automatiquement à l'activité d'un détective privé ayant été autorisé à exercer ses activités pour des personnes de droit public conformément à l'article 13 de la loi du 19 juillet 1991 « organisant la profession de détective privé » et agissant pour un organisme professionnel de droit public qui est chargé par la loi de rechercher des manquements à la déontologie d'une profession réglementée.

Arrêt rendu

C. const. Be., n°28/2016 (25 février 2016)

La Cour constitutionnelle belge annule l’article 9 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel dans la mesure où il s’applique automatiquement à l’organisme professionnel de droit public qui est chargé par la loi de rechercher des manquements à la déontologie d’une profession réglementée, et à l’activité d’un détective privé ayant été autorisé à agir pour l’organisme professionnel en question conformément à l’article 13 de la loi du 19 juillet 1991 organisant la profession de détective privé. Ces situations tombent dès lors en dehors du champ d’application de l’article 9 de la loi du 8 décembre 1992, dans l’attente de l’extension formelle, par le législateur, des exemptions prévues par l’article 3 de ladite loi.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2021/AR/320 (07 juillet 2021)

La Cour d'appel de Bruxelles déclare le recours recevable mais non fondé.

Les principales conclusions de la décision de la Cour d'appel de Bruxelles sont les suivantes :

  • L'appel contre une décision de la chambre contentieuse n'est pas une seconde chance pour la partie contre laquelle la plainte est dirigée. Il est important de noter qu'il ne s'agit pas d'un appel ordinaire et donc pas d'une seconde chance telle que nous la connaissons devant les tribunaux ordinaires. Le recours devant la cour d'appel contre les décisions de la chambre contentieuse est un recours administratif, assimilable aux compétences du Conseil d'Etat. La Cour ne devrait pas intervenir dans l'appréciation de l'administration. Cela violerait la séparation des pouvoirs entre l'administration et les tribunaux.
  • L'ordre juridique belge n'attribue aucune valeur de précédent contraignant, que ce soit aux décisions administratives ou judiciaires. Toute décision d'une administration est spécifique et ne s'étend pas à un cas autre que celui en cause. Le tribunal s'appuie toujours sur des faits concrets de l'affaire soumise.
  • Le Tribunal, exerçant ses attributions de plein droit, procède à un contrôle de légalité et de proportionnalité de l'amende administrative et ne réduira ou n'annulera l'amende qu'en cas de circonstances atténuantes graves et avérées (cf. article 82, alinéa 2 RGPD) qui n'ont pas ou non suffisamment été pris en compte par la chambre contentieuse.

DPA belge et publication sur les réseaux sociaux :

Bien qu'en substance la chambre contentieuse décide dans chacune de ses affaires de pseudonymiser ou non la décision, le citoyen ou la personne morale concernée ne doit pas être exposé à l'arbitraire à cet égard.

Il semble souhaitable que la SA ait une politique cohérente de pseudonymisation des décisions en vue de leur publication. Le risque d'atteinte à la réputation, d'atteinte à la concurrence et leur éventuelle ampleur sont des éléments que la chambre contentieuse doit prendre en compte lorsqu'elle envisage d'omettre ou non certains identifiants. Cependant, la Cour d'appel elle-même n'a pas compétence pour ordonner à la GBA ou à ses employés de retirer des communiqués de presse ou des publications sur les réseaux sociaux.

.Arrêt rendu (néerlandais)

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°336382 (24 août 2011)

Concerne : L'arrêté du 25 novembre 2009 du ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'Etat porte création par la direction générale des finances publiques (DGFiP) d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales dénommé « EVAFISC »

1. En vertu de l'article 32 de la loi n° 78-17 du 6 janvier 1978, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée des caractéristiques essentielles du traitement de données et de ses droits. Toutefois, en application des V et VI de l'article 32, cette obligation d'information ne concerne pas les traitements intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, ainsi que la prévention, la recherche, la constatation ou la poursuite d'infractions pénales. Il résulte de ces dispositions que la dispense de l'obligation d'information ne peut avoir d'effet utile, préservant les finalités mentionnées par les V et VI de l'article 32, qu'appliquée à l'ensemble du traitement de données en cause, dès lors que ces finalités s'avèrent, sous le contrôle du juge, essentielles à ce traitement et alors même que ce dernier aurait également d'autres finalités, insusceptibles par elles-mêmes d'ouvrir droit à cette dispense. L'article 6 de l'arrêté mentionne que le droit à l'information garanti par l'article 32 ne s'applique pas au traitement qu'il crée. L'article 2 de l'arrêté dispose que ce traitement a pour principale finalité la prévention, la recherche, la constatation ou la poursuite d'infractions pénales en matière fiscale. Les autres finalités de ce traitement, également mentionnées à l'article 2, sont accessoires par rapport à sa finalité principale, qui nécessite une dispense de l'obligation d'information. Par suite, l'arrêté pouvait légalement écarter l'application de l'obligation d'information pour l'ensemble du traitement qu'il crée.

2. L'article 6 de l'arrêté a exclu l'application du droit d'opposition pour le traitement qu'il crée. En prévoyant ainsi, conformément au troisième alinéa de l'article 38 de la loi du 6 janvier 1978, que le droit d'opposition prévu au premier alinéa de cet article 38 ne s'exerce pas, l'arrêté a entendu, d'une part, concilier l'intérêt général qui s'attache à la prévention et à la recherche des infractions fiscales avec la protection de la vie privée, et, d'autre part, assurer l'effectivité de la finalité poursuivie à titre principal par le traitement en cause, en ne permettant pas aux personnes en infraction avec les textes pénaux ou fiscaux de s'opposer au recensement des informations permettant d'établir ces infractions. La CNIL a émis un avis public et motivé sur le projet d'arrêté créant ce traitement et qu'elle est légalement tenue de garantir, sous le contrôle du juge, l'effectivité du droit d'accès direct ou indirect et du droit de rectification. Par suite, c'est sans erreur de droit et sans atteinte disproportionnée au droit garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales que l'arrêté a fait application de la faculté prévue par l'article 38 de la loi du 6 janvier 1978 d'écarter l'application du droit d'opposition.

Arrêt rendu

CE Fr., n°357556 (23 mars 2015)

Il résulte des dispositions de l'article 32 de la loi n° 78-17 du 6 janvier 1978, qui transposent les articles 10 et 11 de la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, éclairées par les travaux préparatoires à l'adoption de la loi n° 2004-575 du 21 juin 2004 qui les a insérées dans la loi du 6 janvier 1978, que le législateur a entendu imposer aux responsables du traitement de données à caractère personnel la même obligation, en ce qui concerne le respect du droit à l'information, que ces données aient été collectées directement ou indirectement.

Arrêt rendu

Cass. Fr., n°20-12.263 (10 novembre 2021)

En application de l'article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004, dans sa version antérieure à l'entrée en vigueur du RGPD, les salariés concernés doivent être informés, préalablement à la mise en œuvre d'un traitement de données à caractère personnel, de l'identité du responsable du traitement des données ou de son représentant, de la (ou les) finalité(s) poursuivie(s) par le traitement, des destinataires ou catégorie de destinataires de données, de l'existence d'un droit d'accès aux données les concernant, d'un droit de rectification et d'un droit d'opposition pour motif légitime, ainsi que des modalités d'exercice de ces droits. Selon l'article L. 442-6 du code du travail, applicable à Mayotte, dans sa version en vigueur du 1er janvier 2006 au 1er janvier 2018, le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. En application des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, l'illicéité d'un moyen de preuve, au regard des dispositions susvisées, n'entraîne pas nécessairement son rejet des débats, le juge devant apprécier si l'utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, lequel peut justifier la production d'éléments portant atteinte à la vie personnelle d'un salarié à la condition que cette production soit indispensable à l'exercice de ce droit et que l'atteinte soit strictement proportionnée au but poursuivi. Encourt la cassation l'arrêt qui énonce que la loi du 21 janvier 1995 autorise l'utilisation de système de vidéo-surveillance dans des lieux ou des établissements ouverts au public particulièrement exposés à des risques d'agression ou de vol afin d'y assurer la sécurité des biens et des personnes, ce qui est le cas d'une pharmacie dans le contexte d'insécurité régnant à Mayotte et ajoute que les salariés ont été informés de la mise en place de ce système par note de service, en sorte que l'utilisation des enregistrements de vidéo-surveillance comme mode de preuve est licite alors que le système de vidéo-surveillance destiné à la protection et la sécurité des biens et des personnes dans les locaux de l'entreprise permettait également de contrôler et de surveiller l'activité des salariés et avait été utilisé par l'employeur afin de recueillir et d'exploiter des informations concernant personnellement le salarié, ce dont il résulte que l'employeur aurait dû informer les salariés et consulter le comité d'entreprise sur l'utilisation de ce dispositif à cette fin et qu'à défaut, ce moyen de preuve tiré des enregistrements de la salariée était illicite et, dès lors, les prescriptions et les dispositions des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales invocables.

Arrêt rendu

CE Fr., n°449209 (28 janvier 2022)

1. Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.

2. a) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi n° 78-17 du 6 janvier 1978.

b) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.

c) La CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du RGPD, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière.

d) Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition.

e) Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 14

1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) les catégories de données à caractère personnel concernées;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;

g) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations;

b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d) les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

 

Proposition 1 close

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne au moins les informations suivantes:

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données;

b) les finalités du traitement auquel sont destinées les données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l’article 6, paragraphe 1, point b), et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f);

c) la durée pendant laquelle les données à caractère personnel seront conservées;

d) l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données;

 e) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

f) les destinataires ou les catégories de destinataires des données à caractère personnel;

g) le cas échéant, son intention d'effectuer un transfert vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers ou l'organisation internationale en question, par référence à une décision relative au caractère adéquat du niveau de protection rendue par la Commission;

h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées

2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel.

4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3: a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l’enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment où les données sont communiquées pour la première fois.

5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque:

a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3;

ou

b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés;

ou c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation;

 ou d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autrui tels qu'ils sont définis dans le droit de l'Union ou le droit des États membres, conformément à l'article 21.

6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protéger les intérêts légitimes de la personne concernée.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. 8. La Commission peut établir des formulaires types pour la communication des informations énumérées aux paragraphes 1 à 3, compte tenu des caractéristiques et des besoins particuliers des différents secteurs et, le cas échéant, des situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

 1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement peut lui fournir les informations qui suivent:

 a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable; le responsable du traitement inclut en outre les coordonnées de l'éventuel délégué à la protection des données;

 b) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que le fondement juridique du traitement.

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les autres informations qui sont nécessaires pour garantir qu'elle fait l'objet d'un traitement équitable et transparent, compte tenu des circonstances spécifiques et du contexte du traitement des données à caractère personnel, à savoir:

a) les catégories de données à caractère personnel concernées;

b) (...)

c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

d) les destinataires ou les catégories de destinataires des données à caractère personnel;

d bis) le cas échéant, la volonté du responsable du traitement d'effectuer un transfert de données à caractère personnel vers un destinataire d'un pays tiers ou d'une organisation internationale;

e) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci ou une limitation de leur traitement, ainsi que du droit de s'opposer au traitement de ces données et du droit à la portabilité des données (...); e bis) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement avant le retrait de celui-ci;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle (…);

g) la source d'où proviennent les données à caractère personnel, à moins qu'elles soient issues de sources accessibles au public;

h) l'existence d'une prise de décision automatisée comprenant un profilage visé à l'article 20, paragraphes 1 et 3, et des informations concernant (…) la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a) dans un délai raisonnable mais ne dépassant pas un mois après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont traitées,

ou

b) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les informations sont communiquées pour la première fois. 3 bis. Lorsqu'il a l'intention de traiter les données à des fins autres que la finalité initiale pour laquelle les données ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4. Les paragraphes 1 à 3 bis ne s'appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations; ou

 b) la fourniture de telles informations (...) s'avère impossible ou nécessiterait des efforts disproportionnés; en pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et les libertés ainsi que les intérêts légitimes de la personne concernée;

ou c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou la législation de l'État membre à laquelle le responsable du traitement est soumis et qui établit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée;

ou d) (...);

e) les données doivent rester confidentielles conformément à la législation de l'Union ou d'un l'État membre (...).

5. (...)

6. (...)

Directive close

Art. 11

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement;

c) toute information supplémentaire telle que:

- les catégories de données concernées,

- les destinataires ou les catégories de destinataires des données,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.

Aucune disposition spécifique

Ancienne loi close

Art. 9

(…)

  § 2. Lorsque les données n'ont pas été obtenues auprès de la personne concernée, le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard au moment de la première communication des données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne concernée en est déjà informée :

a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement;

c) l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing; dans ce cas, la personne concernée doit être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de direct marketing;

d) d'autres informations supplémentaires, notamment :

  - les catégories de données concernées;

  - les destinataires ou les catégories de destinataires;

  - l'existence d'un droit d'accès et de rectification des données la concernant;

  sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont traitées, ces informations supplémentaires ne sont pas nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données;

e) d'autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la Commission de la protection de la vie privée.

  Le responsable du traitement est dispensé de fournir les informations visées au présent paragraphe :

  a) lorsque, en particulier pour un traitement aux fins de statistiques ou de recherche historique ou scientifique ou pour le dépistage motivé par la protection et la promotion de la santé publique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés;

  b) lorsque l'enregistrement ou la communication des données à caractère personnel est effectué en vue de l'application d'une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance.

  Le Roi détermine par arrêté délibéré en Conseil des ministres après avis de la Commission de la protection de la vie privée les conditions pour l'application de l'alinéa précédent.

  Lorsque la première communication des données à été effectuée avant l'entrée en vigueur de cette disposition, la communication de l'information doit être effectuée, par dérogation à l'alinéa 1er, au plus tard dans un délai de 3 années suivant la date de l'entrée en vigueur de cette disposition. Cette information ne doit toutefois pas être fournie, lorsque le responsable du traitement était exempté de l'obligation d'informer la personne concernée de l'enregistrement des données en vertu des dispositions légales et réglementaires en application le jour précédant la date de l'entrée en vigueur de cette disposition.

préalablement donné son autorisation écrite au responsable du traitement que les données à caractère personnel la concernant peuvent être traitées à des fins médico-scientifiques et que la communication de ces données peut dès lors être différée.

  § 3. Il ne doit être donné suite à une demande visée aux §§ 1er et 2 qu'à l'expiration d'un délai raisonnable, à compter de la date d'une demande antérieure d'une même personne à laquelle il a été répondu ou de la date à laquelle les données lui ont été communiquées d'office.

close