L'article 13 du RGPD est une disposition légale relative à l'obligation d'informer les personnes concernées lors de la collecte de leurs données personnelles. Dans le texte du RGPD, il joue un rôle important car il s'agit d'une règle pour établir une politique de confidentialité. Il stipule:
Texte législatif (gras ajouté)
(1) Lorsque des données à caractère personnel sont collectées auprès de la personne concernée [ce qui est toujours le cas sur les sites web en raison des adresses IP], l'organisme responsable communique à la personne concernée, au moment de la collecte de ces données, les informations suivantes:
a) le nom et les coordonnées du responsable, ainsi que, le cas échéant, celles de son représentant ;
b) les coordonnées du délégué à la protection des données, le cas échéant ;
c) les objectifs, pour lesquels les données à caractère personnel seront traitées, ainsi que la base juridique du traitement;
d) si la traite est fondée sur l'article 6, alinéa 1, a), les intérêts légitimes qui sont poursuivis par le responsable du traitement ou un tiers;
e) le cas échéant, les destinataires ou catégories de destinataires des données personnelles et
f) le cas échéant, l'intention du responsable de la transmission des données à caractère personnel à un pays tiers ou une organisation internationale, ainsi que la présence ou l'absence d'un arrêté d'adéquation de la Commission ou, dans les cas prévus par Article 46, Article 47 ou Article 49, alinéa 1, deuxième alinéa, une référence aux garanties appropriées ou adéquates et la possibilité de les obtenir, ou d'en obtenir une copie, ou où ils sont disponibles. [Cela signifie des transmissions vers des pays tiers non sûrs, comme les États-Unis]
(2) En plus des informations prévues au paragraphe 1, le responsable du traitement fournit à la personne concernée au moment de la collecte de ces données les informations complémentaires nécessaires pour garantir un traitement équitable et transparent :
La durée pendant laquelle les données à caractère personnel sont stockées ou, si ce n'est pas possible, les critères pour fixer cette durée ;
b) l'existence d'un droit à information de la part du responsable des données sur les données personnelles concernées, ainsi que le droit de rectification ou effacement ou limitation du traitement ou un droit d'opposition au traitement et du droit à la portabilité des données ;
d) lorsqu'elle repose sur l'article 6, alinéa 1, a ou l'article 9, alinéa 2, a , laconsidération du fait que le consentement peut être retiré à tout moment sans affecter la légalité des traitements effectués sur la base de ce consentement avant son retrait ([1]) ([2]) ;
d) l'existence d'un droit de recours auprès d'une autorité de contrôle ;
f) si la fourniture des données à caractère personnel est prescrite par le droit ou par un contrat, si la personne concernée est tenue de fournir ces données et quelles conséquences pourraient résulter du non-renseignement et si la fourniture des données à caractère personnel est nécessaire pour l'exécution d'un contrat
f) l'existence d'une décision de prise automatique y compris le Profilage conformément Article 22 paragraphes 1 et 4 et – au moins dans ces cas-là – des informations claires sur la logique impliquée ainsi que l'étendue et les effets escomptés d'une telle traitement pour la personne concernée.
(3) Si le responsable entend utiliser les données à caractère personnel à une autre fin que celle pour laquelle elles ont été collectées, il fournit à la personne concernée, avant cette autre utilisation, des informations sur cette autre fin et toutes les autres informations importantes conformément à l'alinéa 2.
(4) Les paragraphes 1, 2 et 3 ne s'appliquent pas si la personne concernée dispose déjà des informations.
Terminologie courante (normalisée): Données(12), personnelle(10), Traitement(8), concerné(e)(7), Personne(7), Responsable(6), Information(6), Finalité(3).
Remarques
Comme l'article 5, paragraphe 1, b de la RGPD le précise, les informations fournies sur les finalités doivent être conformes aux exigences du paragraphe 1 c mentionné ci-dessus et «doivent avoir pour but des objectifs déterminés, clairs et légitimes». En vertu de l'article 5, paragraphe 1, a de la RGPD, une traitement licite est exigé qui doit être effectué de bonne foi. En liaison avec l'arrêt du Tribunal de Justice de l'Union européenne dans l'affaire Planet49, il s'ensuit que (au moins) pour les cookies non nécessaires techniquement, leurs finalités doivent être indiquées. Les cookies traitent toujours des données personnelles, comme mes recherches l'ont montré.
L'article 13, paragraphe 1er, e de la RGPD ne prévoit pas une véritable possibilité de choix, à savoir indiquer les destinataires des données ou les catégories de destinataires. Au contraire, il faut nommer les destinataires aussi précisément que possible. Un responsable peut bien sûr mentionner les catégories de destinataires si cela paraît sensé (par exemple plus clair) pour l'information d'une personne concernée. En particulier, cela peut suffire s'il est donné des informations générales et récapitulatives sur la protection des données. Mais si une personne concernée demande explicitement les destinataires précis, ceux-ci doivent être mentionnés de manière tout à fait concrète (cf. l'amende infligée à WhatsApp, par exemple Rn. 426f), car un responsable doit connaître les destinataires. Voir également les remarques dans article 15 RGPD ainsi que les références qui y sont fournies.
| "Les principes d'un traitement équitable et transparent exigent que la personne concernée soit informée de l'existence du traitement et de ses finalités. Le responsable du traitement doit fournir à la personne concernée toutes les autres informations nécessaires, compte tenu des circonstances particulières et du contexte dans lequel les données personnelles sont traitées, afin de garantir un traitement équitable et transparent." |
Un modèle pour les textes standard peut être emprunté à ma Déclaration de confidentialité. Les textes doivent être adaptés aux besoins individuels. Le responsable du site Web sur lequel les modèles de texte sont utilisés est seul responsable de leur utilisation.
Aussi intéressant
- Règle générale de la RGPD
- L'article 5 de la RGPD: Principes pour le traitement des données ([1])
- L'article 6 de la RGPD: Bases juridiques du traitement ([1])
- L'article 7 de la RGPD: Conditions pour l'accord ([1])
- L'article 15 du RGPD: droit d'accès ([1])
- L'article 26 de la RGPD: Responsabilité partagée ([1])
Points clés de cet article
Si vos données sont collectées, vous devez être informé de qui les possède, de la raison pour laquelle elles sont nécessaires et à qui elles pourraient être communiquées.
Lorsque les entreprises stockent des données d'individus, elles doivent informer ces individus à quelles fins les données sont utilisées, pendant combien de temps elles sont conservées et quels droits les individus ont (par exemple, le droit de consulter, de rectifier ou de supprimer leurs données).
Si vous traitez des données, vous devez informer les personnes concernées de qui exactement reçoit ces données.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
