Navigation
RGPD > Article 14. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
Télécharger le PDF

Article 14 RGPD. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée

Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject

1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

1. Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information:

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

(a) the identity and the contact details of the controller and, where applicable, of the controller’s representative;

b) le cas échéant, les coordonnées du délégué à la protection des données;

(b) the contact details of the data protection officer, where applicable;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

(c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;

d) les catégories de données à caractère personnel concernées;

(d) the categories of personal data concerned;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

(e) the recipients or categories of recipients of the personal data, if any;

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

(f) where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available.

Connexe

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

2. In addition to the information referred to in paragraph 1, the controller shall provide the data subject with the following information necessary to ensure fair and transparent processing in respect of the data subject:

Connexe

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.

[…]


lire le texte complet

b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

(b) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;

Connexe

c) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;

(c) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 14(2)(c) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII.

[…]


lire le texte complet

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

(d) where processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(d) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.

[…]


lire le texte complet

Connexe

e) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

(e) the right to lodge a complaint with a supervisory authority;

f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;

(f) from which source the personal data originate, and if applicable, whether it came from publicly accessible sources;

g) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

(g) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(g) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.

[…]


lire le texte complet

Connexe

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

3. The controller shall provide the information referred to in paragraphs 1 and 2:

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

(a) within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

(b) if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or

c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

(c) if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.

4. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were obtained, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

5. Paragraphs 1 to 4 shall not apply where and insofar as:

a) la personne concernée dispose déjà de ces informations;

(a) the data subject already has the information;

b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

(b) the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the conditions and safeguards referred to in Article 89(1) or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing. In such cases the controller shall take appropriate measures to protect the data subject’s rights and freedoms and legitimate interests, including making the information publicly available;

Connexe

c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

(c) obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject and which provides appropriate measures to protect the data subject’s legitimate interests; or

Connexe

d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

(d) where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy.

Explication ISO 27701 Lignes directrices & Jurisprudence Laisser un commentaire
Explication

(EN) To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

  • Controller’s identity
  • Purpose and lawful basis for processing
  • Personal data
  • Transfers of data to third countries
  • Rights
  • Changes (in privacy notices)
  • Form (of information provided)

It looks like this:

[…]


lire le texte complet

Auteur
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Cofondateur & PDG, DPO LLC. Formateur en protection des données et Consultant principal

(EN)

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 14 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing and that you obtained from any other sources than me…

[…]


lire le texte complet

Auteur
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Expert en protection de la vie privée
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

[…]


lire le texte complet

Lignes directrices & Jurisprudence Laisser un commentaire
[js-disqus]