Article 13 Information à fournir lorsque les données sont collectées auprès de la personne concernée

Principe de transparence et de loyauté

L’article 13 consacre la transparence comme exigence préalable à tout traitement fondé sur une collecte directe.

La personne concernée doit être informée de manière claire, intelligible et complète de l’usage qui sera fait de ses données. Cette information conditionne la validité du consentement lorsqu’il est requis et permet un exercice éclairé des droits reconnus par le règlement.

La loyauté implique que les finalités et les usages déclarés correspondent effectivement aux traitements réalisés. Toute divergence entre l’information fournie et les traitements mis en œuvre constitue un manquement au RGPD.

Contenu obligatoire de l’information

L’information délivrée à la personne concernée doit couvrir l’ensemble des éléments essentiels du traitement.

Elle doit notamment permettre d’identifier le responsable du traitement, de comprendre pourquoi les données sont collectées, sur quelle base juridique repose le traitement et à qui les données peuvent être communiquées.

Lorsque des transferts hors de l’Union européenne sont envisagés, la personne concernée doit être informée des garanties encadrant ces transferts.

L’indication de la durée de conservation ou des critères permettant de la déterminer est indispensable pour éviter toute conservation indéfinie ou injustifiée.

Information sur les droits des personnes concernées

L’article 13 impose une information complète sur les droits reconnus aux personnes concernées.

• le droit d’accès aux données
• le droit de rectification
• le droit à l’effacement
• le droit à la limitation du traitement
• le droit d’opposition
• le droit à la portabilité des données

La personne concernée doit également être informée de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle, notamment la CNIL en France.

Lorsque le traitement repose sur le consentement, l’information doit préciser que celui-ci peut être retiré à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement avant son retrait.

Moment et modalités de l’information

Les informations prévues à l’article 13 doivent être fournies au moment même où les données sont collectées.

Conformément à l’article 12 du RGPD, l’information doit être concise, transparente, compréhensible, aisément accessible et formulée en des termes clairs et simples.

Elle peut être fournie par écrit, y compris par voie électronique, et doit être adaptée au public concerné.

Décisions automatisées et profilage

Lorsque le traitement comporte une prise de décision automatisée, y compris le profilage, produisant des effets juridiques ou affectant significativement la personne concernée, une information spécifique doit être fournie.

Cette information doit porter sur l’existence de la décision automatisée, la logique générale du traitement ainsi que l’importance et les conséquences prévues pour la personne concernée.

Portée juridique et contrôle

Les autorités de contrôle sanctionnent fréquemment les manquements à l’article 13, notamment en cas d’information incomplète, trop vague, imprécise ou absente.

La jurisprudence insiste sur le caractère préalable et effectif de l’information, laquelle doit être réellement compréhensible.

Implications pratiques pour les responsables de traitement

Les responsables de traitement doivent mettre en place des mentions d’information complètes sur les formulaires, des politiques de confidentialité conformes et une documentation claire des durées de conservation.

Toute évolution des finalités ou des destinataires doit donner lieu à une mise à jour de l’information.

Jurisprudence relative à l'article 13

L'article 13 du RGPD fait l'objet d'une jurisprudence abondante, tant au niveau des autorités de contrôle nationales qu'au niveau européen. La CNIL sanctionne régulièrement les manquements à l'obligation d'information préalable, notamment lorsque les mentions d'information sont absentes, incomplètes, imprécises ou rédigées en termes trop vagues pour permettre une compréhension effective par les personnes concernées.

Les autorités de contrôle européennes considèrent que l'information prévue à l'article 13 doit être fournie de manière proactive, au moment même de la collecte des données, et non de manière différée ou sur demande. Les décisions montrent que le simple renvoi à une politique de confidentialité générique ne suffit pas lorsque des traitements spécifiques sont mis en œuvre dans des contextes particuliers, tels que la vidéosurveillance, la géolocalisation ou le recueil de données biométriques.

La jurisprudence souligne également que l'obligation d'information prévue à l'article 13 s'applique indépendamment de la base juridique du traitement. Même lorsque le traitement repose sur une obligation légale ou l'exécution d'un contrat, le responsable du traitement doit fournir l'ensemble des informations exigées par cet article. La Cour de justice de l'Union européenne a rappelé, dans plusieurs arrêts, que la transparence constitue un pilier fondamental du RGPD et conditionne l'exercice éclairé des droits des personnes concernées.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) a publié de nombreux guides pratiques relatifs à l'information des personnes concernées. Elle recommande aux responsables de traitement de structurer les mentions d'information en deux niveaux : une information de premier niveau, concise et visible, présentant les éléments essentiels du traitement, et une information de second niveau, plus détaillée, accessible via un lien ou un document complémentaire.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices 3/2019 sur la transparence, qui précisent les modalités concrètes d'application de l'article 13. Le CEPD recommande l'utilisation de formats visuels, tels que des tableaux, des icônes standardisées ou des infographies, pour faciliter la compréhension des informations. Il insiste également sur la nécessité d'adapter le contenu et la forme de l'information au contexte de collecte et au public visé.

La CNIL et le CEPD soulignent que les informations relatives aux durées de conservation doivent être précises et intelligibles. Il ne suffit pas d'indiquer que les données seront conservées « aussi longtemps que nécessaire » ou « conformément à la législation applicable ». Les mentions d'information doivent préciser les durées concrètes ou, à défaut, les critères permettant de les déterminer. Ils recommandent également de mettre à jour régulièrement les mentions d'information pour tenir compte des évolutions des traitements et des finalités.