L’article 14 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), fixe les obligations d’information du responsable du traitement lorsque les données à caractère personnel n’ont pas été collectées directement auprès de la personne concernée.

Il complète l’article 13 du RGPD et constitue l’autre versant du principe de transparence posé à l’article 5, paragraphe 1, point a), du règlement. Il vise à garantir que la personne concernée soit informée de l’existence et des modalités d’un traitement de données la concernant, même lorsqu’elle n’est pas à l’origine de la collecte.

Cet article s’applique notamment aux traitements fondés sur des données issues de tiers, de partenaires commerciaux, de bases de données, de sources publiques ou de mécanismes d’enrichissement de fichiers.

Texte officiel de l'article 14 du RGPD

Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement lui fournit les informations suivantes :

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant
  • les coordonnées du délégué à la protection des données, s’il en existe un
  • les finalités du traitement
  • les catégories de données à caractère personnel concernées
  • les destinataires ou catégories de destinataires des données
  • le cas échéant, l’intention d’effectuer un transfert de données vers un pays tiers ou une organisation internationale et l’existence ou non d’une décision d’adéquation ou de garanties appropriées

Il doit également fournir les informations complémentaires nécessaires pour garantir un traitement loyal et transparent.

Principe de transparence et d’information indirecte

L’article 14 consacre le principe selon lequel la personne concernée doit être informée du traitement de ses données, même en l’absence de collecte directe.

Il garantit que le recours à des sources tierces ne puisse conduire à un traitement opaque ou dissimulé.

Ce mécanisme d’information indirecte vise à rétablir l’équilibre informationnel entre le responsable du traitement et la personne concernée.

Contenu obligatoire de l’information

L’information délivrée doit permettre à la personne concernée d’identifier le responsable du traitement, de comprendre pourquoi ses données sont traitées et de connaître la nature des données traitées.

La mention de la source des données est une exigence spécifique de l’article 14.

Information sur les droits des personnes concernées

L’article 14 impose une information complète sur les droits reconnus aux personnes concernées.

  • le droit d’accès
  • le droit de rectification
  • le droit à l’effacement
  • le droit à la limitation du traitement
  • le droit d’opposition
  • le droit à la portabilité

La personne concernée doit également être informée de son droit d’introduire une réclamation auprès d’une autorité de contrôle, notamment la CNIL.

Moment et modalités de l’information

Les informations doivent être fournies dans un délai raisonnable après l’obtention des données, et au plus tard dans un délai d’un mois.

Elles doivent être concises, transparentes, compréhensibles, aisément accessibles et formulées en des termes clairs et simples.

Décisions automatisées et profilage

Lorsque le traitement comporte une prise de décision automatisée, y compris le profilage, produisant des effets juridiques ou affectant significativement la personne concernée, une information spécifique doit être fournie.

Exceptions à l’obligation d’information

L’article 14 prévoit des exceptions strictement encadrées, notamment lorsque la fourniture de l’information est impossible ou exigerait des efforts disproportionnés.

Implications pratiques pour les responsables de traitement

Les responsables de traitement doivent mettre en place des procédures d’information différée, une traçabilité des sources de données et des supports d’information spécifiques.

Jurisprudence et pratique des autorités de contrôle

L'article 14 du RGPD fait l'objet d'une application stricte par les autorités de contrôle, en raison des risques accrus d'opacité associés aux collectes indirectes de données. La CNIL a prononcé plusieurs sanctions à l'encontre d'organismes n'ayant pas informé les personnes concernées de l'utilisation de leurs données issues de sources tierces, notamment dans le cadre d'opérations d'enrichissement de fichiers clients, de prospection commerciale ou de vérifications d'antécédents.

Les autorités de contrôle européennes considèrent que l'obligation d'information prévue à l'article 14 s'applique dès lors que le responsable du traitement obtient des données auprès d'un tiers, quelle que soit la nature de ce tiers : partenaire commercial, courtier en données, organisme public ou source publiquement accessible. L'absence d'information constitue un manquement autonome, indépendamment de la licéité du traitement lui-même.

La jurisprudence souligne également que les exceptions prévues à l'article 14, paragraphe 5, doivent être interprétées de manière restrictive. La simple difficulté pratique ou le coût élevé de l'information ne suffisent pas à caractériser des « efforts disproportionnés » au sens du règlement. Le responsable du traitement doit démontrer l'impossibilité réelle d'informer les personnes concernées et mettre en œuvre des garanties appropriées, telles que la publication d'une information générale ou la mise en place de mécanismes de notification collective.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) recommande aux responsables de traitement de mettre en place des procédures permettant d'identifier systématiquement les situations de collecte indirecte et de déclencher l'obligation d'information prévue à l'article 14. Elle insiste sur la nécessité de documenter la source des données dans le registre des activités de traitement et de prévoir des mécanismes d'information différée adaptés au contexte et au volume de personnes concernées.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices 3/2019 sur la transparence, qui précisent les modalités d'application de l'article 14 dans différents contextes, notamment en matière de prospection commerciale, de vérifications de solvabilité ou de recrutement. Le CEPD recommande l'utilisation de canaux d'information adaptés au public concerné, tels que l'envoi d'un courrier électronique, la publication d'une notification sur un espace personnel ou l'affichage d'une information sur le site internet de l'organisme.

La CNIL et le CEPD soulignent que l'indication de la source des données constitue une exigence spécifique de l'article 14, distincte de celle prévue à l'article 13. Cette information doit permettre à la personne concernée de comprendre l'origine des données et, le cas échéant, de vérifier leur exactitude. Ils recommandent également de prévoir des mécanismes permettant aux personnes concernées d'exercer facilement leurs droits, notamment le droit d'opposition et le droit à l'effacement, lorsqu'elles découvrent l'existence du traitement.

L'article 14 du RGPD constitue le socle juridique de l'information des personnes concernées lorsque les données ne sont pas collectées directement auprès d'elles. Il impose une information complète, loyale et rapide, garantissant l'effectivité du principe de transparence.