Droit d'information RGPD : Art. 13 et 14 obligations

Le droit d’information RGPD est la pierre angulaire de la transparence imposée par le règlement. Les Art. 13 et 14 RGPD détaillent les informations que le responsable de traitement doit fournir aux personnes concernées, avec des exigences différentes selon que les données sont collectées directement ou indirectement. C’est aussi l’un des manquements les plus fréquemment sanctionnés : la CNIL a infligé 800 000 euros d’amende à Doctissimo (Délibération n°MED-2023-002, 30 mai 2023) notamment pour défaut d’information.

Points Clés

• L’Art. 13 RGPD s’applique à la collecte directe (données obtenues auprès de la personne) ; l’Art. 14 RGPD s’applique à la collecte indirecte (données obtenues d’un tiers).
• Les Art. 13(1) et 14(1) imposent un socle commun de 11 mentions obligatoires minimum.
• L’information doit être fournie au moment de la collecte (Art. 13) ou dans un délai raisonnable ne dépassant pas un mois (Art. 14(3)).
• L’Art. 12(1) RGPD exige une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
• Le défaut d’information est l’une des infractions les plus sanctionnées : amende jusqu’à 20 millions d’euros ou 4 % du CA mondial (Art. 83(5)(b) RGPD).

Art. 13 RGPD : information lors de la collecte directe

L’Art. 13 RGPD s’applique lorsque les données personnelles sont collectées directement auprès de la personne concernée : formulaire en ligne, inscription à un service, contrat, enquête. Le responsable de traitement doit fournir les informations au moment où les données sont obtenues (Art. 13(1)).

L’Art. 13(1) impose de communiquer :

• L’identité et les coordonnées du responsable de traitement (et de son représentant, le cas échéant).
• Les coordonnées du DPO, lorsqu’un délégué à la protection des données a été désigné.
• Les finalités du traitement et la base juridique (Art. 6 ou Art. 9 RGPD).
• Les intérêts légitimes poursuivis, lorsque le traitement est fondé sur l’Art. 6(1)(f).
• Les destinataires ou catégories de destinataires des données.
• L’intention de transférer les données vers un pays tiers et l’existence ou l’absence de décision d’adéquation.

L’Art. 13(2) ajoute les informations « nécessaires pour garantir un traitement équitable et transparent » :

• La durée de conservation ou les critères de détermination de cette durée.
• L’existence des droits de la personne : accès, rectification, effacement, limitation, portabilité, opposition.
• Le droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement.
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL en France).
• Le caractère obligatoire ou non de la fourniture des données et les conséquences d’un défaut de fourniture.
• L’existence d’une décision automatisée ou d’un profilage (Art. 22), avec des informations utiles sur la logique sous-jacente.

Art. 14 RGPD : information lors de la collecte indirecte

L’Art. 14 RGPD s’applique lorsque les données ne sont pas collectées auprès de la personne elle-même mais proviennent d’un tiers : achat de bases de données, enrichissement depuis des sources publiques, transmission par un partenaire commercial, données collectées par un sous-traitant.

Les mentions obligatoires sont largement identiques à celles de l’Art. 13, avec deux ajouts spécifiques :

• Les catégories de données concernées (Art. 14(1)(d)) — puisque la personne ne sait pas quelles données ont été collectées.
• La source dont proviennent les données et, le cas échéant, si les données proviennent de sources accessibles au public (Art. 14(2)(f)).

Délai d’information : contrairement à l’Art. 13, l’Art. 14(3) prévoit un délai pour fournir l’information :

• Dans un délai raisonnable, et au plus tard un mois après la collecte (Art. 14(3)(a)).
• Si les données doivent être utilisées pour communiquer avec la personne : au plus tard lors de la première communication (Art. 14(3)(b)).
• Si les données doivent être communiquées à un tiers : au plus tard lors de la première communication à ce tiers (Art. 14(3)©).

Exceptions à l’obligation d’information

L’Art. 14(5) RGPD prévoit des exceptions à l’obligation d’information en cas de collecte indirecte :

Personne déjà informée (Art. 14(5)(a)) : si la personne dispose déjà des informations requises, le responsable n’est pas tenu de les fournir à nouveau.

Effort disproportionné (Art. 14(5)(b)) : lorsque la fourniture de l’information exigerait un effort disproportionné, notamment pour les traitements à des fins archivistiques, de recherche scientifique ou statistique. Dans ce cas, le responsable doit prendre des mesures appropriées pour protéger les droits (publication de l’information, par exemple).

Obligation légale (Art. 14(5)©) : l’obtention ou la communication des données est expressément prévue par le droit de l’Union ou d’un État membre.

Secret professionnel (Art. 14(5)(d)) : les données doivent rester confidentielles au titre d’une obligation de secret professionnel.

L’Art. 13 ne prévoit aucune exception à l’obligation d’information en cas de collecte directe. L’information est due dans tous les cas.

Format et présentation de l’information

L’Art. 12(1) RGPD fixe les exigences de forme :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. »

La CNIL et le CEPD (lignes directrices WP260 rév.01 sur la transparence) recommandent :

Approche par couches (layered approach) : un premier niveau d’information synthétique (identité du responsable, finalités principales, droits essentiels) avec un lien vers l’information complète. Cette approche est particulièrement adaptée aux interfaces numériques.

Icônes normalisées : l’Art. 12(7) RGPD prévoit la possibilité d’utiliser des icônes normalisées en complément du texte. Le CEPD n’a pas encore adopté de jeu d’icônes standard, mais certaines organisations utilisent des pictogrammes pour améliorer la lisibilité.

Langue de l’utilisateur : l’information doit être fournie dans la langue de la personne concernée, ou au minimum dans la langue de l’interface utilisée.

Accessibilité : l’information doit être accessible aux personnes en situation de handicap. Le CEPD recommande le respect des normes WCAG pour les informations publiées en ligne.

Sanctions pour défaut d’information

Le défaut d’information est l’un des manquements les plus systématiquement sanctionnés par les autorités de contrôle européennes.

CNIL vs GOOGLE LLC (Délibération n°SAN-2022-002, 31 décembre 2021) : 150 millions d’euros. La CNIL a sanctionné Google pour défaut d’information claire et accessible sur les cookies et traceurs déposés via le moteur de recherche et YouTube, en violation combinée des Art. 12 et 13 RGPD et de l’Art. 82 de la loi Informatique et Libertés.

CNIL vs AMAZON EUROPE CORE (Délibération n°SAN-2020-013, 7 décembre 2020) : 35 millions d’euros. Amazon a été sanctionnée pour le dépôt de cookies publicitaires sans information préalable et sans consentement des utilisateurs.

CNIL vs DOCTISSIMO (Délibération n°MED-2023-002, 30 mai 2023) : 800 000 euros. Le site de santé a été sanctionné pour défaut d’information sur les transferts de données à des partenaires publicitaires et sur les durées de conservation.

AEPD vs CaixaBank (PS/00070/2019, 16 mars 2020) : 6 millions d’euros. L’autorité espagnole a sanctionné la banque pour défaut d’information sur le traitement des données à des fins de profilage commercial et sur les transferts intra-groupe.

FAQ

Quelle est la différence entre l’Art. 13 et l’Art. 14 RGPD ?

L’Art. 13 s’applique à la collecte directe (données obtenues auprès de la personne), l’Art. 14 à la collecte indirecte (données obtenues d’un tiers). Les principales différences sont : l’Art. 14 exige en plus l’indication des catégories de données et de la source ; l’Art. 14 accorde un délai d’un mois pour informer, tandis que l’Art. 13 exige l’information au moment de la collecte ; et l’Art. 14 prévoit des exceptions (effort disproportionné, secret professionnel) que l’Art. 13 ne prévoit pas.

Une politique de confidentialité suffit-elle à remplir l’obligation d’information ?

Une politique de confidentialité générale peut contribuer à remplir l’obligation, mais elle ne suffit pas toujours. L’Art. 12(1) RGPD exige une information « aisément accessible ». La CNIL recommande une approche par couches : un premier niveau d’information au point de collecte (formulaire, application) renvoyant vers la politique complète. Une politique de confidentialité longue et générique, non adaptée au traitement spécifique, ne satisfait pas l’exigence de transparence.

Le défaut d’information peut-il justifier une amende même sans autre manquement ?

Oui. Le défaut d’information constitue un manquement autonome, sanctionné par l’Art. 83(5)(b) RGPD jusqu’à 20 millions d’euros ou 4 % du CA mondial. La CNIL a déjà prononcé des sanctions pour défaut d’information comme grief principal, indépendamment de tout autre manquement. Le considérant 60 du RGPD souligne l’importance fondamentale du principe de transparence.

Faut-il informer les personnes en cas de changement de finalité ?

Oui. L’Art. 13(3) RGPD impose que, lorsque le responsable de traitement envisage de traiter les données pour une finalité autre que celle pour laquelle elles ont été collectées, il fournisse à la personne des informations sur cette autre finalité avant le traitement ultérieur. Cette obligation s’ajoute à la nécessité de disposer d’une base juridique valide pour cette nouvelle finalité.