À quel moment informer la personne concernée dont les données ont été collectées auprès d’une source externe ?


L’obligation d’information pesant sur le responsable de traitement et l’obligeant à communiquer à la personne concernée un certain nombre d’informations sur le traitement et son contexte1Article 14 RGPD : “L’identité et les cordonnées du responsable de traitement et de son DPO, les finalités et la base légale du traitement (et, le cas échéant les intérêts légitimes poursuivis), les catégories de données concernées, les destinataires et les transferts à l’étranger éventuels, la durée de traitement, les droits de la personne sur le traitement, la source des données et l’existence d’une prise de décision automatisée éventuelle. est l’une des pierres angulaires du droit de la protection des données personnelles : elle permet de garantir que la personne concernée par le traitement a connaissance de ce dernier, des conditions auxquelles il est mis en œuvre, et de ses droits. Grâce à l’obligation d’information, une relation de confiance est ainsi instaurée entre le responsable de traitement et la personne concernée, ce qui répond au principe de traitement loyal et transparent découlant du considérant 392Cons. 39 RGPD : “Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. et de l’article 5.1.a)3Art. 5.1.a) RGPD : “Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence.” du RGPD. C’est d’ailleurs ce que précise le considérant 60 en disposant que “le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités“, ce qui implique même que le traitement serait déloyal en cas de non-respect de l’obligation d’information.

Lorsque les données sont collectées directement auprès de la personne concernée, l’information doit être communiquée “au moment où les données en question sont obtenues” (article 13), mais qu’en est-il lorsque les données ont été obtenues d’une source externe (comme par exemple pour un moteur de recherche) ?

L’article 14 du RGPD comporte à ce sujet un troisième paragraphe rédigé de manière assez baroque. Il comprend en effet trois propositions ainsi agencées :

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne ; ou

c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

Le premier point commence ainsi en instaurant ce qui semble être un principe de fourniture des informations dans un délai raisonnable ne dépassant pas un mois. Les deuxièmes et troisièmes points amènent des précisions dans deux cas, la collecte aux fins de communication avec la personne et la collecte aux fins de communication à un tiers : dans ces deux exemples, la fourniture des informations à la personne concernée peut être effectuée au plus tard lors de ladite communication. Notons au passage que dans le cas du point c), le nouveau destinataire des données, s’il est responsable de traitement, devra lui-même informer la personne concernée du traitement qu’il compte effectuer.

Comment alors concilier l’affirmation de principe du point a) avec les deux cas particuliers b) et c) ? Faut-il considérer que le délai maximal d’un mois s’applique quel que soit le cas, ou les situations particulières de b) et c) sont-elles des exceptions ? Concrètement si je collecte des données aux fins de communiquer avec la personne dans 6 mois, à quel moment l’en informer : dans un délai raisonnable ne dépassant pas un mois, ou au moment de la communication ?

Une lecture littérale et attentive nous fait pencher pour la seconde option : la conjonction de coordination séparant les propositions b) et c) est un “ou”. Puisque nous sommes dans une liste de 3 points successifs, dont l’avant-dernier contient ce “ou”, les propositions semblent ainsi être des alternatives – c’est en tout cas ce que tout juriste déduirait d’une telle liste dans un contrat, et ce que la CJUE a déduit à au moins deux reprises. Notons que le texte anglais est rédigé de la même façon. Cette interprétation est confirmée par le considérant 61 qui précise que, lorsque les données à caractère personnel sont obtenues d’une autre source, le délai raisonnable est “fonction des circonstances propres à chaque cas” : la fourniture des informations lors du premier contact avec la personne ou du premier transfert à un tiers, lorsque les données ont été collectées à ces fins, constitue bien une circonstance propre à ces cas. Cela aurait également du sens d’un point de vue pragmatique : si les données sont collectées exclusivement à ces fins de communication, le traitement ne prend véritablement vie que lors du premier contact, et la personne ne voit pas ses droits bafoués par l’absence d’information – bien que l’on puisse tout de même concevoir que la personne concernée ait envie de savoir qu’elle figure dans un fichier même si ce dernier n’est pas utilisé.

Ce n’est cependant pas l’interprétation du G29 qui, dans ses lignes directrices sur la transparence, effectue une lecture extensive de la proposition a) et en applique le délai maximal aux deux cas particuliers des points b) et c) : “dans tous les cas, le délai maximal pendant lequel les informations prévues à l’article 14 doivent être fournies à une personne concernée est d’un mois“. À en lire ses développements, les cas développés aux points b) et c) sont en fait des exceptions au fait de communiquer les données “dans un délai raisonnable“, ce délai étant en fait, pour le G29, celui de communication à la personne concernée ou à un tiers, tant que ce délai est inférieur à un mois. Le G29 explicite cette position en note de bas de page : le fait que les propositions b) et c) commencent par la préposition conditionnelle “si” indiquerait “l’ajout d’une précision à la situation générale concernant le délai maximal établi à l’article 14, paragraphe 3, point a), mais elle ne la remplace pas“. Le G29 va même jusqu’à préconiser de ne pas tenir compte du délai maximal d’un mois et affirme que “les responsables du traitement devraient, conformément au principe d’équité, fournir les informations aux personnes concernées bien avant les délais indiqués“.

On peine cependant à comprendre pourquoi le délai maximal du point a) ne serait pas remplacé par les précisions des points b) et c) compte tenu du caractère alternatif des trois points. On ne peut donc que s’opposer à cette lecture qui ne découle pas de la lettre du texte et qui ne semble pas pragmatique au regard des cas spécifiques évoqués : une occasion utile de se rappeler qu’il n’est pas nécessaire de toujours être d’accord avec la CNIL ou le G29.

Agree to disagree
Nous sommes évidemment Ryan Gosling

On restera cependant prudent dans le désaccord avec cette position : le non respect des obligations d’information est une contravention de 5ème classe et est surtout susceptible d’être l’objet des amendes administratives les plus élevées du RGPD (20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu). On conclura en rappelant qu’évidemment, les exceptions à l’obligation d’information détaillées à l’article 14.5, et notamment la dispense d’obligation d’information individuelle lorsque la fourniture de cette information serait impossible ou exigerait des efforts disproportionnés, restent applicables en tout état de cause.

Commentaires

    feiss dit, le 27 août 2022 :

    Bonjour,
    concernant ce paragraphe :
    3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :
    a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées
    Est ce que le motif de congé d’été de la part de la DRH permet de proroger ce délai d’un mois ?
    Merci de votre réponse
    Bon week end !

    Hugo Ruggieri dit, le 27 août 2022 :

    Bonjour, merci pour votre commentaire ! Nous ne donnons pas ici de conseil juridique sur des cas précis, mais il ne me semble pas que le RGPD contienne des cas de prorogation pour l’acquittement de l’obligation d’information. N’hésitez pas à consulter vos juristes internes ou faire appel à des avocats (comme lighten.law) pour en savoir plus.

Laisser un commentaire

Votre adresse mail ne sera pas publiée. Tous les champs sont obligatoires.