L’information en cas de collecte indirecte

 

Précédent : Réseaux électroniques
Suite : Les sanctions

 

Informer lors d’une collecte indirecte de données personnelles

1. – Pour compléter ce régime, déjà assez conséquent, la loi a imposé en outre une obligation d’information dans les cas de collecte indirecte de données personnelles (c’est-à-dire, lorsque les données ne sont pas recueillies immédiatement auprès de la personne concernée – par exemple, dans le cas où un fichier de prospection aurait été acheté). Cette obligation n’existait pas avant la transposition de la directive de 1995, ce que la jurisprudence disait d’ailleurs assez clairement : « _la loi du 6 janvier 1978 [antérieure] ne fait nulle obligation au responsable du fichier, qui recueille auprès de tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée _» (Cass., ch. crim., 25 oct. 1995). Mais il n’en est plus ainsi aujourd’hui puisque – au-delà de quelques exceptions très spécifiques (art. 32 III) – le responsable doit informer la personne dont les données vont être indirectement traitées, dès l’enregistrement des données ou, lorsqu’une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

2. – Plusieurs informations doivent alors être fournies par le responsable du traitement ou son représentant à la personne dont il traite indirectement les données (ces informations étant identiques à l’art. 32, I), rappelons-les ici brièvement :

  • l’identité du responsable ;
  • la finalité du traitement ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les conséquences éventuelles d’un défaut de réponse ;
  • les destinataires des données ;
  • les droits dont disposent les personnes à l’égard de ces données (principalement les droits d’opposition, d’accès et de rectification) ;
  • l’existence de transferts hors UE.

3. – De la même manière qu’en cas de collecte directe des données personnelles, la loi a prévu deux exceptions à cette obligation d’information :

  • pour les traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales (art. 32 VI) ;
  • si les données à caractère personnel recueillies sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la loi par la Commission nationale de l’informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I de l’article 32.

En outre, la loi (art. 32) a également prévu trois dérogations particulières :

  • Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent [collecte indirecte] ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ;
  • soit à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques.
  • soit, lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.

La rédaction de la dernière exception doit toutefois être appréciée avec prudence et rigueur.

**4. – **Enfin, il faut noter que ces dispositions ne s’appliquent pas non plus aux données « utilisées lors d’un traitement mis en œuvre pour le compte de l’Etat et intéressant la sûreté de l’État, la défense, la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement. »

Lire la suite : Les sanctions à la violation de l’obligation d’information

Le plan de l'article :

- La liste des informations imposées
- Les exceptions à l'obligation d'information 
- Les précisions du décret
- L'information lors de la collecte de données sur les réseaux électroniques
- Les obligations d'information en cas de collecte indirecte 
- Les sanctions à la violation de l'obligation d'information

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)