Oui, les personnes doivent être informées lorsque leurs données sont collectées auprès d’un tiers, sauf si elles le sont déjà, si cela n’est pas possible ou si la législation indique le contraire.

Le RGPD[1] exige que les personnes soient correctement informées[2] lorsque leurs données à caractère personnel sont traitées, dans le cas où les données sont collectées directement auprès d’elles, mais aussi dans le cas où les données sont collectées auprès d’un tiers.

Lorsque les données sont collectées auprès d’un tiers, les personnes peuvent toutefois ne pas être informées[3] :

  • si « la personne possède déjà l’information » ;
  • si la législation réglemente la communication de l’information ;
  • si « les données à caractère personnel doivent rester confidentielles », conformément à la législation.
  • si cela « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement », à condition de « prendre des mesures appropriées[4] pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles[5] »;
  • ou si « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés » ;

Ce dernier cas permet de ne pas informer les personnes lorsque cela est « impossible » ou lorsque cela « exigerait des efforts disproportionnés ».

Concernant le caractère impossible, l’EDPB[6] considère qu’un responsable de traitement peut recourir à cette exception uniquement s’il peut « démontrer quels facteurs l’empêchent effectivement de communiquer les informations en question à la personne concernée »[7].

Concernant la notion d’« efforts disproportionnés », le Conseil d’État a déjà estimé que le fait d’informer 25 millions de personnes n’exigeait pas des « efforts disproportionnés »[8].

« qu’eu égard à l’intérêt qui s’attache au respect des libertés et droits fondamentaux des vingt-cinq millions de personnes touchées par le traitement litigieux, et notamment au respect de leur vie privée, la société Pages Jaunes Groupe n’est pas fondée à soutenir que l’information de ces personnes, dont elle avait les coordonnées, exigeait des efforts disproportionnés »

Le fait de ne pas informer les personnes sans raison valable peut être sanctionnée. Des sociétés l’ont déjà été, notamment la société Monsanto, car la société avait collecté des données sur 201 personnes sans les informer[9].

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD demande aux responsables de traitement de données personnelles de communiquer des informations sur les traitements effectués sur les données (source : RGPD, article 13 et 14). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  3. Lorsque des données personnelles ne sont pas collectées auprès de la personne concerné, le RGPD demande d’informer la personne sauf dans les exceptions listées dans l’article 14-5.
  4. Lorsque les personnes ne sont pas informées car cela compromettrait « gravement la réalisation des objectifs dudit traitement », l’EDPB recommande de prendre des mesures pour diminuer les éventuelles conséquences négatives du traitement sur les personnes, notamment « la réalisation d’une analyse d’impact, l’application de techniques de pseudonymisation, la réduction du nombre de données collectées et de la période de conservation et la mise en œuvre de mesures techniques et organisationnelles pour garantir un niveau élevé de sécurité » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §64).
  5. Lorsque les personnes ne sont pas informées car cela compromettrait « gravement la réalisation des objectifs dudit traitement », l’EDPB recommande au responsable de traitement de rendre public les informations sur le traitement « en mettant les informations sur son site internet ou en les présentant de façon proactive dans un journal ou sur des affiches dans ses locaux » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §64).
  6. European Data Protection Board (EDPB) ou Comité Européen de la Protection des Données (CEPD ): edpb.europa.eu.
  7. L’EDPB considère que quelque chose « est simplement possible ou impossible » et qu’ « il n’existe pas de degrés d’impossibilité ». L’EDPB ajoute que « par conséquent, si un responsable du traitement souhaite faire jouer cette dérogation, il doit démontrer quels facteurs l’empêchent effectivement de communiquer les informations en question à la personne concernée » (source : EDPB, Lignes directrices sur la transparence, 11 avril 2018, §59).
  8. Le Conseil d’État a indiqué qu’informer 25 millions de personnes ne représentait pas un effort disproportionné (source : Conseil d’État, N° 353193, 12/03/2014, Pages Jaunes Groupe, §9).
  9. La société Monsanto a été sanctionnée par la CNIL, car la société avait collecté des données personnelles sur 201 personnes sans les informer (source : CNIL, SAN-2021-012, 26 juillet 2021, Monsanto). Voir « La société MONSANTO sanctionnée pour avoir collecté des données sur des personnalités publiques influentes sans les informer ».