1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:
| a) | l’identité et les coordonnées du responsable du traitement; |
| b) | les coordonnées du délégué à la protection des données; |
| c) | les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement; |
| d) | le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel; |
| e) | le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 48, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition. |
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:
| a) | la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée; |
| b) | l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou, le cas échéant, du droit de s’opposer au traitement ou du droit à la portabilité des données; |
| c) | lorsque le traitement est fondé sur l’article 5, paragraphe 1, point d), ou sur l’article 10, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci; |
| d) | le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données; |
| e) | des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences possibles de la non-fourniture de ces données; |
| f) | l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 24, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. |
3. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle elles ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
4. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
Elle souligne que celle-ci, prévue à l'article 15, §1, d), du règlement (UE) 2018/1725 (équivalent des articles 13 et 14 du RGPD), s'apprécie immédiatement, au moment de la collecte des données, et du point de vue du responsable de traitement. La pseudonymisation opérée ultérieurement, ainsi que l'impossibilité pour le destinataire de réidentifier les personnes concernées, sont indifférentes à cet égard. En faisant dépendre le respect de l'obligation d'information du point de vue du destinataire, le Tribunal a ainsi commis une erreur de droit. La Cour annule en conséquence l'arrêt attaqué.
Lire la suite…