RGPD – Modèle de mentions conformes au RGPD, lorsque les données personnelles n’ont pas été collectées auprès de la personne concernée

Auteurs : FB Juris et Franck Beaudoin, avocat

Publié le 9 mai 2018 sur idroit.co

Guide

L’article 14 du RGPD liste les informations que le responsable d’un traitement de données personnelles doit fournir à la personne concernée, lorsque les données n’ont pas été collectées directement auprès de la personne concernée. Le modèle qui suit est applicable dans ce cas.

Concrètement, si le responsable d’un traitement de données personnelles collecte ces données sur des sites Internet de tiers (par exemple sur des réseaux sociaux), ou achète une base de données, il est tenu d’informer les personnes dont il traite les données.

Les informations doivent être fournies :

– dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées,

– ou, si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne,

– ou, s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

Les informations à fournir sont celles exigées lorsque les données sont collectées directement auprès de la personne collectée, plus les informations suivantes :

– les catégories de données à caractère personnel concernées,

– la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.

Par souci de simplicité, le modèle qui suit renvoie pour partie au modèle applicable lorsque les données sont collectées directement auprès de la personne concernée.

Modèle

> XXX [reprendre toutes les mentions applicables lorsque les données sont collectées directement auprès de la personne concernée : cliquer ici].

> Catégories de données à caractère personnel concernées

Les catégories suivantes de données à caractère personnel sont concernées : XXX [lister les catégories].

> Source d’où proviennent les données à caractère personnel

Les données personnel ont été obtenues XXX [préciser la source des données]. Ces sources XXX [OPTION 1 : sont // OPTION 2 : ne sont pas] accessibles au public.