RGPD

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES
Ce groupe de travail a été institué par l’article 29 de la directive 95/46/CE.
Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie
privée. Ses missions sont définies à l’article 30 de la directive 95/46/CE et à l’article 15 de la directive
2002/58/CE.
Le secrétariat est assuré par la direction C (Droits fondamentaux et État de droit) de la direction
générale de la justice et des consommateurs de la Commission européenne, B-1049 Bruxelles,
Belgique, bureau MO-59 02/013 Site web:
http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358&tpa_id=6936 17/FR WP260
rev.01 Groupe de travail «Article 29» Lignes directrices sur la transparence au sens du règlement (UE)
2016/679 Adoptées le 29 novembre 2017 Version révisée et adoptée le 11 avril 2018 LE GROUPE DE
PROTECTION DES PERSONNES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
institué par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, vu les
articles 29 et 30 de ladite directive, vu son règlement intérieur, A ADOPTÉ LES PRÉSENTES LIGNES
DIRECTRICES: GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES Page 2 sur 49
Table des matières
Introduction………………………………………………………………………………………………………………………… 4
Signification de la transparence …………………………………………………………………………………………….. 6
Éléments de transparence au titre du RGPD…………………………………………………………………………….. 7
«concises, transparentes, compréhensibles et aisément accessibles» ………………………………………….7
«Des termes clairs et simples» ………………………………………………………………………………………………..9
Communication d’informations à des enfants et d’autres personnes vulnérables …………………………11
«Par écrit ou par d’autres moyens»…………………………………………………………………………………………13
«…les informations peuvent être fournies oralement» ……………………………………………………………..14
«Gratuitement»…………………………………………………………………………………………………………………….15
Informations à fournir à la personne concernée – Articles 13 et 14…………………………………………….. 16
Contenu……………………………………………………………………………………………………………………………….16
«Mesures appropriées»…………………………………………………………………………………………………………16
Délai de soumission des informations………………………………………………………………………………………17
Modifications des informations à fournir au titre des articles 13 et 14 ………………………………………..19
Délai de notification des modifications des informations à fournir au titre des articles 13 et 14 ……..20
Modalités: format de la communication des informations………………………………………………………….21
Approche à plusieurs niveaux dans un environnement numérique et avis/déclarations sur la
protection de la vie privée à différents niveaux…………………………………………………………………………22
Approche à plusieurs niveaux dans un environnement non numérique………………………………………..23
Notifications de type «push» et «pull»…………………………………………………………………………………….23
Autres types de «mesures appropriées»…………………………………………………………………………………..24
Informations sur le profilage et la prise de décision automatisée………………………………………………..25
Autres questions: risques, règles et garanties……………………………………………………………………………26
Informations concernant un traitement ultérieur………………………………………………………………………27
Outils de visualisation ………………………………………………………………………………………………………….. 29
Icônes …………………………………………………………………………………………………………………………………29
Mécanismes de certification, labels et marques………………………………………………………………………..30
Exercice des droits des personnes concernées …………………………………………………………………………31
Dérogations à l’obligation de fournir des informations ……………………………………………………………..32
Page 3 sur 49 Dérogations à l’article 13
Dérogations à l’article 14………………………………………………………………………………………………………..33
Se révèle impossible, exigerait des efforts disproportionnés et compromettrait gravement la
réalisation des objectifs………………………………………………………………………………………………………….33
«Se révèle impossible»…………………………………………………………………………………………………………..34
Impossibilité de fournir la source des données………………………………………………………………………….34
«Efforts disproportionnés» …………………………………………………………………………………………………….35
Compromettrait gravement la réalisation des objectifs………………………………………………………………37
L’obtention ou la communication des informations sont expressément prévues par la loi……………..38
Confidentialité du fait d’une obligation de confidentialité ………………………………………………………….39
Limitations applicables aux droits des personnes concernées …………………………………………………… 39
Transparence et violation de données……………………………………………………………………………………. 40
Annexe ………………………………………………………………………………………………………………………………. 42
GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES Page 4 sur 49
Introduction 1. Les présentes lignes directrices du groupe de travail «Article 29» (G29) fournissent
une orientation pratique ainsi qu’une aide à l’interprétation concernant la nouvelle obligation de
transparence applicable au traitement des données à caractère personnel au titre du règlement
général sur la protection des données1 (ci-après le «RGPD»). La transparence est une obligation
globale au sens du RGPD qui s’applique à trois domaines centraux: 1) la communication aux
personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon
dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits
au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les
personnes concernées de leurs droits2 . Dans la mesure où le respect de la transparence à l’égard du
traitement des données est requis par la directive (UE) 2016/6803 , ces lignes directrices s’appliquent
également à l’interprétation de ce principe4 . À l’instar de toutes les lignes directrices du G29, les
présentes lignes directrices ont vocation à être généralement applicables et pertinentes pour les
responsables du traitement, quelles que soient les caractéristiques sectorielles, d’entreprise ou
réglementaires spécifiques à un responsable du traitement en particulier. À ce titre, ces lignes
directrices ne peuvent pas prendre en compte les nuances et nombreuses variables pouvant
apparaître dans le contexte des obligations de transparence d’un secteur, d’une entreprise ou d’un
domaine réglementé spécifique. Néanmoins, elles visent, d’une part, à permettre aux responsables
du traitement de comprendre, à un degré élevé, l’interprétation par le G29 de ce que les obligations
de transparence impliquent dans la pratique et, d’autre part, à indiquer l’approche que les
responsables du traitement devraient, selon le G29, adopter en matière de transparence tout en
intégrant les notions d’équité et de responsabilité dans leurs mesures
(UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection
des données) (JO L 119 du 4.5.2016, p. 1). 2 Ces lignes directrices fixent les principes généraux relatifs
à l’exercice des droits des personnes concernées plutôt qu’elles traitent des modalités spécifiques à
chacun des droits de ces personnes au titre du RPGD. 3 Directive (UE) 2016/680 du Parlement
européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel par les autorités compétentes à des fins de
prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou
d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décisioncadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89). 4 Bien que la transparence ne constitue
pas l’un des principes relatifs au traitement des données à caractère personnel énoncés à l’article 4
de la directive (UE) 2016/680, le considérant 26 de ladite directive dispose que «tout traitement de
données à caractère personnel doit être licite, loyal et transparent à l’égard des personnes physiques
concernées». Page 5 sur 49 2. La transparence est une caractéristique bien ancrée dans le droit de
l’Union européenne5 . Son objectif premier est de susciter la confiance dans les processus
applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits
processus. C’est également une expression du principe d’équité à l’égard du traitement des données
à caractère personnel énoncé à l’article 8 de la charte des droits fondamentaux de l’Union
européenne. Conformément au RGPD [article 5, paragraphe 1, point a)6 ], outre l’obligation de
traiter les données de manière licite et loyale, la transparence constitue désormais un aspect
fondamental des principes relatifs au traitement7 . La transparence est intrinsèquement liée à
l’équité et au nouveau principe de responsabilité au titre du RGPD. Il ressort également de l’article 5,
paragraphe 2, que le responsable du traitement doit toujours être en mesure de démontrer que les
données à caractère personnel sont traitées de manière transparente au regard de la personne
concernée8 . Parallèlement, le principe de responsabilité exige la transparence des opérations de
traitement afin que les responsables du traitement puissent démontrer qu’ils satisfont aux
obligations leur incombant en vertu du RGPD9 . 3. Conformément au considérant 171 du RGPD,
lorsqu’un traitement a commencé avant le 25 mai 2018, le responsable du traitement doit s’assurer
que le traitement en question satisfait aux obligations de transparence applicables à compter du 25
mai 2018 (conjointement à toutes les autres obligations au titre du RGPD). Cela signifie que les
responsables du traitement devraient réexaminer avant le 25 mai 2018 toutes les informations
fournies aux personnes concernées sur le traitement de leurs données à caractère personnel (par
exemple, dans des déclarations ou des avis sur la protection de la vie privée, etc.) afin de garantir
qu’ils respectent les obligations de transparence énoncées dans les présentes lignes directrices.
Lorsque des modifications ou des ajouts sont apportés à ces informations, les responsables du
traitement doivent clairement indiquer aux personnes concernées que ces modifications ont été
effectuées aux fins de la conformité au RGPD. Le G29 recommande que ces modifications ou ajouts
soient activement portés à l’attention des personnes concernées et exige, au minimum, que les
responsables du 5 L’article premier du TUE décrit les décisions comme étant prises «dans le plus
grand respect possible du principe d’ouverture et le plus près possible des citoyens»; l’article 11,
paragraphe 2, dispose que «[l]es institutions entretiennent un dialogue ouvert, transparent et
régulier avec les associations représentatives et la société civile»; et l’article 15 du TFUE prévoit,
entre autres, que les citoyens de l’Union ont un droit d’accès aux documents des institutions,
organes et organismes de l’Union et que les institutions, organes et organismes de l’Union ont pour
obligation d’assurer la transparence de leurs travaux. 6 «Les données à caractère personnel doivent
être traitées de manière licite, loyale et transparente au regard de la personne concernée». 7 Dans la
directive 95/46/CE, le principe de transparence n’était évoqué qu’au considérant 38 au titre d’une
obligation de traiter les données de manière loyale, sans être expressément mentionné à l’article 6,
paragraphe 1, point a), de ladite directive. 8 Conformément à l’article 5, paragraphe 2, du RGPD, il
incombe au responsable du traitement de démontrer la transparence (parallèlement aux cinq autres
principes liés au traitement des données tels qu’énoncés à l’article 5, paragraphe 1) en vertu du
principe de responsabilité. 9 L’obligation imposée aux responsables du traitement de mettre en
œuvre des mesures techniques et organisationnelles pour s’assurer et être en mesure de démontrer
que le traitement est effectué conformément au RGPD est établie à l’article 24, paragraphe 1. Page 6
sur 49 traitement rendent ces informations publiques (par exemple sur leur site web). Néanmoins, si
les modifications ou ajouts sont substantiels, ils devraient, conformément aux points 29 à 32 ciaprès, être portés activement à l’attention des personnes concernées. 4. Le principe de transparence,
lorsqu’il est respecté par les responsables du traitement, permet aux personnes concernées de
contrôler leurs données à caractère personnel et d’exiger des responsables du traitement et des
sous-traitants qu’ils rendent des comptes à cet égard, par exemple en accordant ou en retirant leur
consentement éclairé et en faisant appliquer leurs droits en tant que personnes concernées10. Le
concept de transparence du RGPD est centré sur l’utilisateur plutôt que sur l’aspect légal et se
concrétise dans plusieurs articles par des exigences pratiques spécifiques applicables aux
responsables du traitement et aux sous-traitants. Les exigences pratiques (informations) sont
exposées aux articles 12 à 14 du RGPD. Cependant, la qualité, l’accessibilité et l’intelligibilité des
informations sont aussi importantes que le contenu réel des informations en matière de
transparence devant être fournies aux personnes concernées. 5. Les exigences de transparence du
RGPD s’appliquent quelle que soit la base juridique du traitement et tout au long du cycle de vie de
ce dernier. Cela ressort clairement de l’article 12, qui prévoit que la transparence s’applique aux
étapes suivantes du cycle de traitement des données: • avant ou au commencement du cycle de
traitement des données, c’est-à-dire quand les données à caractère personnel sont collectées auprès
de la personne concernée ou obtenues d’une autre manière; • tout au long de la période de
traitement, c’est-à-dire lors des communications avec les personnes concernées sur leurs droits; et •
à des moments spécifiques du cycle de traitement, par exemple en cas de violation des données ou
de modification substantielle du traitement. Signification de la transparence 6. La transparence n’est
pas définie dans le RGPD. Le considérant 39 du RGPD fournit des informations sur le sens et l’effet du
principe de transparence dans le cadre du traitement des données: «Le fait que des données à
caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou
traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées
devraient être transparents à l’égard des 10Voir, par exemple, les conclusions de l’avocat général
Cruz Villalón (9 juillet 2015) dans l’affaire Bara (affaire C-201/14), point 74: «cette exigence
d’information des personnes concernées par le traitement de leurs données personnelles, qui
garantit la transparence de tout traitement, est d’autant plus importante qu’elle conditionne
l’exercice par les intéressés de leur droit d’accès aux données traitées, visé à l’article 12 de la
directive 95/46, et de leur droit d’opposition au traitement desdites données, défini à l’article 14 de
la même directive». Page 7 sur 49 personnes physiques concernées. Le
concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que
pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des
personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des
données à caractère personnel les concernant qui font l’objet d’un traitement.» Éléments de
transparence au titre du RGPD 7. Les articles clés du RGPD en matière de transparence, en ce qu’ils
s’appliquent aux droits de la personne concernée, se trouvent au chapitre III (Droits de la personne
concernée). L’article 12 établit les règles générales applicables: à la communication d’informations
aux personnes concernées (visée aux articles 13 et 14); aux communications adressées aux
personnes concernées au sujet de l’exercice de leurs droits (visées aux articles 15 à 22); et aux
communications concernant les violations de données (article 34). Plus particulièrement, l’article 12
impose que les informations ou communications en question respectent les règles suivantes: • elles
doivent être concises, transparentes, compréhensibles et aisément accessibles (article 12,
paragraphe 1); • des termes clairs et simples doivent être employés (article 12, paragraphe 1); •
l’exigence concernant l’utilisation de termes clairs et simples est particulièrement importante pour
les informations destinées à des enfants (article 12, paragraphe 1); • les informations sont fournies
«par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique» (article
12, paragraphe 1); • lorsque la personne concernée en fait la demande, les informations peuvent
être fournies oralement (article 12, paragraphe 1); et • elles sont généralement fournies
gratuitement (article 12, paragraphe 5). «concises, transparentes, compréhensibles et aisément
accessibles» 8. L’exigence que la fourniture d’informations aux personnes concernées et que les
communications qui leur sont adressées soient réalisées d’une manière «concise et transparente»
signifie que les responsables du traitement devraient présenter les informations/communications de
façon efficace et succincte afin d’éviter de noyer d’informations les personnes concernées. Ces
informations devraient être clairement différenciées des autres informations non liées à la vie privée
telles que des clauses contractuelles ou des modalités d’utilisation générale. Dans un contexte en
ligne, la présentation d’une déclaration de confidentialité ou de dispositions en matière de
protection de la vie privée sur différents niveaux permet à la personne concernée de naviguer
jusqu’à la section spécifique de la déclaration ou de l’avis sur la protection de la vie Page 8 sur 49
privée à laquelle elle souhaite accéder immédiatement plutôt que de devoir faire défiler de grandes
quantités de texte à la recherche d’informations spécifiques. 9. L’exigence que ces informations
soient «compréhensibles» signifie qu’elles devraient pouvoir être comprises par la majorité du public
visé. La compréhensibilité est étroitement liée à l’exigence d’utiliser des termes clairs et simples. Un
responsable du traitement connaît les personnes au sujet desquelles il collecte des informations et
peut mettre à profit ces connaissances pour déterminer ce que ce public serait susceptible de
comprendre. Par exemple, un responsable du traitement collectant les données à caractère
personnel de professionnels exerçant une activité peut partir du principe que son public a un niveau
de compréhension plus élevé que si ce même responsable du traitement collectait des données à
caractère personnel concernant des enfants. Si les responsables du traitement ont des incertitudes
sur le niveau de compréhensibilité et de transparence des informations et l’efficacité des interfaces
utilisateur, avis, politiques, etc., ils ont la possibilité de tester ces derniers au moyen, par exemple, de
différents mécanismes tels que des panels d’utilisateurs, des tests de lisibilité, des interactions
formelles et informelles ou en dialoguant, entre autres, avec des groupes d’entreprises, des
organisations représentatives des intérêts des consommateurs ou des organes réglementaires, le cas
échéant. 10. Un aspect primordial du principe de transparence mis en lumière dans ces dispositions
est que la personne concernée devrait être en mesure de déterminer à l’avance ce que la portée et
les conséquences du traitement englobent afin de ne pas être prise au dépourvu à un stade ultérieur
quant à la façon dont ses données à caractère personnel ont été utilisées. C’est également un aspect
important du principe d’équité au titre de l’article 5, paragraphe 1, du RGPD, qui est d’ailleurs lié au
considérant 39 qui dispose que «[l]es personnes physiques devraient être informées des risques,
règles, garanties et droits liés au traitement des données à caractère personnel». Plus
particulièrement, en ce qui concerne les traitements de données complexes, techniques ou non
prévus, la position du G29 est que les responsables du traitement devraient, en plus de fournir les
informations énoncées aux articles 13 et 14 (traitées ultérieurement dans les présentes lignes
directrices), définir séparément et de façon claire les principales conséquences du traitement:
autrement dit, quel sera réellement l’effet du traitement spécifique décrit dans une déclaration ou
un avis sur la protection de la vie privée pour la personne concernée. En accord avec le principe de
responsabilité et conformément au considérant 39, les responsables du traitement devraient évaluer
s’il existe pour les personnes physiques concernées par ce type de traitement des risques particuliers
qu’il conviendrait de porter à l’attention des intéressés. Une telle évaluation pourrait permettre de
fournir un aperçu des types de traitement susceptibles d’avoir le plus d’impact sur les libertés et
droits fondamentaux des personnes concernées quant à la protection de leurs données à caractère
personnel. 11. Le critère «aisément accessible» signifie que la personne concernée ne devrait pas
avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder: par exemple, ces
informations pourraient être communiquées aux personnes concernées directement ou au moyen
d’un lien qui leur serait adressé; leur emplacement et accès pourraient être clairement indiqués, ou
elles pourraient être fournies en réponse à une question en langage Page 9 sur 49 naturel (par
exemple, dans une déclaration de confidentialité ou des dispositions Page 10 sur 49 du RGPD13.
L’exigence de termes clairs et simples signifie que les informations devraient être fournies de la façon
la plus simple possible, en évitant des phrases et des structures linguistiques complexes. Les
informations devraient être concrètes et fiables; elles ne devraient pas être formulées dans des
termes abstraits ou ambigus ni laisser de place à différentes interprétations. Plus particulièrement,
les finalités et fondements juridiques du traitement des données à caractère personnel devraient
être clairs. Exemples de mauvaises pratiques Les phrases suivantes ne sont pas suffisamment claires
pour que l’on comprenne la finalité du traitement: • «Il se peut que nous utilisions vos données à
caractère personnel en vue de la mise au point de nouveaux services» (car le sens de «services» et la
façon dont ces données permettront de mettre au point les services ne sont pas clairs); • «Il se peut
que nous utilisions vos données à caractère personnel à des fins de recherche» (car le type de
«recherche» visé n’est pas clair); et • «Il se peut que nous utilisions vos données à caractère
personnel afin de vous proposer des services personnalisés» (car ce qu’englobe la «personnalisation»
n’est pas clair). Exemples de bonnes pratiques14 • «Nous conserverons votre historique d’achats et
utiliserons les informations sur les produits que vous avez précédemment achetés afin de vous
suggérer d’autres produits qui, selon nous, devraient vous intéresser» (cette phrase indique
clairement quels types de données seront traités, que la personne concernée recevra des annonces
ciblées pour des produits et que ses données seront utilisées à cette fin); • «Nous conserverons et
analyserons les informations relatives à vos dernières visites sur notre site internet et la façon dont
vous naviguez parmi les différentes rubriques de notre site à des fins d’analyse en vue de
comprendre comment les internautes consultent notre site pour, à terme, le rendre plus intuitif»
(cette phrase indique clairement le type de données qui seront traitées et le type d’analyses que le
responsable du traitement effectuera); et • «Nous conserverons une trace des articles de notre site
internet sur lesquels vous avez 13 Le considérant 42 dispose qu’une déclaration de consentement
rédigée préalablement par le responsable du traitement devrait être fournie sous une forme
compréhensible et aisément accessible, et formulée en des termes clairs et simples, et qu’elle ne
devrait contenir aucune clause abusive. 14 L’exigence de transparence est entièrement valable,
indépendamment de l’exigence imposée aux responsables du traitement de garantir l’existence
d’une base juridique pour le traitement en vertu de l’article 6. Page 11 sur 49 cliqué et utiliserons ces
informations pour adapter la publicité sur ce site à vos centres d’intérêt, que nous avons déterminés
au vu des articles que vous avez lus» (cette phrase indique clairement en quoi consiste la
personnalisation et la façon dont les centres d’intérêt de la personne concernée ont été identifiés).

  1. Les qualificatifs tels que «peut», «pourrait», «certains», «souvent» et «possible» sont à éviter.
    Lorsque les responsables du traitement choisissent d’utiliser des termes vagues, ils devraient
    pouvoir, conformément au principe de responsabilité, démontrer que ce type de langage ne pouvait
    pas être évité et prouver qu’il ne nuit pas à l’équité du traitement. Les paragraphes et phrases
    doivent être bien structurés, en utilisant des puces et des alinéas pour indiquer les relations
    hiérarchiques. Il convient de privilégier la forme active plutôt que la voix passive et d’éviter les mots
    superflus. Les informations fournies à une personne concernée ne devraient pas contenir de termes
    trop juridiques, techniques ou spécialisés. Lorsque les informations sont traduites dans une ou
    plusieurs langues, le responsable du traitement doit s’assurer que toutes les traductions sont exactes
    et que la phraséologie et la syntaxe ont du sens dans la langue cible de sorte que le texte traduit n’ait
    pas à être déchiffré ou réinterprété. (Une traduction dans une ou plusieurs langues devrait être
    fournie lorsque le responsable du traitement cible15 des personnes concernées parlant ces langues.)
    Communication d’informations à des enfants et d’autres personnes vulnérables 14. Quand un
    responsable du traitement cible des enfants16 ou est, ou devrait être, conscient que ses biens et/ou
    services sont particulièrement utilisés par des enfants (y compris lorsque le responsable du
    traitement est tributaire du consentement de l’enfant)17, il doit s’assurer que le vocabulaire, le ton
    et le style de langage utilisés sont adaptés aux enfants et peuvent être compris par ces derniers de
    sorte que les enfants destinataires des informations reconnaissent que le message/les informations
    leur sont adressés18. Un exemple utile de langage axé sur l’enfant, utilisé en remplacement du
    langage juridique d’origine, est accessible dans la «Convention des droits de l’enfant des Nations
    unies expliquée aux enfants»19. 15 Par exemple, si le responsable du traitement exploite un site
    internet dans la langue en question et/ou offre des options spécifiques à un pays et/ou facilite le
    paiement de biens ou services dans la monnaie d’un État membre en particulier, cela peut être le
    signe que ce responsable du traitement cible les personnes concernées d’un État membre spécifique.
    16 Le terme «enfant» n’est pas défini dans le RGPD; néanmoins le G29 reconnaît, en accord avec la
    convention internationale relative aux droits de l’enfant des Nations unies – que tous les États
    membres de l’Union européenne ont ratifiée –, qu’un enfant est une personne âgée de moins de 18
    ans. 17 C’est-à-dire les enfants âgés de 16 ans et plus [ou, lorsque (conformément à l’article 8,
    paragraphe 1, du RGPD) le droit national de l’État membre a fixé l’âge du consentement à un âge
    spécifique situé entre 13 et 16 ans, permettant aux enfants de consentir à une offre de prestation de
    services d’une société de l’information, les enfants ayant atteint ledit âge de consentement national].
    18 Le considérant 38 indique que «[l]es enfants méritent une protection spécifique en ce qui
    concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des
    risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des
    données à caractère personnel». Le considérant 58 prévoit que «[l]es enfants méritant une
    protection spécifique, toute information et communication, lorsque le traitement les concerne,
    devraient être rédigées en des termes clairs et simples que l’enfant peut aisément comprendre». 19
    https://www.unicef.org/rightsite/files/uncrcchilldfriendlylanguage.pdf Page 12 sur 49 15. La position
    du G29 est que la transparence est un droit indépendant qui s’applique autant aux enfants qu’aux
    adultes. Le G29 insiste en particulier sur le fait que les enfants ne perdent pas leur droit à la
    transparence en tant que personnes concernées simplement parce que leur consentement a été
    donné ou autorisé par le titulaire de la responsabilité parentale dans une situation où l’article 8 du
    RGPD s’applique. Bien qu’un tel consentement soit, dans de nombreux cas, donné ou autorisé sur
    une base ponctuelle par le titulaire de la responsabilité parentale, un enfant (comme toute autre
    personne concernée) dispose d’un droit permanent à la transparence pendant toute la durée de son
    interaction avec le responsable du traitement. Ceci est conforme à l’article 13 de la convention
    internationale relative aux droits de l’enfant des Nations unies qui prévoit qu’un enfant a droit à la
    liberté d’expression, ce qui comprend la liberté de rechercher, de recevoir et de répandre des
    informations et des idées de toute espèce20. Il est important de signaler que, bien qu’il prévoie la
    fourniture du consentement au nom d’un enfant en dessous d’un âge spécifique21, l’article 8 ne
    prévoit pas de mesures de transparence destinées au titulaire de la responsabilité parentale qui
    donne un tel consentement. Par conséquent, les responsables du traitement ont pour obligation, en
    vertu des dispositions spécifiques aux mesures de transparence destinées aux enfants prévues à
    l’article 12, paragraphe 1 (et appuyées par les considérants 38 et 58), de garantir que, lorsqu’ils
    ciblent des enfants ou ont conscience que leurs biens ou services sont particulièrement utilisés par
    des enfants en âge de savoir lire et écrire, ces informations et communications soient transmises en
    des termes clairs et simples ou fournies par un moyen facilement compréhensible par des enfants.
    Pour éviter toute ambiguïté, le G29 reconnaît néanmoins que dans le cas d’enfants très jeunes ou
    seulement pré-alphabétisés, les mesures de transparence peuvent également être adressées aux
    titulaires de la responsabilité parentale, étant donné que ces enfants, dans la plupart des cas, ne
    parviendront pas à comprendre les messages écrits ou non écrits les plus élémentaires au sujet de la
    transparence. 16. De même, si un responsable du traitement est informé que ses biens et/ou services
    sont utilisés par (ou ciblent) d’autres membres vulnérables de la société, notamment des personnes
    souffrant de handicaps ou des personnes éprouvant des difficultés à accéder à l’information, il
    devrait prendre en compte les vulnérabilités de ces personnes dans son analyse de la façon de
    garantir le respect de ses obligations de transparence à l’égard de ces personnes concernées22.
    Cette exigence est liée à la nécessité pour le responsable du traitement d’évaluer le niveau probable
    de compréhension de son public, comme expliqué au point 9 du présent document. 20 L’article 13 de
    la convention internationale relative aux droits de l’enfant des Nations unies dispose comme suit:
    «L’enfant a droit à la liberté d’expression. Ce droit comprend la liberté de rechercher, de recevoir et
    de répandre des informations et des idées de toute espèce, sans considération de frontières, sous
    une forme orale, écrite, imprimée ou artistique, ou par tout autre moyen du choix de l’enfant.» 21
    Voir la note de bas de page 17 ci-dessus. 22 Par exemple, la convention relative aux droits des
    personnes handicapées des Nations unies exige que des formes appropriées d’aide et
    d’accompagnement soient fournies aux personnes handicapées afin de leur assurer l’accès à
    l’information. Page 13 sur 49 «Par écrit ou par d’autres moyens» 17. Conformément à l’article 12,
    paragraphe 1, les informations et les communications doivent, en principe, être adressées aux
    personnes concernées par écrit23. (L’article 12, paragraphe 7, prévoit également que les
    informations peuvent être accompagnées d’icônes normalisées. Cette question est abordée dans la
    rubrique sur les éléments visuels aux points 49 à 53 du présent document). Cependant, le RGPD
    autorise également l’utilisation d’autres «voies» non déterminées notamment des voies
    électroniques. La position du G29 à l’égard des moyens électroniques écrits est que, lorsqu’un
    responsable du traitement alimente (ou exploite en partie ou en totalité) un site internet, il lui est
    recommandé d’avoir recours à une déclaration ou à un avis sur la protection de la vie privée à
    différents niveaux permettant aux visiteurs du site de naviguer parmi les aspects spécifiques de la
    déclaration ou de l’avis sur la protection de la vie privée qui les intéressent le plus (voir les points 35
    à 37 pour en savoir plus sur les déclarations et avis sur la protection de la vie privée à différents
    niveaux)24. Néanmoins, l’intégralité des informations adressées à une personne concernée devrait
    également être accessible à un endroit unique ou dans un même document (au format papier ou
    électronique) pouvant être aisément consulté par cette personne si elle souhaite consulter
    l’intégralité des informations qui lui sont adressées. Il est également important de noter que le
    recours à une approche à plusieurs niveaux ne se limite pas à la communication des informations aux
    personnes concernées par des moyens électroniques écrits. Comme expliqué aux points 35 à 36 et 38
    ci-après, une approche à plusieurs niveaux pour la communication d’informations aux personnes
    concernées peut également être utilisée en employant un ensemble de méthodes visant à garantir la
    transparence à l’égard du traitement. 18. Bien entendu, les déclarations et avis sur la protection de la
    vie privée à différents niveaux ne sont pas les seuls moyens électroniques écrits dont disposent les
    responsables du traitement. Ces derniers peuvent également utiliser des avis apparaissant dans des
    fenêtres contextuelles à des moments spécifiques, des avis apparaissant par pression sur l’écran ou
    par déplacement au-dessus de l’écran, et des tableaux de bord sur la protection de la vie privée. Les
    moyens électroniques non écrits pouvant être utilisés en sus d’une déclaration ou d’un avis sur la
    protection de la vie privée à différents niveaux peuvent inclure des vidéos ainsi que des alertes
    vocales pour smartphone ou objet connecté25. Les «autres moyens», qui ne sont pas
    nécessairement électroniques, peuvent inclure, par exemple, des bandes dessinées, des infographies
    ou des organigrammes. Lorsque les informations sur la transparence sont destinées spécifiquement à
    des enfants, les responsables du traitement devraient prendre en compte le type de mesures
    pouvant être particulièrement accessibles 23 L’article 12, paragraphe 1, porte sur les termes utilisés
    et dispose que les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque
    c’est approprié, par voie électronique. 24 La reconnaissance par le G29 des avantages des avis à
    différents niveaux a déjà été notée dans l’avis 10/2004 relatif aux dispositions davantage
    harmonisées en matière d’information et l’avis 2/2013 sur les applications destinées aux dispositifs
    intelligents. 25 Ces exemples de moyens électroniques ne sont fournis qu’à titre indicatif et les
    responsables du traitement peuvent élaborer de nouvelles méthodes innovantes en vue de satisfaire
    à l’article 12. Page 14 sur 49 aux enfants (par exemple, des dessins animés, des bandes dessinées,
    des pictogrammes, des animations, etc.). 19. La méthode choisie pour communiquer les
    informations, c’est-à-dire la façon dont le responsable du traitement et la personne concernée
    interagissent ou la façon dont les informations de la personne concernée sont collectées, doit
    impérativement être adaptée aux circonstances particulières de la situation. Ainsi, fournir
    simplement les informations par voie électronique et par écrit, par exemple dans une déclaration ou
    un avis sur la protection de la vie privée en ligne, peut ne pas être adapté ou ne pas fonctionner sur
    un dispositif collectant les données à caractère personnel qui ne dispose pas d’un écran (dispositifs
    connectés/intelligents) pour afficher le site internet ou ces informations écrites. Dans un tel cas, des
    moyens alternatifs supplémentaires et adaptés devraient être envisagés, par exemple la fourniture
    de la déclaration ou de l’avis sur la protection de la vie privée dans un guide d’instruction au format
    papier ou la fourniture au format papier, dans les instructions ou sur l’emballage, de l’adresse URL du
    site internet (plus précisément, la page spécifique du site internet) où se trouve l’avis ou la
    déclaration sur la protection de la vie privée. La communication audio (orale) des informations est
    également possible si le dispositif sans écran dispose de fonctions audio. Le G29 a précédemment
    formulé des recommandations touchant à la transparence et à la communication d’informations aux
    personnes concernées dans son avis sur les récentes évolutions relatives à l’internet des objets26
    (comme l’utilisation de codes QR imprimés sur des objets connectés qui, lorsqu’ils sont scannés,
    affichent les informations requises sur la transparence). Ces recommandations demeurent
    applicables au titre du RGPD. «…les informations peuvent être fournies oralement» 20. L’article 12,
    paragraphe 1, envisage en particulier que les informations puissent être fournies oralement à une
    personne concernée, si elle en fait la demande, à condition que son identité soit démontrée par
    d’autres moyens. En d’autres termes, les moyens employés ne peuvent pas se fonder uniquement
    sur la simple affirmation par l’intéressé qu’il est bien la personne concernée et les moyens devraient
    permettre au responsable du traitement de vérifier l’identité de la personne concernée avec
    suffisamment de certitude. L’exigence de vérification de l’identité de la personne concernée avant la
    communication orale des informations ne s’applique qu’aux informations liées à l’exercice par une
    personne concernée de ses droits en vertu des articles 15 à 22 et 34. Cette condition préalable à la
    communication d’informations orales ne peut s’appliquer à la communication d’informations
    confidentielles générales telles qu’énoncées aux articles 13 et 14, puisque les informations requises
    au titre de ces articles doivent également être rendues accessibles aux futurs utilisateurs et clients
    (dont l’identité ne pourrait pas être vérifiée par un responsable du traitement). Aussi les
    informations à fournir en vertu des articles 13 et 14 peuvent-elles être fournies oralement sans que
    le responsable du traitement n’ait besoin que la personne concernée justifie son identité. 26 Avis
    8/2014 du G29 adopté le 16 septembre 2014. Page 15 sur 49 21. La fourniture orale des informations
    requises au titre des articles 13 et 14 ne doit pas nécessairement se faire d’une personne à une autre
    (c’est-à-dire en personne ou par téléphone). Des informations orales enregistrées peuvent être
    fournies en plus d’informations écrites. Par exemple, cela peut s’appliquer dans le contexte de
    personnes malvoyantes lorsqu’elles interagissent avec des prestataires de services de la société de
    l’information, ou dans le contexte de dispositifs intelligents sans écran, comme indiqué
    précédemment au point 19. Quand un responsable du traitement choisit de fournir des informations
    oralement à une personne concernée, ou quand une personne concernée demande la fourniture
    orale d’informations ou de communications, le G29 estime que le responsable du traitement doit
    permettre à la personne concernée de réécouter les messages préenregistrés. Cela est impératif
    lorsque la demande d’informations orales émane de personnes concernées malvoyantes ou d’autres
    personnes concernées ayant des difficultés à accéder à des informations écrites ou à les comprendre.
    Le responsable du traitement devrait également veiller à conserver une trace écrite, et s’assurer qu’il
    est en mesure de le prouver (aux fins de la conformité à l’exigence de responsabilité), de: i) la
    demande d’informations par voie orale, ii) la méthode par laquelle l’identité de la personne
    concernée a été vérifiée (le cas échéant, voir le point 20 ci-dessus), et iii) du fait que les informations
    ont été transmises à la personne concernée. «Gratuitement» 22. Conformément à l’article 12,
    paragraphe 527, les responsables du traitement ne peuvent généralement pas exiger de paiement de
    la part des personnes concernées pour la fourniture d’informations au titre des articles 13 et 14, ou
    pour les communications et la prise de mesures au titre des articles 15 à 22 (sur les droits de la
    personne concernée) et de l’article 34 (communication à la personne concernée d’une violation de
    données à caractère personnel)28. Cet aspect de la transparence signifie également que les
    informations fournies en vertu des exigences de transparence ne peuvent pas être subordonnées à
    des opérations financières, par exemple le paiement ou l’achat de biens ou services29. 27 Cet article
    prévoit qu’«[a]ucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14
    et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de
    l’article 34». 28 Toutefois, au titre de l’article 12, paragraphe 5, le responsable du traitement peut
    exiger le paiement de frais raisonnables lorsque, par exemple, la demande d’une personne
    concernée en lien avec les informations au titre des articles 13 ou 14 ou les droits prévus aux articles
    15 à 22 ou à l’article 34 est excessive ou manifestement infondée. (D’un autre côté, en ce qui
    concerne le droit d’accès au titre de l’article 15, paragraphe 3, un responsable du traitement peut
    exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie
    supplémentaire des données à caractère personnel demandée par la personne concernée.) 29 À titre
    d’exemple, si les données à caractère personnel d’une personne concernée sont collectées dans le
    cadre d’un achat, les informations requises au titre de l’article 13 devraient être fournies avant le
    paiement et au moment de la collecte des informations, plutôt qu’après la conclusion de l’opération.
    Néanmoins, lorsque des services gratuits sont fournis à une personne concernée, les informations au
    titre de l’article 13 doivent être transmises avant, plutôt qu’après, l’inscription, puisque l’article 13,
    paragraphe 1, exige la fourniture des informations «au moment où les données à caractère
    personnel sont obtenues». Page 16 sur 49 Informations à fournir à la personne concernée – Articles
    13 et 14 Contenu 23. Le RGPD répertorie les catégories d’informations à fournir à une personne
    concernée en ce qui concerne le traitement de ses données à caractère personnel lorsque celles-ci
    sont collectées auprès de la personne concernée (article 13) ou obtenues d’une autre source (article
    14). Le tableau en annexe des présentes lignes directrices résume les catégories d’informations à
    fournir au titre des articles 13 et 14. Il prend également en compte la nature, la portée et le contenu
    de ces exigences. Par souci de clarté, la position du G29 est qu’il n’y a pas de différence entre le
    statut des informations à fournir au titre du paragraphe 1 et du paragraphe 2 des articles 13 et 14,
    respectivement. Toutes les informations contenues dans ces paragraphes sont d’égale importance et
    doivent être fournies à la personne concernée. «Mesures appropriées» 24. À l’instar du contenu, la
    forme et la manière dont les informations requises au titre des articles 13 et 14 devraient être
    fournies à la personne concernée sont importantes. L’avis contenant ces informations est
    fréquemment désigné comme un avis sur la protection de la vie privée, un avis de confidentialité,
    une politique de confidentialité, une déclaration de confidentialité ou un avis de traitement loyal. Le
    RGPD ne prescrit pas la forme ou les modalités selon lesquelles les informations devraient être
    fournies à la personne concernée; cependant, il établit clairement que le responsable du traitement
    est tenu de prendre des «mesures appropriées» pour fournir les informations requises à des fins de
    transparence. Cela signifie que le responsable du traitement devrait prendre en compte toutes les
    circonstances de la collecte et du traitement des données lorsqu’il décide des modalités et de la
    forme appropriées pour la fourniture des informations. Plus particulièrement, les mesures
    appropriées devront être analysées à la lumière de l’expérience de l’utilisateur du service ou du
    produit. À cet égard, il conviendra de prendre en compte le type de dispositif utilisé (le cas échéant),
    la nature des interfaces utilisateur et des interactions avec le responsable du traitement (le
    «parcours» de l’utilisateur) et les limitations que ces facteurs entraînent. Comme indiqué ci-dessus
    au point 17, le G29 recommande que, lorsqu’un responsable du traitement est présent sur internet, il
    y a lieu de fournir en ligne une déclaration de confidentialité ou des dispositions en matière de
    protection de la vie privée sur différents niveaux. 25. Pour déterminer les modalités les mieux
    adaptées à la communication d’informations, les responsables du traitement devraient, avant de se
    décider, essayer différentes modalités au moyen de tests utilisateurs (par exemple, des tests en salle
    ou d’autres tests normalisés sur la lisibilité ou l’accessibilité) afin de connaître la réaction des
    utilisateurs sur l’accessibilité, la compréhensibilité et la facilité d’utilisation des mesures proposées.
    (Voir également les commentaires complémentaires du point 9 sur les autres mécanismes
    d’exécution de tests pour les utilisateurs). La documentation de cette approche devrait également
    aider les responsables du traitement à satisfaire à leurs obligations de responsabilité, en démontrant
    Page 17 sur 49 que les outils et l’approche choisis pour communiquer les informations sont les mieux
    adaptés aux circonstances. Délai de soumission des informations 26. Les articles 13 et 14 indiquent
    les informations à fournir aux personnes concernées dès la phase de commencement du cycle de
    traitement30. L’article 13 s’applique au cas de figure dans lequel les données sont collectées auprès
    de la personne concernée. Cela comprend les données à caractère personnel: • qu’une personne
    concernée fournit sciemment à un responsable du traitement (par exemple lorsqu’elle remplit un
    formulaire en ligne); ou • qu’un responsable du traitement collecte auprès d’une personne
    concernée par observation (par exemple en utilisant des appareils de saisie automatique de données
    ou des logiciels de saisie de données tels que des caméras, un équipement de réseau, un système de
    repérage Wi-Fi, la radio-identification ou d’autres types de capteurs). L’article 14 s’applique au cas de
    figure dans lequel les données n’ont pas été collectées auprès de la personne concernée. Il s’agit des
    données à caractère personnel qu’un responsable du traitement a obtenues de sources telles que: •
    des responsables du traitement tiers; • des sources en libre accès; • des courtiers en données; ou •
    d’autres personnes concernées. 27. S’agissant des délais de fourniture de ces informations, leur
    communication rapide est un élément essentiel de l’obligation de transparence et de l’obligation de
    traiter les données avec équité. Lorsque l’article 13 s’applique, les informations doivent, en vertu de
    son paragraphe 1, être fournies «au moment où les données en question sont obtenues». Lorsque
    les données à caractère personnel ont été obtenues de façon indirecte au titre de l’article 14, les
    délais dans lesquels les informations requises doivent être fournies à la personne concernée sont
    définis à l’article 14, paragraphe 3, points a) à c), comme suit: • l’exigence générale est que les
    informations doivent être communiquées «dans un délai raisonnable» après avoir obtenu les
    données à caractère personnel, mais ne dépassant pas un mois, «eu égard aux circonstances
    particulières dans lesquelles les données à caractère personnel sont traitées» [article 14, paragraphe
    3, point a)]; 30 Conformément aux principes d’équité et de limitation de la finalité, l’entité qui
    collecte les données à caractère personnel auprès de la personne concernée devrait toujours préciser
    les finalités du traitement au moment de la collecte. Si la finalité comprend la création de données à
    caractère personnel déduites, la finalité prévue de créer puis de traiter ces données à caractère
    personnel induites, ainsi que les catégories des données induites traitées, doit toujours être
    communiquée à la personne concernée au moment de la collecte ou avant le traitement ultérieur à
    d’autres fins, conformément à l’article 13, paragraphe 3, ou à l’article 14, paragraphe 4. Page 18 sur
    49 • le délai général d’un mois fixé à l’article 14, paragraphe 3, point a), peut être encore réduit en
    vertu de l’article 14, paragraphe 3, point b)31, qui prévoit le cas où les données sont utilisées aux fins
    de la communication avec la personne concernée. Dans un tel cas, les informations doivent être
    fournies au plus tard lors de la première communication avec ladite personne. Si la première
    communication a lieu avant le délai d’un mois après l’obtention des données à caractère personnel,
    les informations doivent être fournies au plus tard lors de la première communication avec la
    personne concernée, nonobstant le fait que le délai d’un mois à compter de l’obtention des données
    n’a pas expiré. Si la première communication avec une personne concernée a lieu plus d’un mois
    après l’obtention des données à caractère personnel, l’article 14, paragraphe 3, point a), continue de
    s’appliquer, de sorte que les informations énoncées à cet article doivent être fournies à la personne
    concernée au plus tard un mois après l’obtention des données; • le délai général d’un mois énoncé à
    l’article 14, paragraphe 3, point a), peut également être réduit en vertu de l’article 14, paragraphe 3,
    point c)32, qui prévoit le cas où les données sont communiquées à un autre destinataire (qu’il
    s’agisse ou non d’un tiers)33. Dans un tel cas, les informations doivent être fournies au plus tard au
    moment de la première communication. Dans cette hypothèse, si la communication a lieu avant
    l’expiration du délai d’un mois, les informations doivent être fournies au plus tard au moment de la
    première communication, nonobstant le fait que le délai d’un mois à compter de l’obtention des
    données n’a pas expiré. De façon similaire à la situation visée à l’article 14, paragraphe 3, point b), si
    la communication de données à caractère personnel se produit plus d’un mois après l’obtention des
    données en question, l’article 14, paragraphe 3, point a), continue de s’appliquer, de sorte que les
    informations énoncées à cet article doivent être fournies à la personne concernée au plus tard un
    mois après l’obtention des données. 28. Par conséquent, dans tous les cas, le délai maximal pendant
    lequel les informations prévues à l’article 14 doivent être fournies à une personne concernée est
    d’un mois. Toutefois, les principes d’équité et de responsabilité prévus par le RGPD exigent des
    responsables du traitement qu’ils prennent toujours en compte les attentes raisonnables des
    personnes concernées ainsi que les effets que ce traitement peut avoir sur elles et sur leur capacité à
    exercer leurs droits en lien avec ledit traitement, lorsqu’ils choisissent le moment auquel fournir les
    informations prévues par l’article 14. Le principe de responsabilité exige des 31 La formule à l’article
    14, paragraphe 3, point b) «si les données à caractère personnel doivent être utilisées aux fins de…» ,
    indique l’ajout d’une précision à la situation générale concernant le délai maximal établi à l’article 14,
    paragraphe 3, point a), mais elle ne la remplace pas. 32 La formule à l’article 14, paragraphe 3, point
    c) «s’il est envisagé de communiquer les informations à un autre destinataire…» , indique de la
    même manière l’ajout d’une précision à la situation générale concernant le délai maximal établi à
    l’article 14, paragraphe 3, point a), mais elle ne la remplace pas. 33 L’article 4, paragraphe 9, donne la
    définition de «destinataire» et précise qu’un destinataire auquel des données à caractère personnel
    sont communiquées ne doit pas nécessairement être un tiers. Par conséquent, un destinataire peut
    être un responsable du traitement, un responsable conjoint du traitement ou un sous-traitant. Page
    19 sur 49 responsables du traitement qu’ils expliquent les motifs de leur décision et justifient le choix
    du moment où ils ont fourni les informations. En pratique, il peut être difficile de satisfaire à ces
    exigences lorsque des informations sont fournies au «dernier moment». À cet égard, le considérant
    39 indique, entre autres, que les personnes concernées devraient «être informées des risques,
    règles, garanties et droits liés au traitement des données à caractère personnel et des modalités
    d’exercice de leurs droits en ce qui concerne ce traitement». Le considérant 60 fait également
    référence au fait que la personne concernée doit être informée de l’existence de l’opération de
    traitement et de ses finalités dans le cadre du principe de traitement loyal et transparent. Pour
    toutes ces raisons, la position du G29 est que, dans la mesure du possible, les responsables du
    traitement devraient, conformément au principe d’équité, fournir les informations aux personnes
    concernées bien avant les délais indiqués. D’autres commentaires sur l’adéquation du délai entre la
    notification des opérations de traitement aux personnes concernées et le moment où lesdites
    opérations de traitement prennent effet sont formulés aux points 30 à 31 et 48. Modifications des
    informations à fournir au titre des articles 13 et 14 29. La responsabilité en matière de transparence
    s’applique non seulement au moment de la collecte des données à caractère personnel, mais aussi
    tout au long du cycle de vie de leur traitement, quelles que soient les informations ou les
    communications fournies. C’est par exemple le cas lors de la modification du contenu des avis et
    déclarations existants sur la protection de la vie privée. Le responsable du traitement devrait
    respecter les mêmes principes lorsqu’il communique l’avis ou la déclaration initial(e) sur la protection
    de la vie privée et toute modification substantielle apportée ultérieurement à cet avis ou à cette
    déclaration. Les facteurs que les responsables du traitement devraient prendre en compte lors de
    l’évaluation de ce que constitue une modification substantielle comprennent l’incidence sur la
    personne concernée (notamment sa capacité à exercer ses droits) et le caractère inattendu ou
    surprenant de la modification pour cette personne. Les modifications d’un avis ou d’une déclaration
    sur la protection de la vie privée doivent toujours être communiquées à la personne concernée,
    notamment: une modification de la finalité du traitement; une modification de l’identité du
    responsable du traitement; ou une modification de la façon dont les personnes concernées peuvent
    exercer leurs droits concernant le traitement. Inversement, à titre d’exemple, les corrections de
    fautes d’orthographe ou de problèmes de syntaxe ou de grammaire ne sont pas considérées par le
    G29 comme une modification substantielle. Dès lors que la plupart des clients ou utilisateurs actuels
    ne font que jeter un coup d’œil aux communications portant sur la modification d’un avis ou d’une
    déclaration sur la protection de la vie privée, le responsable du traitement devrait prendre toutes les
    mesures nécessaires pour garantir que ces modifications soient communiquées de manière à être
    lues par la plupart des destinataires. Cela signifie, par exemple, qu’une notification de modification
    devrait toujours être communiquée par un moyen adapté (par exemple, e-mail, courrier postal,
    fenêtre contextuelle sur une page web ou autre moyen captant efficacement l’attention de la
    personne concernée) spécifiquement consacré à la modification (par exemple, séparée d’un contenu
    de marketing direct), et cette communication doit respecter les prescriptions de l’article 12, c’est-àdire être adressée d’une façon concise, transparente, compréhensible et Page 20 sur 49 aisément
    accessible, en des termes clairs et simples. Les mentions contenues dans l’avis ou la déclaration sur la
    protection de la vie privée indiquant que la personne concernée devrait régulièrement vérifier l’avis
    ou la déclaration sur la vie privée afin d’en connaître les éventuelles modifications ou mises à jour
    sont jugées non seulement insuffisantes, mais également déloyales au sens de l’article 5, paragraphe
    1, point a). D’autres orientations relatives aux délais de notification des modifications aux personnes
    concernées sont présentées ci-après, aux points 30 et 31. Délai de notification des modifications des
    informations à fournir au titre des articles 13 et 14 30. Le RGPD ne traite pas des délais (et donc des
    méthodes y afférentes) qui s’appliquent aux notifications des modifications des informations
    préalablement fournies à une personne concernée au titre de l’article 13 ou de l’article 14 (sauf en
    cas d’intention d’effectuer un traitement ultérieur pour une finalité autre, auquel cas les
    informations sur cette finalité ultérieure doivent être notifiées avant le commencement dudit
    traitement, conformément à l’article 13, paragraphe 3, et à l’article 14, paragraphe 4. À ce sujet, voir
    le point 45 ciaprès). Cependant, comme indiqué plus haut, dans le cadre des délais applicables à la
    communication des informations au titre de l’article 14, le responsable du traitement doit à nouveau
    prêter attention aux principes d’équité et de responsabilité à l’égard des attentes raisonnables de la
    personne concernée ou de l’incidence potentielle de ces modifications sur la personne concernée. Si
    la modification des informations change fondamentalement la nature du traitement (par exemple,
    l’élargissement des catégories de destinataires ou l’introduction de transferts vers un pays tiers) ou
    s’il s’agit d’une modification qui peut ne pas être fondamentale pour l’opération de traitement, mais
    qui peut l’être pour la personne concernée et avoir une incidence sur cette dernière, les informations
    devraient être fournies à la personne concernée bien avant que la modification ait lieu et la méthode
    utilisée pour informer la personne concernée des modifications devrait être explicite et efficace.
    L’objectif étant de garantir à la personne concernée qu’elle ne «rate» pas la modification et de lui
    accorder une période de temps raisonnable pour qu’elle puisse a) évaluer la nature et l’incidence de
    la modification, et b) exercer ses droits au titre du RGPD en lien avec la modification (par exemple,
    retirer son consentement ou s’opposer au traitement). 31. Les responsables du traitement devraient
    évaluer attentivement les circonstances et le contexte de chaque situation où une mise à jour des
    informations sur la transparence est requise, notamment l’incidence potentielle des modifications
    pour la personne concernée et les modalités utilisées pour communiquer la modification, et être
    capables de démontrer que l’intervalle de temps entre la notification des modifications et la date de
    prise d’effet des modifications respecte le principe d’équité pour la personne concernée. Par ailleurs,
    la position du G29 est que, conformément au principe d’équité, le responsable du traitement devrait
    également, lors de la notification de modifications aux personnes concernées, leur expliquer
    l’incidence que ces modifications pourraient avoir sur elles. Toutefois, le respect des exigences de
    transparence ne «blanchit» pas les situations où les modifications apportées au traitement sont
    telles que le traitement devient complètement différent par nature de ce en quoi il consistait
    auparavant. Le G29 met l’accent sur le fait que toutes les Page 21 sur 49 autres règles du RGPD, y
    compris celles concernant un traitement ultérieur incompatible, continuent de s’appliquer, que les
    obligations de transparence aient été satisfaites ou non. 32. De plus, même lorsque les informations
    relatives à la transparence (par exemple, celles contenues dans un avis ou une déclaration sur la
    protection de la vie privée) ne sont pas modifiées de façon substantielle, il est probable que les
    personnes concernées qui font appel à un service depuis un certain temps ne se souviendront pas
    des informations qui leur ont été fournies au départ au titre des articles 13 et/ou 14. Le G29
    recommande que les responsables du traitement permettent aux personnes concernées de disposer
    en continu d’un accès facilité aux informations afin qu’elles puissent se refamiliariser avec la portée
    du traitement des données. Conformément au principe de responsabilité, les responsables du
    contrôle devraient également évaluer s’il y a lieu d’adresser, et à quels intervalles, des rappels exprès
    aux personnes concernées sur l’existence d’un avis ou d’une déclaration sur la protection de la vie
    privée et sur l’endroit où elles peuvent le/la trouver. Modalités: format de la communication des
    informations 33. Les articles 13 et 14 font référence à l’obligation imposée au responsable du
    traitement de «[fournir] toutes les informations suivantes…». Le mot «fournir» est crucial en
    l’occurrence. Il signifie que le responsable du traitement doit prendre des mesures concrètes pour
    fournir les informations en question à la personne concernée ou pour diriger activement la personne
    concernée vers l’emplacement desdites informations (par exemple au moyen d’un lien direct, d’un
    code QR, etc.). La personne concernée ne doit pas avoir à chercher activement les informations
    couvertes par ces articles parmi d’autres informations telles que les conditions d’utilisation d’un site
    internet ou d’une application. L’exemple donné au paragraphe 11 est explicite à cet égard. Comme
    indiqué au point 17, le G29 recommande que l’intégralité des informations adressées aux personnes
    concernées soit également consultable à un endroit unique ou dans un même document (sous forme
    numérique sur un site internet ou au format papier) qui serait aisément accessible dans le cas où
    elles souhaiteraient consulter l’intégralité des informations. 34. Il existe dans le RGPD un conflit
    inhérent entre, d’une part, l’exigence de communiquer aux personnes concernées les informations
    complètes qui sont requises au titre du RGPD et, d’autre part, l’exigence de le faire d’une manière
    concise, transparente, compréhensible et aisément accessible. À cet effet, et en gardant à l’esprit les
    principes fondamentaux de responsabilité et d’équité, les responsables du traitement doivent
    entreprendre leur propre analyse de la nature, des circonstances, de la portée et du contexte du
    traitement des données à caractère personnel qu’ils exécutent, et décider, en vertu des exigences
    légales du RGPD et compte tenu des recommandations des présentes lignes directrices et
    notamment du point 36 ci-après, comment hiérarchiser les informations à fournir aux personnes
    concernées et quels sont les niveaux de détail et les méthodes adaptés à la communication des
    informations. Page 22 sur 49 Approche à plusieurs niveaux dans un environnement numérique et
    avis/déclarations sur la protection de la vie privée à différents niveaux 35. Dans le contexte
    numérique, à la lumière du volume d’informations à fournir à la personne concernée, le responsable
    du traitement peut adopter une approche à plusieurs niveaux, par laquelle il choisit d’utiliser
    plusieurs méthodes pour garantir la transparence. Le G29 recommande en particulier que les
    avis/déclarations sur la protection de la vie privée à différents niveaux soient utilisés pour relier les
    différentes catégories d’informations à fournir à la personne concernée, au lieu d’afficher toutes ces
    informations sur une seule et même page, afin d’éviter de noyer d’informations la personne
    concernée. Les avis/déclarations sur la protection de la vie privée à différents niveaux peuvent
    contribuer à résoudre le conflit entre l’exhaustivité et la compréhension des informations,
    notamment en permettant aux utilisateurs de naviguer directement vers la partie de la
    déclaration/de l’avis qu’ils souhaitent lire. Il convient de noter que les avis/déclarations sur la
    protection de la vie privée à différents niveaux ne sont pas simplement des pages imbriquées
    nécessitant que l’utilisateur effectue plusieurs clics avant d’accéder aux informations pertinentes. La
    mise en page et l’organisation du premier niveau de l’avis ou de la déclaration sur la protection de la
    vie privée devraient être telles que la personne concernée bénéficie d’un aperçu clair des
    informations qui lui sont accessibles sur le traitement de ses données à caractère personnel et du
    lieu ainsi que de la façon de trouver ces informations détaillées parmi les niveaux de l’avis ou de la
    déclaration sur la protection de la vie privée. Il est également important que les informations
    contenues aux différents niveaux d’un tel avis soient cohérentes et que les niveaux ne fournissent
    pas d’informations contradictoires. 36. En ce qui concerne le contenu de la première modalité
    utilisée par un responsable du traitement pour informer la personne concernée dans le cadre d’une
    approche à plusieurs niveaux (en d’autres termes, la principale façon de communiquer pour la
    première fois avec une personne concernée) ou le contenu du premier niveau d’une déclaration/d’un
    avis sur la protection de la vie privée, le G29 recommande que le premier niveau/la première
    modalité inclue les détails de la finalité du traitement, l’identité du responsable du traitement et une
    description des droits des personnes concernées. (En outre, ces informations devraient être
    directement portées à l’attention de la personne concernée au moment de la collecte des données à
    caractère personnel, par exemple en les affichant pendant que ladite personne remplit un formulaire
    en ligne.) L‘importance de fournir ces informations en amont découle en particulier du considérant
  2. Alors que les responsables du traitement doivent être en mesure de démontrer qu’ils ont fait
    preuve de responsabilité à l’égard des informations qu’ils décident de fournir en priorité, la position
    du G29 est que, conformément au principe d’équité, en plus des informations détaillées ci-dessus
    dans ce paragraphe, le premier niveau ou la première modalité devrait également contenir des
    informations sur le traitement qui aura la plus forte incidence sur la personne concernée et sur tout
    traitement 34 Le considérant 39 indique, en ce qui concerne le principe de transparence, que «[c]e
    principe vaut, notamment, pour les informations communiquées aux personnes concernées sur
    l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres
    informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques
    concernées et leur droit d’obtenir la confirmation et la communication d
    (voir les autres exemples proposés ci-après) offrant des informations sur mesure, spécifiques à la
    personne concernée et spécifiques aux biens et services que celle-ci utilise. Il convient toutefois de
    noter que, même si le G29 recommande le recours à des avis/déclarations sur la protection de la vie
    privée à différents niveaux en ligne, cette recommandation n’exclut pas l’élaboration et l’utilisation
    d’autres méthodes innovantes pour satisfaire aux exigences de transparence. Approche à plusieurs
    niveaux dans un environnement non numérique 38. Une approche à plusieurs niveaux pour
    communiquer des informations sur la transparence aux personnes concernées peut également être
    utilisée dans un contexte hors ligne ou non numérique (c’est-à-dire dans un environnement réel tel
    qu’un engagement entre deux personnes ou des communications par téléphone) où plusieurs
    modalités peuvent être déployées par les responsables du traitement afin de faciliter la fourniture
    d’informations. (Voir également les points 33 à 37 et 39 à 40 en ce qui concerne les différentes
    modalités applicables à la communication des informations.) Cette approche ne doit pas être
    confondue avec l’émission distincte d’un avis ou d’une déclaration sur la protection des données à
    différents niveaux. Quels que soient les formats utilisés dans cette approche à plusieurs niveaux, le
    G29 recommande que le premier «niveau» (autrement dit, la principale façon de communiquer pour
    la première fois avec une personne concernée) communique de manière générale les informations
    les plus importantes (comme énoncé au point 36 cidessus), à savoir les détails de la finalité du
    traitement, l’identité du responsable du traitement et l’existence des droits des personnes
    concernées, ainsi que les informations ayant la plus forte incidence sur le traitement ou tout
    traitement susceptible de surprendre les personnes concernées. Par exemple, quand le premier
    contact avec une personne concernée se fait par téléphone, ces informations pourraient être
    fournies lors de l’appel téléphonique tandis que les autres informations requises au titre des articles
    13 et 14 pourraient être fournies ultérieurement et par d’autres moyens, notamment en envoyant
    un exemplaire de la politique de confidentialité par e-mail et/ou en envoyant à la personne
    concernée un lien vers l’avis/la déclaration en ligne du responsable du traitement sur la protection
    de la vie privée à différents niveaux . Notifications de type «push» et «pull» 39. Pour fournir des
    informations sur la transparence, il est également possible d’avoir recours à des notifications de type
    «push» et «pull». Les notifications de type «push» consistent à envoyer des notifications
    d’informations sur la transparence «juste à temps» tandis que les notifications de type «pull»
    facilitent l’accès aux informations par différentes méthodes, Page 24 sur 49 comme la gestion des
    autorisations, les tableaux de bord sur la protection de la vie privée et les tutoriels «en savoir plus».
    Ces notifications assurent à la personne concernée une transparence davantage axée sur l’utilisateur.
    • Un tableau de bord sur la protection de la vie privée est un lieu unique depuis lequel les personnes
    concernées peuvent visualiser les informations relatives à la confidentialité et gérer leurs préférences
    en permettant ou en empêchant que leurs données soient utilisées de certaines façons par le service
    en question. Un tel outil est particulièrement utile lorsqu’un même service est utilisé par les
    personnes concernées sur une pluralité d’appareils différents, car cela leur donne accès à leurs
    données à caractère personnel et leur permet de les gérer sans égard à la façon dont elles utilisent le
    service. Permettre aux personnes concernées de régler manuellement leurs paramètres de
    confidentialité au moyen d’un tableau de bord sur la protection de la vie privée peut également
    faciliter la personnalisation d’un avis ou d’une déclaration sur la protection de la vie privée, en
    reflétant uniquement les types de traitement ayant lieu précisément pour cette personne concernée.
    L’intégration d’un tableau de bord sur la protection de la vie privée dans l’architecture existante d’un
    service (par exemple en utilisant la même mise en page et le même marquage que le reste du
    service) est préférable, puisqu’elle rendra l’accès et l’utilisation du tableau intuitifs, ce qui peut
    contribuer à inciter les utilisateurs à s’intéresser à ces informations, de la même façon qu’ils
    s’intéresseraient à d’autres aspects du service. Une telle intégration peut être un moyen efficace de
    montrer que les «informations sur la confidentialité» constituent une partie nécessaire et intégrale
    d’un service, à la place d’une liste interminable de dispositions juridiques. • Une notification à «flux
    tendus» sert à fournir de façon ad hoc des informations spécifiques sur la confidentialité, au moment
    où leur lecture est la plus pertinente pour la personne concernée. Cette méthode est utile pour
    fournir des informations à différents moments du processus de collecte de données; elle aide à
    scinder la fourniture d’informations en blocs facilement assimilables et réduit le recours à un avis ou
    une déclaration sur la protection de la vie privée unique contenant des informations difficiles à
    comprendre une fois sorties de leur contexte. Par exemple, si une personne concernée achète un
    produit en ligne, une brève explication peut être fournie sous forme de fenêtres contextuelles
    accompagnant les champs de texte pertinents. Des informations placées à côté d’un champ exigeant
    le numéro de téléphone de la personne concernée pourraient expliquer, par exemple, que ces
    données ne sont collectées qu’en vue de contacter la personne au sujet de son achat et ne seront
    communiquées qu’au service de livraison. Autres types de «mesures appropriées» 40. Étant donné le
    niveau très élevé d’accès à internet dans l’Union et le fait que les personnes concernées ont la
    possibilité de se connecter à tout moment, depuis divers endroits et sur différents appareils, comme
    indiqué plus haut, la position du G29 est qu’une «mesure Page 25 sur 49 appropriée» pour fournir
    des informations sur la transparence, dans le cas des responsables du traitement maintenant une
    présence numérique/en ligne, est de le faire au moyen d’un avis ou d’une déclaration électronique
    sur la protection de la vie privée. Néanmoins, selon les circonstances de la collecte et du traitement
    des données, un responsable du traitement peut avoir besoin d’utiliser en plus (ou à titre subsidiaire
    si le responsable du traitement ne bénéficie pas d’une présence numérique ou en ligne) d’autres
    modalités et formats pour fournir les informations. Les autres moyens possibles de communiquer
    des informations à une personne concernée dans les différents environnements de données à
    caractère personnel suivants peuvent inclure les modes répertoriés ci-dessous, applicables à chaque
    environnement correspondant. Comme indiqué précédemment, une approche à plusieurs niveaux
    peut être suivie par les responsables du traitement s’ils choisissent d’utiliser plusieurs de ces
    méthodes tout en s’assurant que les informations les plus importantes (voir les points 36 et 38) sont
    toujours transmises dans la première modalité utilisée pour communiquer avec la personne
    concernée. a. Environnement papier, par exemple lors de la conclusion d’un contrat par voie postale:
    explications écrites, brochures, informations figurant dans un document contractuel, bandes
    dessinées, infographies ou organigrammes. b. Environnement téléphonique: explications orales
    fournies par une personne physique permettant une interaction, questions appelant une réponse, ou
    informations automatisées ou pré-enregistrées proposant l’option d’entendre d’autres informations
    plus détaillées. c. Environnement de technologie intelligente sans écran/connectée tel que les
    analyses de repérage Wi-Fi: icônes, codes QR, alertes vocales, informations écrites intégrées dans des
    instructions d’installation papier, vidéos intégrées dans des instructions d’installation numériques,
    informations écrites sur un dispositif intelligent, messages envoyés par SMS ou par e-mail, tableaux
    visibles contenant les informations, signalisation publique ou campagnes d’information publiques. d.
    Environnement réunissant deux personnes, comme lors de la réponse à une enquête d’opinion ou
    l’inscription d’une personne à un service: explications orales ou écrites fournies au format papier ou
    électronique. e. Environnement «réel» au moyen d’un système CCTV ou d’un enregistrement par
    drone: tableaux visibles contenant les informations, signalisation publique, campagnes d’information
    publiques ou avis dans la presse et les médias. Informations sur le profilage et la prise de décision
    automatisée 41. Les informations sur l’existence d’une prise de décision automatisée, y compris un
    profilage, visées à l’article 22, paragraphes 1 et 4, et les informations utiles concernant la logique
    sousjacente, ainsi que l’importance des conséquences prévues de ce traitement pour la personne
    concernée font partie des informations obligatoires devant être fournies à une personne concernée
    au titre de l’article 13, paragraphe 2, point f), et de l’article 14, paragraphe 2, point g). Le G29 a
    élaboré des lignes directrices sur les décisions individuelles automatisées Page 26 sur 49 et le
    profilage35 auxquelles il y a lieu de se reporter pour obtenir davantage d’orientations quant à la
    façon dont la transparence devrait être mise en œuvre dans les circonstances particulières du
    profilage. Il convient de noter que, parallèlement aux exigences de transparence spécifiques
    applicables à la prise de décision automatisée au titre de l’article 13, paragraphe 2, point f), et de
    l’article 14, paragraphe 2, point g), les commentaires contenus dans les présentes lignes directrices
    quant à l’importance d’informer les personnes concernées sur les conséquences du traitement de
    leurs données à caractère personnel, ainsi que le principe général selon lequel les personnes
    concernées ne devraient pas être surprises par le traitement de leurs données à caractère personnel,
    s’appliquent de la même façon au profilage en général (et non pas uniquement au profilage visé à
    l’article 2236), en tant que type de traitement37. Autres questions: risques, règles et garanties 42. Le
    considérant 39 du RGPD porte également sur la fourniture de certaines informations qui ne sont pas
    explicitement couvertes par l’article 13 et l’article 14 (voir la citation du considérant au point 28 cidessus). Le renvoi à ce considérant qui indique que les personnes concernées devraient être
    informées des risques, règles et garanties liés au traitement des données à caractère personnel se
    rattache à plusieurs autres questions. Celles-ci comprennent notamment les analyses d’impact
    relatives à la protection des données (AIPD). Conformément aux lignes directrices du G29 concernant
    les AIPD38, les responsables du traitement peuvent envisager la publication de l’AIPD (ou de toute
    partie de celle-ci) comme un moyen de favoriser la confiance dans les opérations de traitement et de
    démontrer le respect des principes de transparence et de responsabilité, bien qu’une telle
    publication ne soit pas obligatoire. Par ailleurs, l’application d’un code de conduite (comme le prévoit
    l’article 40) peut servir d’élément pour démontrer le respect des obligations de transparence,
    puisque les codes de conduite peuvent être rédigés en vue de préciser l’application du RGPD
    concernant: le traitement loyal et transparent; les informations communiquées au public et aux
    personnes concernées; et les informations communiquées aux enfants et relatives à leur protection,
    parmi d’autres enjeux. 43. Un autre élément pertinent concernant la transparence est la protection
    des données dès la conception et la protection des données par défaut (comme requis à l’article 25).
    Ces principes exigent des responsables du traitement qu’ils intègrent des considérations sur la
    protection des données dans leurs systèmes et opérations de traitement dès le début, plutôt que de
    prendre en compte la protection des données à la dernière minute, en réponse à un problème de
    conformité. Le considérant 78 fait référence à l’application par les responsables du traitement de
    mesures satisfaisant aux exigences en matière de protection 35 Lignes directrices sur les décisions
    individuelles automatisées et le profilage au titre du règlement 2016/679, WP 251. 36 Cela s’applique
    aux prises de décision fondées uniquement sur un traitement automatisé, y compris le profilage, qui
    produit des effets juridiques pour la personne concernée ou, de façon similaire, l’affecte de manière
    significative. 37 Le considérant 60, pertinent en l’occurrence, indique qu’«[e]n outre, la personne
    concernée devrait être informée de l’existence d’un profilage et des conséquences de celui-ci». 38
    Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la
    manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du
    règlement (UE) 2016/679, WP 248, rev.1. Page 27 sur 49 des données dès la conception et de
    protection des données par défaut, notamment des mesures portant sur la transparence à l’égard
    des fonctions et du traitement des données à caractère personnel. 44. D’un autre côté, la question
    des responsables conjoints du traitement est aussi liée au devoir d’informer les personnes
    concernées des risques, règles et garanties possibles. L’article 26, paragraphe 1, impose aux
    responsables conjoints du traitement de déterminer leurs responsabilités respectives aux fins
    d’assurer le respect des exigences du RGPD de manière transparente, notamment en ce qui concerne
    l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la
    communication des informations visées aux articles 13 et 14. L’article 26, paragraphe 2, exige que les
    grandes lignes de l’accord entre les responsables du traitement soient mises à la disposition de la
    personne concernée. En d’autres termes, une personne concernée doit avoir parfaitement compris à
    quel responsable du traitement elle doit s’adresser si elle souhaite exercer un ou plusieurs de ses
    droits au titre du RGPD39. Informations concernant un traitement ultérieur 45. Les articles 13 et 14
    contiennent une disposition40 exigeant du responsable du traitement qu’il informe la personne
    concernée lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère
    personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été
    collectées/obtenues. Dans un tel cas, «le responsable du traitement fournit au préalable à la
    personne concernée des informations au sujet de cette autre finalité et toute autre information
    pertinente visée au paragraphe 2». Ces dispositions donnent spécifiquement effet au principe
    énoncé à l’article 5, paragraphe 1, point b), selon lequel les données à caractère personnel doivent
    être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées
    ultérieurement d’une manière incompatible avec ces finalités41. La seconde partie de l’article 5,
    paragraphe 1, point b), indique que le traitement ultérieur à des fins archivistiques dans l’intérêt
    public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas
    considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales.
    Lorsque des données à caractère personnel sont traitées ultérieurement à des fins compatibles avec
    les finalités initiales (l’article 6, paragraphe 4, porte sur cette question42), 39 En vertu de l’article 26,
    paragraphe 3, indépendamment des termes de l’accord entre les responsables conjoints du
    traitement visé à l’article 26, paragraphe 1, une personne concernée peut exercer les droits que lui
    confère le RGPD à l’égard de et contre chacun des responsables conjoints du traitement. 40 Aux
    articles 13, paragraphe 3, et 14, paragraphe 4, qui sont formulés en termes identiques, à l’exception
    du mot «collectées», qui est utilisé à l’article 13 et est remplacé par le mot «obtenues» à l’article 14.
    41 Sur ce principe, voir par exemple les considérants 47, 50, 61, 156 et 158 et les articles 6,
    paragraphe 4, et 89. 42 L’article 6, paragraphe 4, énonce d’une manière non exhaustive les facteurs à
    prendre en compte lors de la vérification de la compatibilité du traitement à d’autres finalités avec la
    finalité pour laquelle les données à caractère personnel ont été initialement collectées, à savoir: le
    lien entre lesdites finalités; le contexte dans lequel les données à caractère personnel ont été
    collectées; la nature des données à caractère personnel (en particulier si le traitement porte sur des
    catégories particulières de données à caractère personnel ou si des données à caractère personnel
    relatives à des infractions pénales Page 28 sur 49 les articles 13, paragraphe 3, et 14, paragraphe 4,
    s’appliquent. Les exigences contenues dans ces articles, qui imposent d’informer une personne
    concernée en cas de traitement ultérieur de ses données, appuient la position du RGPD quant au fait
    qu’une personne concernée devrait raisonnablement s’attendre, au moment et dans le cadre de la
    collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une
    fin donnée43. Autrement dit, une personne concernée ne devrait pas être surprise par la finalité du
    traitement de ses données à caractère personnel. 46. Les articles 13, paragraphe 3, et 14, paragraphe
    4, dans la mesure où ils visent la fourniture de «toute autre information pertinente visée au
    paragraphe 2», peuvent être interprétés de prime abord comme laissant certains éléments à
    l’appréciation du responsable du traitement concernant la mesure et les catégories particulières
    d’informations tirées du paragraphe 2 correspondant (c’est-à-dire l’article 13, paragraphe 2, ou
    l’article 14, paragraphe 2, le cas échéant) qui devraient être fournies à la personne concernée. (Le
    considérant 61 y fait référence sous l’expression «toute autr Page 29 sur 49 ultérieur doivent être
    fournies «avant de procéder à ce traitement ultérieur». La position du G29 est qu’une période de
    temps raisonnable devrait s’écouler entre la notification et le commencement du traitement, au lieu
    que le traitement démarre immédiatement dès réception de la notification par la personne
    concernée. Cela offrirait aux personnes concernées les avantages pratiques du principe de
    transparence, en les faisant bénéficier de la possibilité utile d’analyser (et éventuellement d’exercer
    leur droit à cet égard) le traitement ultérieur. La définition d’une période raisonnable dépendra des
    circonstances particulières. Selon le principe d’équité, plus le traitement ultérieur est intrusif (ou
    moins attendu), plus la période devrait être longue. De même, le principe de responsabilité exige des
    responsables du traitement qu’ils soient en mesure de démontrer que les délais raisonnables
    déterminés pour la communication de ces informations sont justifiés eu égard aux circonstances et
    que les délais dans l’ensemble sont équitables pour les personnes concernées. (Voir également les
    commentaires précédents en lien avec la vérification des délais raisonnables, aux points 30 à 32 cidessus.) Outils de visualisation 49. Il est important de noter que le principe de transparence prévu
    par le RGPD ne doit pas nécessairement être mis en œuvre par des modes de communication
    linguistiques (écrits ou oraux). Le RGPD prévoit des outils de visualisation (en faisant notamment
    référence aux icônes, aux mécanismes de certification et aux labels et marques en matière de
    protection des données), le cas échéant. Le considérant 5846 indique que l’accessibilité des
    informations adressées au public ou aux personnes concernées est particulièrement importante dans
    l’environnement numérique47. Icônes 50. Le considérant 60 prévoit que les informations à
    communiquer à une personne concernée peuvent être «accompagnées» d’icônes normalisées,
    permettant ainsi une approche à plusieurs niveaux. Cependant, les icônes ne devraient pas
    simplement remplacer les informations nécessaires aux personnes concernées pour l’exercice de
    leurs droits ni ne devraient servir de solution de substitution pour satisfaire aux obligations du
    responsable du traitement au titre des articles 13 et 14. L’article 12, paragraphe 7, prévoit
    explicitement l’utilisation de telles icônes: «Les informations à communiquer aux personnes
    concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes
    normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement
    lisible, du 46 «Ces informations pourraient être fournies sous forme électronique, par exemple via un
    site internet lorsqu’elles s’adressent au public. Ceci vaut tout particulièrement dans des situations où
    la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile
    pour la personne concernée de savoir et de comprendre si des données à caractère personnel la
    concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne.» 47
    Dans ce contexte, les responsables du traitement devraient prendre en compte les personnes
    concernées qui sont malvoyantes (par exemple, les daltoniens rouge-vert). Page 30 sur 49 traitement
    prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.» 51.
    L’article 12, paragraphe 7, dispose que «[l]orsque les icônes sont présentées par voie électronique,
    elles sont lisibles par machine», ce qui laisse à penser qu’il peut exister des situations où les icônes
    ne sont pas présentées par voie électronique48, par exemple les icônes présentées physiquement
    sur des documents, des appareils connectés ou l’emballage d’un appareil connecté, les notifications
    envoyées dans des lieux publics concernant le repérage Wi-Fi, les codes QR et les notifications de
    CCTV. 52. La finalité de l’utilisation d’icônes est claire: améliorer la transparence pour les personnes
    concernées en réduisant éventuellement la nécessité de devoir présenter de grandes quantités
    d’informations écrites à ces dernières. Néanmoins, l’utilité des icônes pour communiquer
    efficacement les informations requises au titre des articles 13 et 14 aux personnes concernées
    dépend de la normalisation des symboles et images, qui doivent être utilisés de façon universelle et
    reconnus dans l’Union européenne comme des raccourcis indiquant ces informations. À cet égard, le
    RGPD attribue à la Commission la responsabilité de l’élaboration d’un code d’icônes, mais le comité
    européen de la protection des données peut, à la demande de la Commission ou de son propre chef,
    fournir à la Commission un avis sur ces icônes49. Le G29 reconnaît, conformément au considérant
    166, que l’élaboration d’un code d’icônes devrait être centrée sur une approche factuelle et qu’il sera
    nécessaire, en amont d’une telle normalisation, de mener des recherches approfondies
    conjointement avec les entreprises et le grand public à l’égard de l’efficacité des icônes dans ce
    contexte. Mécanismes de certification, labels et marques 48 Il n’existe pas de définition de
    l’expression «lisible par machine» dans le RGPD, mais le considérant 21 de la directive 2013/37/UE
    définit un format «lisible par machine» comme étant: «un format de fichier structuré de telle
    manière que des applications logicielles puissent facilement identifier, reconnaître et extraire des
    données spécifiques, notamment chaque énoncé d’un fait et sa structure interne. Les données
    encodées présentes dans des fichiers qui sont structurés dans un format lisible par machine sont des
    données lisibles par machine. Les formats lisibles par machine peuvent être ouverts ou propriétaires;
    il peut s’agir de normes formelles ou non. Les documents encodés dans un format de fichier qui
    limite le traitement automatique, en raison du fait que les données ne peuvent pas, ou ne peuvent
    pas facilement, être extraites de ces documents, ne devraient pas être considérés comme des
    documents dans des formats lisibles par machine. Les États membres devraient, le cas échéant,
    encourager l’utilisation de formats ouverts, lisibles par machine». 49 L’article 12, paragraphe 8,
    dispose que la Commission est habilitée à adopter des actes délégués en conformité avec l’article 92,
    aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures
    régissant la fourniture d’icônes normalisées. Le considérant 166 (qui traite des actes délégués de la
    Commission en général) est instructif et prévoit que la Commission procède aux consultations
    appropriées durant son travail préparatoire, y compris au niveau des experts. Toutefois, le comité
    européen de la protection des données joue également un rôle consultatif important en ce qui
    concerne la normalisation des icônes, puisque l’article 70, paragraphe 1, point r), dispose que le
    comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a pour mission de
    rendre à la Commission un avis sur les icônes. Page 31 sur 49 53. Outre l’utilisation d’icônes
    normalisées, le RGPD prévoit (à l’article 42) l’utilisation de mécanismes de certification en matière de
    protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que
    les opérations de traitement effectuées par les responsables du traitement et les sous-traitants
    respectent le RGPD et d’améliorer la transparence pour les personnes concernées50. Le G29 publiera
    des lignes directrices sur les mécanismes de certification en temps utile. Exercice des droits des
    personnes concernées 54. La transparence impose une triple obligation aux responsables du
    traitement en ce qui concerne les droits des personnes concernées au titre du RGPD; en effet, ils
    doivent51: • fournir aux personnes concernées des informations sur leurs droits52 [conformément à
    l’article 13, paragraphe 2, point b), et à l’article 14, paragraphe 2, point c)]; • respecter le principe de
    transparence (par exemple, en ce qui concerne la qualité des communications énoncées à l’article
    12, paragraphe 1) lorsqu’ils communiquent avec les personnes concernées au sujet de leurs droits au
    titre des articles 15 à 22 et 34; et • faciliter l’exercice des droits des personnes concernées au titre
    des articles 15 à 22. 55. Les exigences du RGPD concernant l’exercice de ces droits et la nature des
    informations requises sont conçues de manière à doter les personnes concernées des informations
    utiles pour qu’elles puissent revendiquer leurs droits et demander des comptes aux responsables du
    traitement quant au traitement de leurs données à caractère personnel. Le considérant 59 souligne
    que «des modalités devraient être prévues pour faciliter l’exercice par la personne concernée des
    droits qui lui sont conférés» et que le responsable du traitement devrait «également fournir les
    moyens de présenter des demandes par voie électronique, en particulier lorsque les données à
    caractère personnel font l’objet d’un traitement électronique». La modalité fournie par un
    responsable du traitement pour que la personne concernée puisse exercer ses droits devrait être
    adaptée au contexte et à la nature de la relation et des interactions entre le responsable du
    traitement et la personne concernée. À cette fin, un responsable du traitement peut souhaiter
    fournir à une personne concernée une ou plusieurs modalités différentes pour l’exercice des droits
    de celle-ci, reflétant les différentes façons selon lesquelles la personne concernée interagit avec le
    responsable du traitement. 50 Voir la référence au considérant 100. 51 Conformément à la rubrique
    Transparence et modalités du RGPD sur les droits des personnes concernées (section 1, chapitre III,
    article 12). 52 Accès, rectification, effacement, limitation du traitement, opposition au traitement,
    portabilité. Page 32 sur 49 Exemple Un prestataire de services de santé propose un formulaire
    électronique sur son site internet et des formulaires papier à la réception de ses cliniques afin de
    faciliter le dépôt des demandes d’accès aux données à caractère personnel, que ce soit en ligne ou
    en personne. En plus de proposer ces deux modalités, le service de santé accepte les demandes
    d’accès soumises par un autre moyen (par lettre ou e-mail, par exemple) et met à la disposition des
    personnes concernées un point de contact dédié (joignable par e-mail et par téléphone) pour les
    aider à exercer leurs droits. Dérogations à l’obligation de fournir des informations Dérogations à
    l’article 13 56. La seule dérogation possible aux obligations visées à l’article 13 d’un responsable du
    traitement qui a directement collecté des données à caractère personnel auprès d’une personne
    concernée est «lorsque, et dans la mesure où, la personne concernée dispose déjà de ces
    informations»53. Le principe de responsabilité exige des responsables du traitement qu’ils
    démontrent (en le documentant) quelles informations étaient déjà en la possession de la personne
    concernée, comment et quand elle les a reçues et qu’aucune modification n’a été apportée à ces
    informations susceptibles de les rendre obsolètes. De plus, l’utilisation de l’expression «dans la
    mesure où» à l’article 13, paragraphe 4, montre bien que même si la personne concernée a déjà reçu
    certaines informations relevant des catégories énoncées à l’article 13, le responsable du traitement a
    toujours pour obligation de compléter ces informations afin de garantir que la personne concernée
    dispose de toutes les informations répertoriées à l’article 13, paragraphes 1 et 2. L’exemple suivant
    est un exemple de bonne pratique concernant les limitations d’interprétation de la dérogation visée
    à l’article 13, paragraphe 4. Exemple Une personne s’inscrit à un service de messagerie en ligne et
    reçoit toutes les informations requises au titre de l’article 13, paragraphes 1 et 2, lors de son
    inscription. Six mois plus tard, la personne concernée active une fonctionnalité de messagerie
    instantanée connectée proposée par le prestataire de service de messagerie et indique son numéro
    de téléphone portable à cette fin. Le prestataire de service communique à la personne concernée
    certaines informations au titre de l’article 13, paragraphes 1 et 2, à l’égard du traitement du numéro
    de téléphone (par exemple, les finalités et la base juridique du traitement, les destinataires et la
    période de conservation), mais il ne fournit pas les informations que la personne a déjà reçues six
    mois auparavant et qui 53 Article 13, paragraphe 4. Page 33 sur 49 n’ont pas changé depuis (par
    exemple, l’identité et les coordonnées du responsable du traitement et du délégué à la protection
    des données, les informations sur les droits de la personne concernée et son droit de porter plainte
    auprès de l’autorité de contrôle pertinente). Par souci de bonne pratique, la série complète
    d’informations devrait néanmoins être à nouveau fournie à la personne concernée, mais cette
    dernière devrait pouvoir distinguer facilement quelles informations sont nouvelles. Le nouveau
    traitement exécuté au titre du service de messagerie instantanée peut affecter la personne
    concernée d’une façon qui pourrait l’inciter à vouloir exercer un droit dont elle ne se souvient peutêtre pas, ayant été informée de celui-ci six mois auparavant. Fournir à nouveau toutes les
    informations permet de garantir que la personne concernée demeure bien informée de ses droits et
    de la façon dont ses données sont utilisées. Dérogations à l’article 14 57. L’article 14 définit une série
    bien plus longue de dérogations à l’obligation d’information du responsable du traitement lorsque
    les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. Ces
    dérogations devraient, en règle générale, être interprétées et appliquées stricto sensu. Outre les
    circonstances où la personne concernée dispose déjà des informations en question [article 14,
    paragraphe 5, point a)], l’article 14, paragraphe 5, prévoit les dérogations suivantes: • la
    communication de ces informations est impossible ou exigerait des efforts disproportionnés, en
    particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche
    scientifique ou historique ou à des fins statistiques, ou elle rendrait impossible ou compromettrait
    gravement la réalisation des objectifs dudit traitement; • l’obtention ou la communication des
    informations sont prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable
    du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts
    légitimes de la personne concernée; ou • une obligation de secret professionnel (y compris une
    obligation légale de secret professionnel) qui est réglementée par le droit de l’Union ou le droit des
    États membres prévoit que les données à caractère personnel doivent rester confidentielles. Se
    révèle impossible, exigerait des efforts disproportionnés et compromettrait gravement la réalisation
    des objectifs 58. L’article 14, paragraphe 5, point b), prévoit trois situations distinctes où l’obligation
    de fournir les informations visées à l’article 14, paragraphes 1, 2 et 4, est levée: (i) lorsqu’elle se
    révèle impossible (en particulier à des fins archivistiques, de recherche scientifique ou historique ou
    à des fins statistiques); Page 34 sur 49 (ii) lorsqu’elle exigerait des efforts disproportionnés (en
    particulier à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques);
    ou (iii) lorsque la fourniture des informations requises au titre de l’article 14, paragraphe 1, rendrait
    impossible ou compromettrait gravement la réalisation des objectifs dudit traitement. «Se révèle
    impossible» 59. La situation dans laquelle la fourniture d’informations «se révèle impossible» en
    vertu de l’article 14, paragraphe 5, point b), est absolue et ne permet pas de demi-mesure, car la
    fourniture est simplement possible ou impossible; il n’existe pas de degrés d’impossibilité. Par
    conséquent, si un responsable du traitement souhaite faire jouer cette dérogation, il doit démontrer
    quels facteurs l’empêchent effectivement de communiquer les informations en question à la
    personne concernée. Si, après une certaine période, les facteurs ayant généré l’«impossibilité»
    cessent d’exister et qu’il devient donc possible de communiquer les informations à la personne
    concernée, le responsable du traitement devrait les communiquer immédiatement. Dans la pratique,
    rares sont les situations où un responsable du traitement peut démontrer qu’il est effectivement
    impossible de communiquer les informations à la personne concernée. L’exemple suivant en est
    l’illustration. Exemple Une personne s’inscrit à un service d’abonnement en ligne post-payé. Après
    l’inscription, le responsable du traitement collecte les données de crédit de la personne auprès d’une
    agence d’évaluation du crédit afin de décider de fournir ou non le service en question. Le protocole
    du responsable du traitement impose à ce dernier d’informer la personne concernée de la collecte
    de ses données de crédit dans les trois jours suivant la collecte, conformément à l’article 14,
    paragraphe 3, point a). Toutefois, l’adresse et le numéro de téléphone de la personne concernée ne
    figurent pas dans les registres publics (et la personne concernée vit à l’étranger). De plus, la personne
    concernée n’a pas donné d’adresse e-mail lors de son inscription au service, ou son adresse e-mail
    n’est pas valide. Le responsable du traitement réalise qu’il ne dispose d’aucun moyen pour contacter
    directement la personne concernée. Dans ce cas, toutefois, le responsable du traitement a la
    possibilité de fournir les informations relatives à la collecte des données par l’agence d’évaluation du
    crédit sur son site internet, avant la validation de l’inscription. Dans une telle situation, il ne serait
    donc pas impossible de fournir les informations au titre de l’article 14. Impossibilité de fournir la
    source des données 60. Le considérant 61 indique que «lorsque l’origine des données à caractère
    personnel n’a pas pu être communiquée à la personne concernée parce que plusieurs sources ont
    été utilisées, des informations générales devraient être fournies». La levée de l’obligation de fournir
    à la personne concernée des informations sur la source de ses données à caractère personnel Page
    35 sur 49 s’applique uniquement lorsqu’une telle fourniture n’est pas possible en raison de
    l’impossibilité d’attribuer différents éléments des données à caractère personnel concernant une
    même personne à une source en particulier. En revanche, le simple fait qu’une base de données
    comprenant les données à caractère personnel de plusieurs personnes concernées ait été compilée
    par un responsable du traitement utilisant plus d’une source ne suffit pas à lever cette obligation s’il
    est possible (bien que chronophage ou fastidieux) de déterminer la source dont proviennent les
    données à caractère personnel des personnes concernées. Étant donné les obligations propres à la
    protection des données dès la conception et par défaut54, les mécanismes de transparence
    devraient être intégrés à des systèmes de traitement dès le départ afin que toutes les sources des
    données à caractère personnel reçues par une entreprise puissent être suivies et retracées jusqu’à
    leur source à tout moment pendant le cycle de vie du traitement des données (voir le point 43 cidessus). «Efforts disproportionnés» 61. Conformément à l’article 14, paragraphe 5, point b), à l’instar
    d’une situation où la fourniture d’informations «se révèle impossible», une situation exigeant des
    «efforts disproportionnés» peut s’appliquer, en particulier, au traitement «à des fins archivistiques
    dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques sous
    réserve des […] garanties visées à l’article 89, paragraphe 1». Le considérant 62 fait également
    référence à ces objectifs comme des cas où la fourniture d’informations à la personne concernée
    exigerait des efforts disproportionnés et dispose à cet égard que le nombre de personnes
    concernées, l’ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées
    devraient être pris en considération. Compte tenu de l’importance accordée au considérant 62 et à
    l’article 14, paragraphe 5, point b), aux fins archivistiques, de recherche et statistiques à l’égard de
    l’application de cette dérogation, la position du G29 est que la dérogation ne devrait pas être
    systématiquement revendiquée par les responsables du traitement qui ne traitent pas des données à
    caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique
    ou historique, ou à des fins statistiques. Le G29 souligne le fait que, lorsque ces finalités sont
    effectivement poursuivies, les conditions énoncées à l’article 89, paragraphe 1, doivent être
    respectées et la communication des informations doit représenter un effort disproportionné. 62.
    Pour déterminer ce qui peut constituer une impossibilité ou des efforts disproportionnés au titre de
    l’article 14, paragraphe 5, point b), il apparaît pertinent qu’aucune dérogation comparable n’existe
    au titre de l’article 13 (lorsque les données à caractère personnel sont collectées auprès d’une
    personne concernée). La seule différence entre une situation au titre de l’article 13 et une situation
    au titre de l’article 14 est que, s’agissant de cette dernière, les données à caractère personnel ne sont
    pas collectées auprès de la personne concernée. Dès lors, il s’ensuit que l’impossibilité ou les efforts
    disproportionnés découlent généralement de circonstances qui ne s’appliquent pas si les données à
    caractère personnel sont collectées auprès de la personne concernée. En d’autres termes,
    l’impossibilité ou les 54 Article 25. Page 36 sur 49 efforts disproportionnés doivent être directement
    liés au fait que les données à caractère personnel ont été collectées autrement qu’auprès de la
    personne concernée. Exemple Un grand hôpital métropolitain exige de tous les patients admis pour
    un traitement de jour, un séjour de longue durée ou des consultations qu’ils remplissent un
    formulaire de renseignements demandant les coordonnées de deux parents proches (personnes
    concernées). Étant donné le très grand nombre de patients transitant par l’hôpital chaque jour,
    communiquer les informations requises au titre de l’article 14 à toutes les personnes désignées
    comme parent proche dans les formulaires remplis chaque jour par les patients exigerait des efforts
    disproportionnés de la part de l’hôpital. 63. Les facteurs susmentionnés correspondant au
    considérant 62 (le nombre de personnes concernées, l’ancienneté des données, ainsi que les
    garanties appropriées éventuelles adoptées) peuvent être à l’origine de situations obligeant un
    responsable du traitement à mettre en œuvre des efforts disproportionnés pour informer une
    personne concernée des informations pertinentes au titre de l’article 14. Exemple Des spécialistes de
    la recherche historique entreprennent de retracer une ascendance d’après des noms de famille et
    obtiennent indirectement un large ensemble de données correspondant à 20 000 personnes
    concernées. Cependant, l’ensemble de données a été collecté il y a 50 ans, n’a pas été mis à jour
    depuis et ne contient aucune coordonnée. Vu la taille de la base de données et, plus
    particulièrement, l’ancienneté des données, essayer de retrouver chaque personne concernée pour
    lui communiquer les informations prévues à l’article 14 exigerait des efforts disproportionnés de la
    part des chercheurs. 64. Quand un responsable du traitement souhaite s’appuyer sur la dérogation
    prévue à l’article 14, paragraphe 5, point b), au motif que la fourniture des informations exigerait des
    efforts disproportionnés, il devrait mettre en balance les efforts qui lui sont demandés pour
    communiquer les informations à la personne concernée et l’incidence et les effets sur la personne
    concernée dans le cas où celle-ci ne recevrait pas ces informations. Cette mise en balance devrait
    être documentée par le responsable du traitement conformément à ses obligations de
    responsabilité. Dans un tel cas, l’article 14, paragraphe 5, point b), précise que le responsable du
    traitement doit prendre des mesures appropriées pour protéger les droits, les libertés et les intérêts
    légitimes de la personne concernée. Cette disposition s’applique également lorsqu’un responsable du
    traitement constate que la fourniture des informations se révèle impossible ou est susceptible de
    rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. Une
    mesure appropriée, au sens de l’article 14, paragraphe 5, point b), devant être systématiquement
    prise par les responsables du traitement est de rendre les informations accessibles au public. Un
    responsable du traitement peut remplir cette obligation de différentes façons, Page 37 sur 49 par
    exemple en mettant les informations sur son site internet ou en les présentant de façon proactive
    dans un journal ou sur des affiches dans ses locaux. Les autres mesures appropriées, en plus de
    rendre les informations accessibles au public, dépendront des circonstances du traitement, mais
    peuvent inclure: la réalisation d’une analyse d’impact relative à la protection des données;
    l’application de techniques de pseudonymisation des données; la réduction du nombre de données
    collectées et de la période de conservation; et la mise en œuvre de mesures techniques et
    organisationnelles pour garantir un niveau élevé de sécurité. Par ailleurs, des situations peuvent se
    présenter où un responsable du traitement traite des données à caractère personnel qui ne
    requièrent pas d’identifier une personne concernée (par exemple, des données pseudonymisées).
    Dans de tels cas, l’article 11, paragraphe 1, peut également être pertinent puisqu’il dispose qu’un
    responsable du traitement n’est pas tenu de conserver, d’obtenir ou de traiter des informations
    supplémentaires pour identifier la personne concernée à la seule fin de respecter le RGPD.
    Compromettrait gravement la réalisation des objectifs 65. La situation finale couverte par l’article 14,
    paragraphe 5, point b), est celle où la fourniture d’informations par un responsable du traitement à
    une personne concernée au titre de l’article 14, paragraphe 1, est susceptible de rendre impossible
    ou de compromettre gravement la réalisation des objectifs dudit traitement. Pour appliquer cette
    dérogation, les responsables du traitement doivent démontrer que le simple fait de communiquer les
    informations prévues à l’article 14, paragraphe 1, anéantirait les objectifs du traitement. Le recours à
    cet aspect de l’article 14, paragraphe 5, point b), notamment, présuppose que le traitement des
    données satisfasse à tous les principes établis à l’article 5 et, plus important encore, que le
    traitement des données à caractère personnel soit loyal et fondé sur une base juridique en toutes
    circonstances. Exemple La banque A est tenue, en vertu de la législation en matière de lutte contre le
    blanchiment des capitaux, de signaler toute activité suspecte associée aux comptes qu’elle détient à
    l’autorité chargée de faire appliquer le droit financier. La banque B (située dans un autre État
    membre) informe la banque A que le titulaire d’un compte dans son établissement lui a demandé
    d’effectuer un virement, apparemment suspect, sur un compte détenu à la banque A. La banque A
    transmet les données concernant le titulaire du compte dans son établissement et signale les
    activités suspectes à l’autorité chargée de faire appliquer le droit financier. D’après la législation en
    matière de lutte contre le blanchiment des capitaux, une banque qui signale une suspicion de fraude
    et prévient le titulaire du compte en question qu’il peut faire l’objet d’une enquête des autorités de
    réglementation commet une infraction pénale. Dans ce cas, l’article 14, paragraphe 5, point b),
    s’applique, car communiquer à la personne concernée (le titulaire du compte de la banque A) les
    informations prévues à l’article 14 sur le traitement des données à caractère personnel du titulaire
    du compte reçues de la banque B compromettrait gravement les objectifs de la législation, qui
    comprennent la prévention des dénonciations. Page 38 sur 49 Toutefois, des informations générales
    devraient être communiquées à toutes les personnes décidant d’ouvrir un compte à la banque A,
    leur indiquant que leurs données à caractère personnel peuvent être traitées à des fins de lutte
    contre le blanchiment d’argent. L’obtention ou la communication des informations sont
    expressément prévues par la loi 66. L’article 14, paragraphe 5, point c), autorise une levée des
    obligations d’information prévues à l’article 14, paragraphes 1, 2 et 4, dans la mesure où l’obligation
    ou la communication des données à caractère personnel «sont expressément prévues par le droit de
    l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis». Cette
    dérogation dépend de la prévision par le droit en question de «mesures appropriées visant à
    protéger les intérêts légitimes de la personne concernée». Un tel droit doit concerner directement le
    responsable du traitement et l’obtention ou la communication en question devraient être
    obligatoires pour ce dernier. De même, le responsable du traitement doit être en mesure de
    démontrer que le droit en question lui est applicable et lui impose d’obtenir ou de communiquer
    lesdites données à caractère personnel. Bien qu’il revienne au droit de l’Union ou au droit de l’État
    membre d’élaborer la loi de sorte qu’elle prévoie des «mesures appropriées visant à protéger les
    intérêts légitimes de la personne concernée», le responsable du traitement devrait garantir (et être
    en mesure de démontrer) que l’obtention ou la communication de données à caractère personnel
    par ses soins respectent ces mesures. En outre, le responsable du traitement devrait signaler
    clairement aux personnes concernées qu’il obtient ou communique les données à caractère
    personnel en accord avec le droit en question, sauf en cas d’interdiction légale l’empêchant de le
    faire. Cette disposition est conforme au considérant 41 du RGPD, qui dispose qu’une base juridique
    ou une mesure législative devrait être claire et précise et que son application devrait être prévisible
    pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et
    de la Cour européenne des droits de l’homme. Toutefois, l’article 14, paragraphe 5, point c), ne
    s’applique pas lorsque le responsable du traitement est tenu de collecter les données directement
    auprès de la personne concernée, auquel cas l’article 13 s’applique. Dans cette situation, la seule
    dérogation au titre du RGPD exemptant le responsable du traitement de l’obligation de fournir à la
    personne concernée les informations sur le traitement est celle prévue par l’article 13, paragraphe 4
    (c’est-à-dire lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations).
    Cependant, comme indiqué au point 68 cidessous, les États membres peuvent également légiférer, à
    l’échelon national et en accord avec l’article 23, sur d’autres limitations spécifiques au droit de
    transparence visé à l’article 12 et aux informations prévues aux articles 13 et 14. Exemple En vertu du
    droit national, une administration fiscale est soumise à l’obligation d’obtenir de la part des
    employeurs le montant des rémunérations de leurs salariés. Les données à caractère personnel
    n’étant pas collectées auprès des personnes concernées, l’administration fiscale est soumise aux
    obligations visées à l’article 14. Mais dès lors que Page 39 sur 49 l’obtention des données à caractère
    personnel par l’administration fiscale auprès des employeurs est expressément prévue par la loi,
    l’obligation d’information de l’article 14 ne s’applique pas à l’administration fiscale dans ce cas
    précis. Confidentialité du fait d’une obligation de confidentialité 67. L’article 14, paragraphe 5, point
    d), prévoit une dérogation à l’obligation d’information imposée aux responsables du traitement
    lorsque les données à caractère personnel «doivent rester confidentielles en vertu d’une obligation
    de secret professionnel réglementée par le droit de l’Union ou le droit des États membres, y compris
    une obligation légale de secret professionnel». Lorsqu’un responsable du traitement souhaite se
    prévaloir de cette dérogation, il doit être en mesure de prouver qu’il a correctement identifié la
    dérogation en question et de démontrer que l’obligation de secret professionnel le concerne
    directement, de sorte que cela l’empêche de communiquer toutes les informations visées à l’article
    14, paragraphes 1, 2 et 4, à la personne concernée. Exemple Un médecin (responsable du traitement)
    est tenu au secret professionnel à l’égard des informations médicales de ses patients. Un patient
    (auquel le respect du secret professionnel s’applique) communique au médecin des informations sur
    sa santé concernant une maladie génétique dont certains de ses proches sont atteints. Le patient
    fournit également au médecin certaines données à caractère personnel sur ses proches (personnes
    concernées), qui sont atteints de cette même maladie. Le médecin n’est pas tenu de fournir aux
    proches les informations visées à l’article 14 puisque la dérogation prévue à l’article 14, paragraphe
    5, point d), s’applique. Si le médecin communiquait les informations prévues à l’article 14 aux
    proches, cela constituerait une violation du secret professionnel vis-à-vis de son patient. Limitations
    applicables aux droits des personnes concernées 68. L’article 23 dispose que les États membres (ou
    l’Union) peuvent légiférer de manière à limiter davantage la portée des droits des personnes
    concernées à l’égard de la transparence et de leurs droits fondamentaux55 lorsque de telles mesures
    respectent l’essence des libertés et droits fondamentaux et sont nécessaires et proportionnées pour
    garantir un ou plusieurs des dix objectifs énoncés à l’article 23, paragraphe 1, points a) à j). Lorsque
    de telles mesures nationales réduisent soit les droits spécifiques des personnes concernées soit les
    obligations générales de transparence, qui, autrement, s’appliqueraient aux responsables du
    traitement en vertu du RGPD, les responsables du traitement concernés devraient être en mesure de
    démontrer de quelle manière lesdites mesures 55 Conformément aux articles 12 à 22 et 34, ainsi
    qu’à l’article 5, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux
    articles 12 à 22. Page 40 sur 49 nationales s’appliquent à eux. Conformément à l’article 23,
    paragraphe 2, point h), la mesure législative doit contenir une disposition concernant le droit des
    personnes concernées d’être informées de toute limitation de leurs droits, à moins que cela risque
    de nuire à la finalité de la limitation. Dans le même ordre d’idée, et en vertu du principe de loyauté,
    le responsable du traitement devrait également informer la personne concernée qu’il invoque (ou
    invoquera, au cas où ladite personne déciderait d’exercer un de ses droits en particulier) une telle
    limitation législative nationale à l’exercice des droits de celle-ci ou à l’obligation de transparence,
    sauf si cela risquait de nuire à la finalité de la limitation législative. À ce titre, le principe de
    transparence impose au responsable du traitement de fournir des informations adaptées et en
    amont à la personne concernée au sujet de ses droits et de toute restriction spécifique applicable à
    ces droits que le responsable du traitement déciderait d’invoquer, de sorte que la personne
    concernée ne soit pas surprise par une prétendue limitation d’un droit en particulier si elle cherche à
    exercer, ultérieurement, ce droit contre le responsable du traitement. En ce qui concerne la
    pseudonymisation et la minimisation des données, et dans la mesure où le responsable du
    traitement peut chercher à invoquer l’article 11 du RGPD, le G29 a précédemment confirmé dans
    l’avis 3/201756 que l’article 11 du RGPD devrait être interprété comme un moyen de faire appliquer
    une véritable minimisation des données sans entraver l’exercice des droits des personnes
    concernées, et qu’un tel exercice doit être rendu possible grâce aux informations complémentaires
    fournies par les personnes concernées. 69. Par ailleurs, l’article 85 exige des États membres qu’ils
    concilient, par la loi, le droit à la protection des données à caractère personnel et le droit à la liberté
    d’expression et d’information. Cette obligation impose, entre autres, aux États membres de prévoir
    des exemptions ou dérogations appropriées à certaines dispositions du RGPD (notamment aux
    obligations de transparence au titre des articles 12 à 14) pour les traitements menés à des fins
    journalistiques et à des fins d’expression universitaire, artistique ou littéraire, si cela est nécessaire
    pour concilier les deux droits en question. Transparence et violation de données 70. Le G29 a établi
    des lignes directrices distinctes sur les violations de données57 mais, aux fins des présentes lignes
    directrices, les obligations d’un responsable du traitement concernant la communication des
    violations de données à une personne concernée doivent prendre pleinement en compte les
    obligations de transparence énoncées à l’article 1258. La communication d’une violation de données
    doit satisfaire aux mêmes obligations, telles que détaillées ci-dessus (notamment concernant le
    recours à des termes clairs et simples), que 56 Avis 3/2017 sur le traitement des données à caractère
    personnel dans le contexte des systèmes de transport intelligents coopératifs (STI-C) – voir point 4.2.
    57 Lignes directrices sur la notification de violations de données à caractère personnel en vertu du
    règlement 2016/679, WP 250. 58 Ce point est clairement défini à l’article 12, paragraphe 1, qui fait
    spécifiquement référence à «…toute communication au titre des articles 15 à 22 et de l’article 34 en
    ce qui concerne le traitement à la personne concernée…» [soulignement ajouté]. Page 41 sur 49
    celles applicables à toute autre communication adressée à une personne concernée au sujet de ses
    droits ou liée à la communication d’informations au titre des articles 13 et 14. Page 42 sur 49 Annexe
    Informations devant être communiquées à une personne concernée au titre de l’article 13