Quelles informations dois-je communiquer précisément au sujet de la source des données à caractère personnel en cas d’achat ou de location d’un fichier d'adresses ?

L'article 15.1.g) du RGPD dispose que le responsable du traitement doit fournir à la personne concernée "toute information disponible" quant à la source des données lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée.

Le principe de responsabilité implique que tout responsable du traitement doit fournir des informations de base aux personnes concernées quant à la source des données à caractère personnel. Ces informations doivent non seulement démontrer que le responsable du traitement traite lui-même les données à caractère personnel conformément au RGPD, mais aussi que préalablement à la location ou à l'achat du fichier d'adresses, il a vérifié si la source de ce fichier d'adresses a elle-même traité ces données à caractère personnel de manière licite.

Cela signifie concrètement que la simple mention de la source proprement dite des données à caractère personnel n'est pas suffisante. Il faut également communiquer à la personne concernée des informations sur la manière dont la source a obtenu ses données à caractère personnel ainsi que la base juridique de ce traitement initial. Enfin, vous devez aussi transmettre les coordonnées de la source afin que la personne concernée puisse exercer son droit d'accès à l'égard de cette source.

Pour respecter l'article 15.1.g) du RGPD, vous devez donc fournir les informations suivantes :

• la source (l'entreprise qui a vendu ou loué le fichier d'adresses) ;
• les coordonnées de cette source ;
• la base juridique du traitement initial réalisé par la source ; et
• la manière dont la source a obtenu les données à caractère personnel de la personne concernée.

À titre d'exemple, vous pouvez consulter la décision n° 20/2021 de la Chambre Contentieuse (temporairement uniquement disponible en néerlandais)