Obligation d’information (art. 14 RGPD) : exception légale précisée en 2026

Résumé — Le 29 janvier 2026, la Cour de cassation française confirme qu’un responsable peut être dispensé d’informer individuellement la personne concernée lorsque la loi prévoit expressément la transmission et encadre des garanties appropriées (art. 14(5)(c) RGPD). Enseignement utile pour les flux “fiscaux/social” et certains partages B2G au Luxembourg.

L’affaire

URSSAF c. R. (Cass. civ. 2e, 29 janvier 2026, n° 23-21.589). En France, l’URSSAF avait calculé une cotisation subsidiaire maladie sur la base de données fiscales transmises par l’administration. Le cotisant contestait, reprochant à l’URSSAF de ne pas l’avoir informé personnellement des traitements de données reçues de l’administration, au titre des articles 13–14 RGPD. La Cour de cassation casse partiellement l’arrêt d’appel et retient qu’il est fait exception à l’obligation d’information lorsque la communication des données est expressément prévue par la loi et que des “mesures appropriées” protègent les intérêts de la personne (renvoyant à l’article 14, § 5, c) RGPD et aux textes nationaux encadrant le traitement). Conclusion pratique: dans ce cas précis, la publication de textes normatifs assortis de garanties suffisantes dispensait l’organisme d’une information individuelle supplémentaire. Source: Cour de cassation, 2e civ., 29 janvier 2026, n° 23-21.589 (Légifrance). Voir le point 5 de l’arrêt. Lien (legifrance.gouv.fr).

Le raisonnement juridique

• Texte applicable. Le RGPD prévoit une information des personnes lorsque les données ne sont pas collectées auprès d’elles (article 14). Cette obligation connaît des dérogations limitatives, dont celle de l’article 14, § 5, c) lorsque “l’obtention ou la communication est expressément prévue par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis” et que ce droit “prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée”. Texte officiel: EUR‑Lex (RGPD art. 14). Lien (eur-lex.europa.eu).
• Interprétation par la Cour (2026). La Cour de cassation articule: (i) une base légale explicite de transmission (textes de sécurité sociale) + (ii) un décret organisant le traitement et des “mesures appropriées” = exception à l’information individuelle. Elle censure la cour d’appel pour avoir exigé, en plus de ce cadre légal, une notification personnalisée au cotisant. Voir considérants 5 à 7 de l’arrêt. Lien (legifrance.gouv.fr).
• Convergence avec l’EDPB. L’EDPB (ex‑G29) précise que l’exception 14(5)(c) s’applique si la loi “vise directement” le responsable, rend l’obtention/la communication obligatoire et prévoit des garanties pour les droits des personnes (transparence résiduelle, documentation, accès public à l’info générale du traitement, etc.). Voir EDPB — Transparency (renvoi aux WP29 Transparency Guidelines) et rappel dans les Guidelines “COVID‑19 research” §5.1.2.4 (conditions strictes de 14(5)(c)). Lien 1 ; Lien 2, p. 9 et s. (edpb.europa.eu).
• Position CNPD. La CNPD rappelle de longue date les exigences d’information des articles 13–14 (couches d’information, art. 12) et mentionne des cas d’exemption (dont 14(5)) dans ses décisions/ressources. Voir “Chapitre III — Droits de la personne concernée” (site CNPD) et note thématique sur la durée de conservation (qui illustre la précision attendue quand on informe ou répond à une demande). Lien 1 ; Lien 2 (cnpd.public.lu).

En synthèse, l’arrêt du 29 janvier 2026 s’inscrit dans le cadre RGPD: l’exception d’article 14(5)(c) est d’interprétation stricte et suppose un fondement légal clair et des garanties effectives. Il ne “supprime” pas la transparence: il la reconfigure via l’information “générale” organisée par la loi (publication, encadrement, voies de recours).

Ce que ça change concrètement (Luxembourg, BE/FR/DE frontaliers)

• Flux B2G/G2G “prévus par la loi”. Quand un texte de l’UE ou national impose la transmission (ex.: fiscal/social, surveillance prudentielle, lutte contre la fraude) et organise des garanties (finalités déterminées, catégories de données, sécurité, durées, droits et voies de recours), une information individuelle de chaque personne n’est pas toujours requise. Mais:
  • Il faut vérifier que la loi “vise directement” votre entité et rend la transmission/obtention obligatoire. À défaut, l’exception 14(5)(c) ne s’applique pas. EDPB, op. cit. (edpb.europa.eu)
  • Des mesures appropriées doivent être démontrables: base légale publiée, notices institutionnelles accessibles, mécanismes de droits (art. 12–22 RGPD). CNPD, “Chapitre III”. (cnpd.public.lu)
• Groupes luxembourgeois et transferts intra‑groupe. L’arrêt concerne une relation avec l’autorité publique, pas un partage intra‑groupe. Dans un groupe, l’article 14(5)(c) ne s’applique pas sauf si une loi impose explicitement ce partage à l’entité (rare). En pratique, maintenir l’information art. 13/14 (politique de confidentialité groupe, mentions spécifiques par finalité).
• Secteur financier/PSF et obligations réglementaires. Lorsqu’un texte prudentiel impose une transmission (p.ex. à la CSSF) avec garanties, l’information individuelle peut être assurée via la notice institutionnelle et les documents contractuels (couche 1 + couche 2), sans notification “cas par cas”. Mais conservez la preuve du fondement légal et des garanties (registre art. 30 et référentiel interne). Pour structurer cette démarche, un mandat DPO et des notices institutionnelles claires sont recommandés.
• Cas d’accès art. 15. L’arrêt n’impacte pas le droit d’accès: refuser l’information initiale sous 14(5)(c) n’emporte pas exclusion des droits 15–22. Des demandes d’accès restent recevables et doivent être traitées (sous réserve d’exceptions légales). Voir CNPD “Chapitre III”. (cnpd.public.lu)

Pour cadrer vos traitements au Luxembourg, relisez l’article 14 du RGPD et veillez à la conformité CNPD au Luxembourg lorsque vous invoquez 14(5)(c).

Exemples opérationnels

• Bulletin de paie/charges: si un texte exige de transmettre des données à une autorité et encadre les garanties, l’entreprise s’appuie sur 14(5)(c) pour éviter une double notification individuelle, mais documente ce fondement et maintient une notice publique claire.
• Télécom/énergie: si une loi impose un envoi de données de consommation à une autorité de régulation avec garanties, même logique — information “générale” robuste plutôt qu’emails individuels.

Pièges fréquents observés en audit

1. Confondre “prévu par la loi” et “autorisé par contrat”. Une clause contractuelle, une charte interne ou un intérêt légitime ne suffisent pas à déclencher 14(5)(c). Il faut une obligation légale explicite imposée au responsable. EDPB — Transparency. (edpb.europa.eu)
2. Oublier les “mesures appropriées”. L’existence d’une loi ne suffit pas: vous devez prouver les garanties (finalités, minimisation, durées, voies de recours). À défaut, l’exception tombe et l’information individuelle redevient exigible. EDPB, Guidelines (5.1.2.4). (edpb.europa.eu)
3. Étendre indûment l’exception aux partages intra‑groupe. Sans texte imposant le partage, l’exception 14(5)(c) est inapplicable: maintenez des mentions d’information conformes art. 13/14.
4. Négliger la transparence “résiduelle”. Même en cas d’exception, une information publique claire (politique de confidentialité, registre des catégories de destinataires, fondements légaux cités) demeure attendue par la CNPD (approche en couches, art. 12). CNPD — “Principe de transparence” (vidéosurveillance, doctrine transposable). (cnpd.public.lu)
5. Penser que l’exception bloque les droits 15–22. Non — l’exception porte sur l’information initiale, pas sur l’exercice des droits ensuite. Conservez des procédures de réponse art. 15–22, avec délais et motifs de refus encadrés. CNPD — Chapitre III. (cnpd.public.lu)

Sources officielles

• Cour de cassation (France), 2e civ., 29 janvier 2026, n° 23-21.589 (URSSAF) — texte intégral sur Légifrance. https://www.legifrance.gouv.fr/juri/id/JURITEXT000053452152 (legifrance.gouv.fr)
• Règlement (UE) 2016/679 (RGPD) — article 14 (EUR‑Lex). https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 (eur-lex.europa.eu)
• EDPB — Transparency (renvoi vers les Lignes directrices “Transparency” du G29, endossées par l’EDPB). https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/transparency_en (edpb.europa.eu)
• EDPB — Guidelines “COVID‑19 scientific research” (rappel des conditions de l’exception 14(5)(c), §5.1.2.4). https://www.edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf (edpb.europa.eu)
• CNPD Luxembourg — Chapitre III (droits de la personne concernée; art. 12–14). https://cnpd.public.lu/fr/legislation/droit-europ/union-europeenne/rgpd/chapitre-3.html (cnpd.public.lu)
• CNPD Luxembourg — L’obligation d’informer sur les durées de conservation (illustration des attentes d’information). https://cnpd.public.lu/fr/dossiers-thematiques/psp/duree-conservation-donnes-service-paiement/obligation-informer.html

Conseil pratique (dirigeants/DPO Luxembourg, 2026)

Tracez dans votre registre (art. 30) les traitements fondés sur un texte “imposant la communication”, citez le fondement légal exact, listez les “mesures appropriées”, et maintenez une politique de confidentialité publique à jour. À défaut, l’exception 14(5)(c) ne tiendra pas lors d’un contrôle CNPD. Si besoin d’appui opérationnel, contactez-nous via la page DPO certifié.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.