1)

L’article 14, paragraphe 5, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (2) (ci-après le «RGPD»), doit-il être interprété — compte tenu de l’article 14, paragraphe 1, et du considérant 62 du RGPD- en ce sens que l’exception que cette disposition prévoit ne s’applique pas aux données générées par le responsable du traitement dans le cadre de son propre processus, mais uniquement aux données que le responsable du traitement a spécifiquement collectées auprès d’une autre personne?

2)

Si l’article 14, paragraphe 5, sous c), du RGPD s’applique également aux données générées par le responsable du traitement dans le cadre de son propre processus, l’article 77, paragraphe 1, du RGPD, qui régit le droit d’introduire une réclamation auprès d’une autorité de contrôle, doit-il être interprété en ce sens qu’une personne physique invoquant une violation de l’obligation d’information peut, dans le cadre de l’exercice de son droit d’introduire une réclamation, également demander que soit examinée la question de savoir si le droit de l’État membre, visé à l’article 14, paragraphe 5, sous c), du RGPD, prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée?

3)

En cas de réponse affirmative à la deuxième question, l’article 14, paragraphe 5, sous c), du RGPD peut-il être interprété en ce sens que les «mesures appropriées» auxquelles celui-ci fait référence exigent une transposition (dans la règle de droit), par le législateur national, des mesures de sécurité des données visées à l’article 32 du RGPD?