Guides & Ressources pratiques
Licenciement faute grave et congés payés : droits, calcul, procédure
Article 13 du RGPD : décryptage des obligations d'information lors de la collecte directe de données
Points clés de l'article
- L'article 13 du RGPD impose de fournir 12 catégories d'informations à chaque collecte directe de données personnelles auprès de la personne concernée.
- L'obligation s'applique dès qu'un responsable de traitement recueille des données directement : formulaire web, contrat, recrutement, vidéosurveillance, badge d'accès.
- Chaque mention manquante ou imprécise peut constituer un manquement sanctionnable par la CNIL, indépendamment de toute atteinte effective aux droits des personnes.
- La forme de délivrance (moment, support, lisibilité) conditionne autant la conformité que le contenu lui-même.
- Une grille d'audit structurée autour des 12 éléments de l'article 13 permet aux directions juridiques de vérifier systématiquement chaque point de collecte.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que l'article 13 du RGPD ? Définition et portée
Champ d'application : quand l'article 13 s'impose-t-il ?
Les informations obligatoires sur le responsable de traitement et le DPO
Finalités, bases légales et intérêts légitimes à déclarer
Destinataires, transferts hors UE et durée de conservation
Droits des personnes concernées et modalités d'exercice
Comment délivrer l'information : forme, timing et accessibilité
Sanctions, jurisprudence et bonnes pratiques opérationnelles
Qu'est-ce que l'article 13 du RGPD ? Définition et portée
L'article 13 du RGPD (règlement général sur la protection des données, UE 2016/679) fixe la liste des informations qu'un responsable de traitement doit communiquer à une personne physique lorsqu'il collecte ses données personnelles directement auprès d'elle. Il constitue le socle du principe de transparence inscrit à l'article 5.1.a du même règlement.
Concrètement, cet article énumère 12 catégories d'informations réparties en 2 paragraphes. Le paragraphe 1 couvre les éléments relatifs à l'identité du responsable de traitement, aux finalités et aux bases légales. Le paragraphe 2 complète avec les droits des personnes, la durée de conservation et l'existence éventuelle d'une prise de décision automatisée. L'article 13.3 ajoute une obligation spécifique : informer à nouveau lorsque les données sont réutilisées pour une finalité différente de celle initialement prévue.
Cette disposition se distingue de l'article 14, qui régit l'information lorsque les données ne sont pas collectées directement auprès de la personne (achat de fichiers, enrichissement tiers). La distinction repose sur un critère simple : la personne concernée fournit-elle elle-même ses données ? Si oui, l'article 13 s'applique.
Champ d'application : quand l'article 13 s'impose-t-il ?
L'article 13 s'applique à toute collecte directe de données personnelles, quel que soit le canal, le secteur ou la taille de l'organisation. Trois conditions cumulatives déclenchent l'obligation :
- Un responsable de traitement (ou son sous-traitant agissant pour son compte) recueille des données.
- Les données sont obtenues directement auprès de la personne concernée.
- La personne n'a pas encore reçu les informations requises pour ce traitement spécifique.
En pratique, les points de collecte concernés dans une entreprise sont nombreux :
| Point de collecte | Exemple concret | Support d'information habituel |
|---|---|---|
| Formulaire web (contact, devis) | Demande de démonstration sur un site B2B | Mention sous le formulaire + lien vers la politique de confidentialité |
| Contrat commercial | Signature d'un contrat de prestation | Clause dédiée ou annexe « données personnelles » |
| Recrutement | Réception de candidatures spontanées | Mention dans l'accusé de réception + politique RH |
| Vidéosurveillance | Caméras dans les locaux | Panneau d'affichage à l'entrée de la zone filmée |
| Badge d'accès / contrôle horaire | Système de pointage des salariés | Note d'information remise à l'embauche |
L'article 13.4 prévoit une seule exception : l'obligation ne s'applique pas si la personne dispose déjà de l'ensemble des informations requises. Cette exception s'interprète strictement. Un renvoi générique vers une politique de confidentialité ne suffit pas si celle-ci ne couvre pas le traitement en cause.
Chaque point de collecte dans l'entreprise constitue un risque de non-conformité distinct. Un audit structuré permet de cartographier ces points et de vérifier la complétude des mentions.
Consulter des avocats spécialisés en protection des données
Les informations obligatoires sur le responsable de traitement et le DPO
L'article 13.1 impose en premier lieu de communiquer l'identité et les coordonnées du responsable de traitement. En droit français, il s'agit de la personne morale (raison sociale, adresse du siège) ou physique qui détermine les finalités et les moyens du traitement.
Lorsqu'un délégué à la protection des données (DPO) a été désigné — obligation pour les organismes publics et les entreprises dont l'activité de base implique un suivi régulier et systématique à grande échelle (article 37 RGPD) — ses coordonnées doivent également figurer dans la mention d'information. La CNIL recommande de fournir une adresse e-mail fonctionnelle dédiée plutôt qu'un nom individuel, afin de garantir la continuité du contact.
Si le responsable de traitement a désigné un représentant dans l'Union européenne (cas des entreprises établies hors UE traitant des données de résidents européens, article 27), les coordonnées de ce représentant doivent aussi apparaître.
Grille de vérification — Bloc identité
- Raison sociale et adresse du responsable de traitement
- Coordonnées du DPO (si désigné)
- Coordonnées du représentant UE (si applicable)
Finalités, bases légales et intérêts légitimes à déclarer
L'article 13.1.c exige la mention des finalités du traitement et de la base légale sur laquelle il repose. Le RGPD reconnaît 6 bases légales (article 6.1) : consentement, exécution d'un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d'intérêt public et intérêt légitime.
Pour chaque traitement, la mention doit indiquer précisément la finalité poursuivie. Une formulation telle que « améliorer nos services » est insuffisante. La CNIL exige une description permettant à la personne de comprendre concrètement l'usage de ses données : « gestion de votre demande de devis et suivi commercial associé » est conforme ; « traitement de vos données » ne l'est pas.
Lorsque la base légale retenue est l'intérêt légitime (article 6.1.f), l'article 13.1.d impose une obligation supplémentaire : décrire l'intérêt légitime poursuivi par le responsable de traitement ou par un tiers. Cette exigence suppose d'avoir réalisé en amont un test de mise en balance (balancing test) documenté, pesant l'intérêt du responsable face aux droits et libertés de la personne.
| Base légale | Obligation d'information spécifique |
|---|---|
| Consentement | Mentionner le droit de retrait à tout moment (art. 13.2.c) |
| Contrat | Préciser si la fourniture des données conditionne la conclusion du contrat (art. 13.2.e) |
| Obligation légale | Identifier le texte imposant la collecte |
| Intérêt légitime | Décrire l'intérêt légitime poursuivi |
La qualification de la base légale conditionne directement le contenu des mentions d'information et les droits opposables par la personne concernée. Une erreur à ce stade fragilise l'ensemble du traitement.
Faire appel à un avocat en protection des données
Destinataires, transferts hors UE et durée de conservation
L'article 13.1.e impose d'identifier les destinataires ou catégories de destinataires des données. Il ne s'agit pas de lister chaque salarié ayant accès aux données, mais de mentionner les catégories pertinentes : prestataires d'hébergement, sous-traitants techniques, partenaires commerciaux, autorités publiques le cas échéant.
Lorsque des données sont transférées vers un pays tiers (hors Espace économique européen), l'article 13.1.f exige d'informer la personne de l'existence de ce transfert, du pays destinataire et du mécanisme de garantie utilisé (décision d'adéquation de la Commission européenne, clauses contractuelles types, règles d'entreprise contraignantes). Depuis l'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18), la CNIL contrôle avec une attention renforcée la réalité de ces garanties.
L'article 13.2.a impose enfin de préciser la durée de conservation des données ou, lorsque celle-ci ne peut être déterminée à l'avance, les critères utilisés pour la fixer. La CNIL sanctionne régulièrement l'absence de durée précise. Dans sa délibération du 31 décembre 2021 contre une société de e-commerce, elle a relevé que la mention « durée nécessaire aux finalités » était insuffisante.
Droits des personnes concernées et modalités d'exercice
L'article 13.2.b à 13.2.f détaille les droits dont la personne doit être informée. La liste varie selon la base légale du traitement :
- Droit d'accès (article 15) : applicable dans tous les cas.
- Droit de rectification (article 16) : applicable dans tous les cas.
- Droit à l'effacement (article 17) : applicable sauf exceptions (obligation légale de conservation, exercice de droits en justice).
- Droit à la limitation (article 18) : applicable dans les cas prévus par le texte.
- Droit à la portabilité (article 20) : applicable uniquement lorsque le traitement repose sur le consentement ou l'exécution d'un contrat et qu'il est automatisé.
- Droit d'opposition (article 21) : applicable lorsque le traitement repose sur l'intérêt légitime ou une mission d'intérêt public.
L'article 13.2.d impose également d'informer la personne de son droit d'introduire une réclamation auprès d'une autorité de contrôle (en France, la CNIL).
Enfin, lorsque le traitement comporte une prise de décision automatisée produisant des effets juridiques ou significatifs (profilage, scoring), l'article 13.2.f exige d'en informer la personne et de fournir des informations utiles sur la logique sous-jacente, l'importance et les conséquences envisagées.
Comment délivrer l'information : forme, timing et accessibilité
L'article 13 ne prescrit pas de support unique. En revanche, l'article 12 du RGPD, qui encadre les modalités de délivrance, impose que l'information soit fournie de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
Timing
L'information doit être délivrée au moment de la collecte. Pas avant (ce qui serait prématuré et potentiellement incomplet), pas après (ce qui priverait la personne de son droit à un choix éclairé). Pour un formulaire en ligne, cela signifie que la mention doit être visible ou accessible par un lien direct au moment où l'utilisateur saisit ses données.
Forme
La CNIL et le Comité européen de la protection des données (CEPD) recommandent une approche par niveaux (layered approach) :
- Premier niveau : mention courte directement visible au point de collecte, contenant l'identité du responsable, la finalité principale et un lien vers l'information complète.
- Second niveau : politique de confidentialité détaillée, accessible en un clic, contenant l'ensemble des 12 éléments.
Cette approche est particulièrement adaptée aux interfaces numériques où l'espace est contraint (applications mobiles, formulaires courts).
La conformité de l'information ne se limite pas à son contenu. Le moment, le support et la lisibilité de la mention sont des critères de contrôle à part entière pour la CNIL.
Structurer votre conformité avec un avocat spécialisé
Sanctions, jurisprudence et bonnes pratiques opérationnelles
Le non-respect de l'article 13 constitue un manquement au principe de transparence, sanctionnable au titre de l'article 83.5.b du RGPD. L'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
En France, la CNIL a prononcé plusieurs sanctions significatives pour défaut d'information :
- Janvier 2022 : 150 000 € contre un éditeur de site web pour des mentions incomplètes sur la durée de conservation et les transferts hors UE.
- Décembre 2022 : 800 000 € contre une société de gestion immobilière pour absence de mention d'information sur un dispositif de vidéosurveillance dans les parties communes.
- Juin 2023 : 40 millions d'euros contre un acteur du numérique, partiellement fondé sur le caractère insuffisamment clair des informations relatives aux bases légales.
Bonnes pratiques pour les directions juridiques
- Cartographier tous les points de collecte directe dans l'organisation (RH, commercial, IT, marketing, sécurité).
- Auditer chaque mention existante en la confrontant aux 12 éléments de l'article 13, point par point.
- Standardiser un modèle de mention d'information interne, déclinable par finalité et par canal.
- Documenter les choix de base légale et les durées de conservation dans le registre des traitements (article 30), pour garantir la cohérence avec les mentions publiées.
- Tester la lisibilité des mentions auprès de non-juristes avant déploiement.
FAQ
L'article 13 s'applique-t-il aux données collectées auprès des salariés ?
Oui. Toute collecte directe auprès d'un salarié (contrat de travail, badge, formulaire RH, dispositif de surveillance) déclenche l'obligation d'information de l'article 13. La mention peut être intégrée dans une note d'information remise à l'embauche ou lors de la mise en place d'un nouveau traitement.
Quelle différence entre l'article 13 et l'article 14 du RGPD ?
L'article 13 s'applique lorsque les données sont collectées directement auprès de la personne. L'article 14 s'applique lorsque les données proviennent d'une source tierce (achat de base, enrichissement, transmission par un partenaire). Les informations à fournir sont similaires, mais l'article 14 impose en plus de mentionner la source des données et prévoit un délai de communication d'un mois maximum.
Une politique de confidentialité générique suffit-elle à respecter l'article 13 ?
Non, si elle ne couvre pas spécifiquement chaque traitement concerné. La CNIL exige que l'information soit adaptée à chaque finalité et à chaque point de collecte. Un renvoi vers une politique générique est admis en second niveau, à condition qu'un premier niveau de mention spécifique soit visible au moment de la collecte.
Faut-il informer à nouveau en cas de changement de finalité ?
Oui. L'article 13.3 impose de fournir une nouvelle information avant toute réutilisation des données pour une finalité différente de celle initialement déclarée. Cette obligation s'applique même si la personne a déjà reçu les informations pour le traitement initial.
La CNIL peut-elle sanctionner un simple défaut de mention, sans atteinte aux données ?
Oui. Le manquement à l'obligation de transparence est sanctionnable en lui-même, indépendamment de toute violation de données ou de tout préjudice subi par la personne concernée. La CNIL a confirmé cette approche dans plusieurs délibérations depuis 2019.
Pour aller plus loin
Chapitre III - Droits de la personne concernée - CNIL
Conformité RGPD : informer les personnes et assurer la transparence - CNIL
Délibération SAN-2024-002 du 31 janvier 2024, sanction pour manquement à l'article 13 - Légifrance
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
