Guides & Ressources pratiques
Sanctions RGPD 2026 : guide pratique pour protéger votre entreprise des amendes
Communication RGPD : obligations d'information et de transparence envers les personnes
Points clés de l'article
- La communication RGPD recouvre l'ensemble des informations qu'un responsable de traitement doit fournir aux personnes dont il collecte ou utilise les données personnelles.
- Les articles 12, 13 et 14 du RGPD imposent un socle d'informations obligatoires, avec des règles distinctes selon que la collecte est directe ou indirecte.
- La forme compte autant que le fond : le texte doit être concis, compréhensible et accessible, y compris pour un public non averti.
- Documenter chaque communication et ses mises à jour constitue une obligation de compliance à part entière, vérifiée lors des contrôles de la CNIL.
- Un défaut de communication expose l'entreprise à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Communication RGPD : définition et périmètre réglementaire
Les obligations des articles 12, 13 et 14 du RGPD
Quelles informations communiquer aux personnes concernées ?
Quand et comment informer : collecte directe vs indirecte
Les exigences de forme : clarté, concision, accessibilité
Exercer la traçabilité et documenter la communication
Sanctions en cas de défaut de communication RGPD
FAQ : questions fréquentes sur la communication RGPD
Communication RGPD : définition et périmètre réglementaire
La communication RGPD désigne l'obligation pour tout responsable de traitement de porter à la connaissance des personnes concernées un ensemble d'informations relatives à l'utilisation de leurs données personnelles. Cette obligation ne se limite pas à la rédaction d'une politique de confidentialité sur un site web. Elle s'étend à chaque point de collecte : formulaire en ligne, contrat papier, application mobile, borne en magasin ou échange téléphonique.
Le périmètre réglementaire est fixé par le chapitre III du RGPD (articles 12 à 23), complété en droit français par la loi Informatique et Libertés modifiée. L'article 12 pose le principe général de transparence. Les articles 13 et 14 détaillent les informations à fournir selon le mode de collecte. La CNIL, dans ses lignes directrices publiées en 2022, a précisé que cette obligation s'applique dès le stade de la conception du traitement (privacy by design), et non après sa mise en production.
En pratique, la direction juridique pilote la conformité de ces communications en lien avec la DSI, le marketing et le DPO. L'enjeu est double : satisfaire les exigences réglementaires sans dégrader l'expérience utilisateur.
Les obligations des articles 12, 13 et 14 du RGPD
L'article 12 fixe le cadre formel. Le responsable de traitement doit fournir les informations de manière concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Lorsque la personne concernée est un enfant, le niveau de langage doit être adapté.
L'article 13 s'applique lorsque les données sont collectées directement auprès de la personne. C'est le cas d'un formulaire d'inscription, d'un contrat de travail ou d'une demande de devis en ligne. L'information doit être fournie au moment de la collecte.
L'article 14 couvre les situations où les données proviennent d'un tiers : achat de fichiers, enrichissement via des partenaires commerciaux, données issues de sources publiques. Dans ce cas, l'information doit être transmise dans un délai raisonnable, et au plus tard dans un mois suivant l'obtention des données, ou lors du premier contact avec la personne si celui-ci intervient avant.
| Critère | Article 13 (collecte directe) | Article 14 (collecte indirecte) |
|---|---|---|
| Moment de l'information | Au moment de la collecte | Dans un délai d'un mois maximum |
| Source des données | Non requise | Obligatoire (préciser l'origine) |
| Catégories de données | Non requise | Obligatoire |
| Informations communes | Identité du responsable, finalités, base légale, destinataires, durée, droits | Identiques |
La structuration de ces obligations suppose une cartographie précise des flux de données et des points de collecte.
Consultez un avocat spécialisé en protection des données
Quelles informations communiquer aux personnes concernées ?
Le RGPD impose un socle minimal d'informations, identique dans ses grandes lignes pour les articles 13 et 14. Voici la liste exhaustive :
- Identité et coordonnées du responsable de traitement et, le cas échéant, de son représentant
- Coordonnées du DPO (délégué à la protection des données), lorsqu'il a été désigné
- Finalités du traitement et base juridique sur laquelle il repose (consentement, contrat, intérêt légitime, obligation légale, etc.)
- Intérêts légitimes poursuivis, lorsque le traitement repose sur cette base
- Destinataires ou catégories de destinataires des données
- Transferts hors UE, le cas échéant, avec mention des garanties appropriées (clauses contractuelles types, décision d'adéquation)
- Durée de conservation ou critères utilisés pour la déterminer
- Droits des personnes : accès, rectification, effacement, limitation, portabilité, opposition
- Droit de retirer son consentement à tout moment, lorsque le traitement repose sur cette base
- Droit d'introduire une réclamation auprès de la CNIL
- Existence d'une prise de décision automatisée, y compris le profilage, avec des informations sur la logique sous-jacente
En France, la CNIL a sanctionné en décembre 2022 une société pour avoir omis de mentionner la durée de conservation dans ses mentions d'information. L'amende s'élevait à 800 000 euros. Ce précédent illustre que chaque élément de la liste est vérifié individuellement lors d'un contrôle.
Quand et comment informer : collecte directe vs indirecte
Collecte directe : informer au moment précis de la collecte
Lors d'une collecte directe, l'information doit être présentée avant ou au moment où la personne transmet ses données. Sur un formulaire web, cela se traduit par un lien visible vers la politique de confidentialité, placé à proximité du bouton de validation. Sur un contrat papier, une clause dédiée ou un document annexe remplit cette fonction.
La CNIL recommande une approche par niveaux (layered notice) : un premier niveau synthétique, directement visible, contenant les informations essentielles (finalité, identité du responsable, droits), puis un second niveau détaillé accessible via un lien ou un renvoi.
Collecte indirecte : respecter le délai d'un mois
Lorsque les données n'ont pas été obtenues directement auprès de la personne, le responsable de traitement dispose d'un mois pour l'informer. Si les données sont utilisées pour contacter la personne (prospection commerciale, par exemple), l'information doit être fournie dès le premier contact.
L'article 14, paragraphe 5, prévoit des exceptions limitées : lorsque la personne dispose déjà des informations, lorsque la communication est impossible ou exigerait des efforts disproportionnés, ou lorsqu'une obligation légale encadre la collecte.
Identifier le bon moment et le bon canal d'information pour chaque traitement nécessite une analyse juridique adaptée à votre organisation.
Échangez avec un avocat en protection des données
Les exigences de forme : clarté, concision, accessibilité
Le RGPD ne prescrit pas de format unique. En revanche, l'article 12 impose des critères qualitatifs stricts. La CNIL et le Comité européen de la protection des données (CEPD) ont précisé ces critères dans leurs lignes directrices sur la transparence (WP260 rév.01, adoptées en avril 2018).
| Exigence | Ce que cela implique concrètement |
|---|---|
| Concision | Éviter les textes juridiques de plusieurs pages ; privilégier les formulations courtes |
| Transparence | Ne pas dissimuler d'informations dans des conditions générales longues |
| Compréhensibilité | Utiliser un vocabulaire courant, éviter le jargon juridique non expliqué |
| Accessibilité | Rendre l'information disponible au bon endroit, au bon moment, dans un format adapté (web, papier, oral) |
| Forme écrite | Privilégiée par défaut ; la forme orale est admise si la personne le demande et si son identité est vérifiée |
Le recours à des icônes standardisées, prévu par l'article 12, paragraphe 7, reste à ce jour peu déployé faute de norme européenne adoptée. En attendant, les tableaux récapitulatifs, les FAQ intégrées et les infographies constituent des alternatives efficaces pour améliorer la lisibilité.
Exercer la traçabilité et documenter la communication
L'article 5, paragraphe 2, du RGPD impose un principe d'accountability (responsabilité). Le responsable de traitement doit pouvoir démontrer qu'il a respecté ses obligations, y compris en matière d'information.
Concrètement, la direction juridique doit organiser :
- Le versionnage des mentions d'information : chaque modification doit être datée et archivée, avec conservation de l'historique des versions
- La preuve de mise à disposition : captures d'écran horodatées des formulaires, accusés de réception des courriers d'information, logs techniques attestant l'affichage des mentions
- Le registre des traitements (article 30) : il doit refléter les informations communiquées et être cohérent avec les mentions d'information
- Les audits périodiques : vérifier que les mentions restent à jour après chaque évolution du traitement (nouveau prestataire, nouvelle finalité, transfert hors UE)
Lors de ses contrôles, la CNIL demande systématiquement la production de ces éléments. En 2023, sur 345 contrôles réalisés, les manquements à l'obligation d'information figuraient parmi les 3 infractions les plus fréquemment constatées.
La mise en place d'un processus de documentation rigoureux protège l'entreprise en cas de contrôle ou de contentieux.
Faites auditer vos mentions d'information par un avocat spécialisé
Sanctions en cas de défaut de communication RGPD
Le non-respect des obligations d'information relève de la catégorie la plus sévère du RGPD. L'article 83, paragraphe 5, prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu.
En France, la CNIL a prononcé plusieurs sanctions significatives sur ce fondement :
- Janvier 2022 : amende de 150 millions d'euros à l'encontre d'une plateforme technologique pour des informations insuffisamment claires sur l'utilisation des cookies et des données de navigation
- Décembre 2022 : amende de 800 000 euros contre une société de gestion immobilière pour absence de mentions d'information complètes
- Juin 2023 : mise en demeure publique d'un acteur du e-commerce pour des mentions obsolètes ne reflétant plus les traitements effectivement mis en œuvre
Au-delà des amendes, un défaut de communication RGPD expose l'entreprise à des réclamations individuelles, à des actions de groupe (prévues par la loi Informatique et Libertés, article 37) et à un risque réputationnel lié à la publication des décisions de la CNIL.
La direction juridique a donc intérêt à traiter l'obligation d'information non comme une formalité documentaire, mais comme un élément structurant de la conformité globale de l'entreprise.
FAQ : questions fréquentes sur la communication RGPD
Une politique de confidentialité sur le site web suffit-elle à remplir l'obligation d'information ?
Non. La politique de confidentialité couvre les traitements liés au site, mais chaque point de collecte distinct (formulaire, contrat, application) doit comporter ses propres mentions adaptées. La CNIL exige que l'information soit délivrée au moment et à l'endroit où la collecte a lieu.
Faut-il informer les salariés de la même manière que les clients ?
Oui, les salariés sont des personnes concernées au sens du RGPD. L'employeur doit leur fournir les mêmes catégories d'informations (finalités, base légale, durée, droits). En pratique, cette information est souvent intégrée au contrat de travail, au règlement intérieur ou à une note interne dédiée.
Quelle est la différence entre consentement et obligation d'information ?
L'obligation d'information s'applique quel que soit le fondement juridique du traitement. Le consentement est l'une des 6 bases légales possibles. Même lorsque le traitement repose sur l'exécution d'un contrat ou un intérêt légitime, l'entreprise doit informer la personne de manière complète.
Comment gérer les mises à jour des mentions d'information ?
Chaque modification doit être documentée (date, contenu modifié, raison). Les personnes concernées doivent être informées de la mise à jour par un moyen adapté : notification par e-mail, bandeau sur le site, courrier. L'ancienne version doit être archivée pour assurer la traçabilité.
La CNIL contrôle-t-elle réellement les mentions d'information ?
Oui. Les mentions d'information font partie des points systématiquement vérifiés lors des contrôles sur place ou en ligne. En 2023, la CNIL a réalisé 345 contrôles, et les manquements à l'obligation de transparence figuraient parmi les infractions les plus fréquentes.
Pour aller plus loin
Conformité RGPD : comment informer les personnes et assurer la transparence - CNIL
Obligations en matière de protection des données personnelles (RGPD) - Service-Public.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
