Guides & Ressources pratiques
Ordre du jour du CSE : délai d'envoi, destinataires et règles de co-élaboration
Mentions RGPD : erreurs fréquentes et bonnes pratiques pour éviter les sanctions CNIL
Points clés de l'article
- Toute collecte de données personnelles impose une mention RGPD informant la personne concernée de manière claire, accessible et complète.
- Trois supports distincts portent ces obligations : mentions légales du site, politique de confidentialité et bandeau cookies.
- Les erreurs les plus sanctionnées par la CNIL concernent l'absence de base légale identifiée, le défaut d'information sur les droits des personnes et les bandeaux cookies non conformes.
- En 2026, les amendes CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- Structurer ses mentions suppose un audit régulier des traitements, une rédaction précise et une mise à jour à chaque évolution technique ou réglementaire.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce qu'une mention RGPD et pourquoi est-elle obligatoire ?
Mentions légales, politique de confidentialité, bandeau cookies : les trois piliers
Informations obligatoires à inclure dans chaque mention RGPD
Erreurs fréquentes qui exposent votre entreprise aux sanctions CNIL
Sanctions CNIL en 2026 : montants et cas concrets
Modèle et bonnes pratiques pour des mentions RGPD conformes
Quand faire appel à un avocat spécialisé en protection des données ?
Qu'est-ce qu'une mention RGPD et pourquoi est-elle obligatoire ?
Une mention RGPD désigne l'ensemble des informations qu'un organisme doit fournir à toute personne dont il collecte des données personnelles. Cette obligation découle des articles 13 et 14 du Règlement général sur la protection des données (UE 2016/679), applicable depuis le 25 mai 2018 dans tous les États membres de l'Union européenne.
Le principe est direct : dès qu'une entreprise recueille un nom, une adresse e-mail, une adresse IP ou toute autre donnée permettant d'identifier une personne physique, elle doit informer cette personne de la finalité du traitement, de la durée de conservation et des droits dont elle dispose. Cette information doit être délivrée au moment de la collecte, dans un langage compréhensible par un non-spécialiste.
L'obligation ne se limite pas aux sites web. Elle s'applique aux formulaires papier, aux applications mobiles, aux objets connectés et à tout dispositif collectant des données. Pour un DSI, cela signifie que chaque nouveau système d'information, chaque API tierce et chaque outil SaaS intégré au SI de l'entreprise doit être évalué sous l'angle de la conformité informationnelle.
En pratique, l'absence de mention RGPD constitue un manquement autonome, sanctionnable indépendamment de tout dommage causé aux personnes. La CNIL n'a pas besoin de prouver un préjudice pour constater l'infraction et prononcer une amende.
Mentions légales, politique de confidentialité, bandeau cookies : les trois piliers
Ces trois éléments répondent à des obligations juridiques distinctes, portées par des textes différents. Les confondre est l'une des erreurs les plus répandues.
| Support | Texte de référence | Contenu principal | Emplacement |
|---|---|---|---|
| Mentions légales | Loi pour la confiance dans l'économie numérique (LCEN, 2004) | Identité de l'éditeur, hébergeur, directeur de publication | Page dédiée accessible depuis toutes les pages du site |
| Politique de confidentialité | Articles 13 et 14 du RGPD | Finalités, bases légales, durées de conservation, droits des personnes, transferts hors UE | Page dédiée, lien dans chaque formulaire de collecte |
| Bandeau cookies | Directive ePrivacy (2002/58/CE) transposée en droit français, lignes directrices CNIL de 2020 | Information sur les traceurs, recueil du consentement avant dépôt des cookies non essentiels | Affiché dès la première visite, avant tout dépôt de traceur |
Les mentions légales ne relèvent pas du RGPD à proprement parler, mais leur absence prive l'internaute de l'identification du responsable de traitement. La politique de confidentialité constitue le cœur de l'obligation RGPD. Le bandeau cookies porte sur le consentement préalable au dépôt de traceurs, une exigence distincte mais complémentaire.
Pour le DSI, l'enjeu technique est concret : le tag management system (TMS) doit bloquer tout script de traçage tant que le consentement n'a pas été recueilli. Un bandeau purement décoratif, qui charge les cookies avant le clic de l'utilisateur, ne remplit pas l'obligation légale.
Structurer la conformité RGPD de votre SI nécessite souvent un regard juridique adapté à votre architecture technique.
Consultez un avocat spécialisé en protection des données
Informations obligatoires à inclure dans chaque mention RGPD
L'article 13 du RGPD liste précisément les informations à fournir lorsque les données sont collectées directement auprès de la personne concernée. Voici les éléments requis :
- Identité et coordonnées du responsable de traitement : raison sociale, adresse, contact.
- Coordonnées du délégué à la protection des données (DPO), s'il a été désigné.
- Finalités du traitement et base légale : chaque finalité doit être associée à l'une des 6 bases légales prévues par l'article 6 du RGPD (consentement, exécution d'un contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime).
- Destinataires ou catégories de destinataires des données.
- Transferts hors UE : pays concernés, garanties mises en place (clauses contractuelles types, décision d'adéquation).
- Durée de conservation ou critères utilisés pour la déterminer.
- Droits des personnes : accès, rectification, effacement, limitation, portabilité, opposition.
- Droit de retirer son consentement à tout moment, lorsque le traitement repose sur cette base.
- Droit d'introduire une réclamation auprès de la CNIL.
- Caractère obligatoire ou facultatif de la fourniture des données et conséquences en cas de non-fourniture.
- Existence d'une prise de décision automatisée, y compris le profilage, avec la logique sous-jacente et les conséquences pour la personne.
L'article 14 ajoute une obligation supplémentaire lorsque les données ne sont pas collectées directement auprès de la personne : l'entreprise doit indiquer la source des données et préciser si elles proviennent de sources accessibles au public.
Erreurs fréquentes qui exposent votre entreprise aux sanctions CNIL
L'analyse des mises en demeure et sanctions publiées par la CNIL permet d'identifier des schémas récurrents. Cinq erreurs concentrent la majorité des manquements constatés.
1. Base légale absente ou incorrecte. De nombreuses politiques de confidentialité mentionnent le consentement comme base légale pour tous les traitements, y compris ceux qui reposent en réalité sur l'exécution d'un contrat ou un intérêt légitime. Cette confusion fausse l'information délivrée et fragilise l'ensemble du dispositif.
2. Durées de conservation non définies. Indiquer « vos données sont conservées le temps nécessaire » ne satisfait pas l'exigence de l'article 13. La CNIL attend des durées chiffrées ou des critères objectifs, traitement par traitement.
3. Bandeau cookies non bloquant. Le simple affichage d'un bandeau informatif, sans mécanisme technique empêchant le dépôt de cookies avant le consentement, constitue un manquement. La CNIL a sanctionné plusieurs entreprises sur ce seul motif, y compris des groupes du CAC 40.
4. Politique de confidentialité obsolète. Un document rédigé en 2018 et jamais mis à jour ne reflète plus les traitements réels de l'entreprise. Chaque nouveau sous-traitant, chaque nouvel outil analytique ou chaque transfert vers un prestataire hors UE impose une actualisation.
5. Information inaccessible. Un lien vers la politique de confidentialité enfoui dans un footer en police 8 ne remplit pas le critère d'accessibilité. L'information doit être facilement identifiable au moment de la collecte.
Identifier les failles de conformité dans votre écosystème technique suppose un audit croisé juridique et IT.
Trouvez un avocat en protection des données sur Swim Legal
Sanctions CNIL en 2026 : montants et cas concrets
Le RGPD prévoit deux plafonds de sanctions administratives :
| Niveau | Plafond | Types de manquements |
|---|---|---|
| Niveau 1 | 10 millions € ou 2 % du CA annuel mondial | Obligations du responsable de traitement, du sous-traitant, du DPO, de l'organisme de certification |
| Niveau 2 | 20 millions € ou 4 % du CA annuel mondial | Principes de base du traitement, droits des personnes, transferts hors UE |
Le défaut de mention RGPD relève du niveau 2, car il porte atteinte aux droits des personnes concernées.
En France, la CNIL a prononcé en 2024 une amende de 50 millions d'euros à l'encontre d'un acteur du numérique pour défaut de transparence et de base légale valide dans le recueil du consentement aux cookies. En 2023, une société de e-commerce a été sanctionnée à hauteur de 800 000 euros pour une politique de confidentialité incomplète et des durées de conservation non conformes.
Au-delà des amendes, la CNIL peut ordonner la mise en conformité sous astreinte, limiter temporairement un traitement ou interdire une collecte. Pour un DSI, une injonction de suspension d'un traitement peut signifier l'arrêt d'un service en production, avec des conséquences opérationnelles directes.
Modèle et bonnes pratiques pour des mentions RGPD conformes
La conformité des mentions RGPD repose sur une méthodologie structurée, pas sur un copier-coller de modèle générique.
Étape 1 : cartographier les traitements
Chaque traitement de données doit être identifié dans le registre prévu à l'article 30 du RGPD. Ce registre constitue la base documentaire à partir de laquelle les mentions sont rédigées. Sans registre à jour, toute mention est nécessairement incomplète.
Étape 2 : rédiger par couches
La CNIL recommande une approche en deux niveaux :
- Niveau 1 : information synthétique au point de collecte (formulaire, bandeau cookies). Elle mentionne l'identité du responsable, la finalité principale et un lien vers la politique complète.
- Niveau 2 : politique de confidentialité détaillée, accessible en un clic, contenant l'ensemble des informations requises par l'article 13.
Étape 3 : intégrer la conformité dans le cycle de développement
Pour le DSI, chaque mise en production d'une nouvelle fonctionnalité collectant des données doit déclencher une revue des mentions. Cette vérification s'intègre dans le processus de privacy by design prévu à l'article 25 du RGPD. Concrètement, cela signifie ajouter un checkpoint conformité dans la Definition of Done de chaque sprint.
Étape 4 : planifier des audits réguliers
Un audit semestriel des mentions, croisé avec le registre des traitements et la cartographie des sous-traitants, permet de détecter les écarts avant qu'ils ne deviennent des manquements constatables.
La rédaction de mentions RGPD conformes à votre architecture SI gagne à être supervisée par un spécialiste.
Accédez à un avocat en protection des données
Quand faire appel à un avocat spécialisé en protection des données ?
Certaines situations rendent l'accompagnement juridique externe nécessaire plutôt que facultatif.
Lors d'un contrôle CNIL. La réception d'un questionnaire ou d'une convocation de la CNIL déclenche des délais de réponse courts, généralement 1 mois. La qualité de la réponse initiale conditionne souvent la suite de la procédure.
Lors d'un changement d'architecture SI. La migration vers un nouveau cloud provider, l'intégration d'un outil d'intelligence artificielle ou le recours à un sous-traitant situé hors de l'Espace économique européen modifient les flux de données et imposent une mise à jour des mentions et des garanties contractuelles.
Lors d'une violation de données. Le RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte d'une violation. La qualification juridique de l'incident, la rédaction de la notification et la communication aux personnes concernées requièrent une expertise combinée technique et juridique.
Lors de la mise en place d'un traitement à grande échelle. Les traitements portant sur des données sensibles (santé, biométrie, opinions politiques) ou impliquant un profilage systématique nécessitent une analyse d'impact (AIPD) dont la méthodologie est encadrée par les lignes directrices du Comité européen de la protection des données.
Un avocat spécialisé intervient en complément du DPO interne. Il apporte une analyse juridique indépendante, une connaissance de la doctrine CNIL et une capacité de représentation en cas de contentieux.
FAQ
Quelle est la différence entre mentions légales et mention RGPD ?
Les mentions légales, imposées par la LCEN, identifient l'éditeur du site (raison sociale, adresse, numéro RCS). La mention RGPD porte sur l'information relative aux traitements de données personnelles : finalités, bases légales, durées de conservation, droits des personnes. Les deux sont obligatoires mais répondent à des textes et des objectifs distincts.
Une mention RGPD est-elle obligatoire même sans site internet ?
Oui. L'obligation d'information s'applique à toute collecte de données personnelles, quel que soit le canal : formulaire papier, application mobile, téléphone, objet connecté. Le support change, mais l'exigence de transparence reste identique.
À quelle fréquence faut-il mettre à jour sa politique de confidentialité ?
Aucune périodicité n'est fixée par le RGPD. En revanche, toute modification des traitements (nouveau sous-traitant, nouvelle finalité, changement de durée de conservation) impose une mise à jour immédiate. Un audit semestriel permet de vérifier l'adéquation entre le registre des traitements et les mentions publiées.
Le bandeau cookies suffit-il à assurer la conformité RGPD ?
Non. Le bandeau cookies ne couvre que le consentement aux traceurs. Il ne remplace ni la politique de confidentialité ni les mentions d'information au point de collecte. De plus, le bandeau doit bloquer techniquement le dépôt de cookies non essentiels avant le consentement, ce qui nécessite une configuration spécifique du tag management system.
Quelles sont les sanctions en cas d'absence de mention RGPD ?
L'absence d'information des personnes concernées relève du niveau 2 des sanctions RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La CNIL peut également prononcer des injonctions de mise en conformité sous astreinte ou limiter temporairement un traitement.
Pour aller plus loin
Conformité RGPD : comment informer les personnes et assurer la transparence - CNIL
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles - Légifrance
Obligations en matière de protection des données personnelles (RGPD) - Service-Public
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
