Information des personnes et RGPD : obligations, contenus et bonnes pratiques en 2026
Sommaire
- Pourquoi l'obligation d'information des personnes est-elle fondamentale ?
- Que contient l'obligation d'information RGPD ? Les mentions obligatoires
- Où délivrer l'information des personnes ? Les supports adaptés
- Comment délivrer l'information RGPD ? Forme et modalités
- Quand délivrer l'information des personnes ? Les délais à respecter
- Exceptions à l'obligation d'information RGPD
- Collecte indirecte et partage de données : les points de vigilance
- Les pratiques sanctionnées : ce qu'il faut éviter
- Checklist : auditer votre obligation d'information des personnes
- En résumé : que retenir sur l'information des personnes RGPD
Pourquoi l'obligation d'information des personnes est-elle fondamentale ?
L'obligation d'information des personnes est posée à l'article 5 du RGPD comme l'une des expressions du principe de licéité, de loyauté et de transparence. Concrètement, elle impose à tout organisme collectant ou traitant des données personnelles de délivrer aux personnes concernées une information claire, accessible et complète sur les conditions de ce traitement.
Le Comité européen de la protection des données (CEPD) a rappelé, dans sa décision du 28 juillet 2021 concernant WhatsApp, que « les personnes concernées doivent être en mesure de déterminer à l'avance ce que l'étendue et les conséquences du traitement impliquent et ne doivent pas être prises par surprise ». Cette formulation résume l'esprit de l'obligation : elle vise à garantir que le consentement ou l'acceptation du traitement est véritablement éclairée.
C'est dans ce contexte que la CNIL a inscrit la transparence et l'information des personnes parmi ses axes prioritaires de contrôle en 2026. Les organismes — entreprises, associations, administrations — ont donc tout intérêt à procéder à un audit de leur dispositif d'information.
Que contient l'obligation d'information RGPD ? Les mentions obligatoires
Les articles 13 et 14 du RGPD dressent une liste précise des informations à délivrer, selon que les données sont collectées directement auprès de la personne (article 13) ou obtenues par voie indirecte (article 14). La notice d'information RGPD doit reprendre l'ensemble de ces éléments.
Les informations obligatoires dans tous les cas
Quelle que soit la source de collecte, l'obligation d'information RGPD impose de communiquer :
- l'identité et les coordonnées du responsable du traitement (et du DPO, s'il est désigné),
- les finalités du traitement et la base légale retenue,
- les destinataires ou catégories de destinataires des données personnelles,
- les éventuels transferts hors Union européenne et les garanties associées,
- la durée de conservation des données (ou les critères permettant de la déterminer),
- l'existence des droits des personnes concernées et les modalités pour les exercer (accès, rectification, effacement, limitation, portabilité, opposition),
- le droit d'introduire une réclamation auprès de la CNIL.
Des informations complémentaires s'ajoutent selon la situation :
- lorsque le traitement repose sur l'intérêt légitime : la mention de cet intérêt légitime,
- lorsque le traitement repose sur le consentement : le droit de retirer ce consentement à tout moment,
- en cas de prise de décision automatisée ou de profilage : la logique sous-jacente et les conséquences prévisibles.
CJUE, 1er oct. 2019, Planet49, C-673/17 — sur le contenu de l'information La Cour précise que pour les cookies, l'information doit inclure la durée de fonctionnement et la possibilité pour des tiers d'y accéder. Elle rappelle que la liste de l'article 13 n'est pas exhaustive : toute information nécessaire pour assurer un traitement loyal des données doit être communiquée. |
Les informations supplémentaires en cas de collecte indirecte
Lorsque les données n'ont pas été collectées directement auprès de la personne — achat de fichiers, données issues de partenaires, réseaux sociaux — l'article 14 du RGPD impose également d'indiquer la source des données personnelles. Cette exigence a donné lieu à plusieurs sanctions.
CNIL, SAN-2022-021, 24 nov. 2022 — source des données insuffisamment précise La simple mention que les données ont été collectées auprès d'un « organisme spécialisé dans l'enrichissement de données » est insuffisante. L'information sur la source doit être assez précise pour permettre à la personne d'exercer ses droits auprès du collecteur initial. |
Précisions jurisprudentielles sur la qualité de l'information
Au-delà de la liste formelle, la jurisprudence a précisé plusieurs exigences qualitatives.
- Langue : une politique de confidentialité disponible uniquement en anglais pour un public francophone ne satisfait pas aux exigences de transparence de l'article 12 RGPD (CNIL, SAN-2023-023, 29 déc. 2023).
- Intérêt légitime : la CJUE a rappelé que lorsque le traitement est fondé sur l'intérêt légitime, cet intérêt doit avoir été indiqué aux personnes lors de la collecte des données (CJUE, 9 jan. 2025, Mousse, C-394/23).
- Traitements algorithmiques : le Conseil constitutionnel a imposé la publication des critères d'examen des candidatures Parcoursup et la mention des traitements algorithmiques utilisés (CC, 2020-834 QPC, 3 avr. 2020).
Où délivrer l'information des personnes ? Les supports adaptés
L'article 12 du RGPD exige que l'information soit communiquée de manière concise, transparente, compréhensible et aisément accessible. La jurisprudence a précisé ce que ces termes signifient concrètement.
Les modalités insuffisantes selon la CNIL
CNIL, MED-2021-131, 1er déc. 2021 — liens dans le footer insuffisants L'information aux personnes concernées accessible uniquement via des liens « Conditions générales » ou « Mentions légales » insérés au pied d'un formulaire de collecte ne répond pas aux exigences de transparence et d'accessibilité du RGPD. Il ne suffit pas que l'information existe quelque part sur le site : elle doit être réellement visible et accessible. |
Une politique de confidentialité noyée dans les conditions générales d'utilisation, ou accessible uniquement depuis une page de second niveau, ne remplit pas non plus ces critères. Sur la vidéoprotection, la CNIL a précisé que si le responsable doit signaler l'existence du dispositif, il n'est pas tenu de communiquer l'emplacement exact de chaque caméra (CNIL, 29 mai 2024).
Les bons supports selon le contexte de collecte
Le choix du support doit être adapté au point de collecte des données. Voici les principaux contextes :
Contexte | Support recommandé |
Formulaire en ligne | Notice d'information distincte, directement visible avant ou pendant le remplissage — pas uniquement dans les CGU |
Collecte en point de vente / accueil physique | Affichette, encart sur le bon de commande, ou document remis à la signature |
Relation contractuelle (devis, contrat) | Clause dédiée dans le document, distincte et lisible — pas noyée dans les conditions générales |
Prospection téléphonique | Information au plus tard lors du premier appel, avec renvoi vers une source complète (site web, e-mail) |
Collecte indirecte (partenaires, données publiques) | Contact individuel (e-mail, courrier) dans le délai d'un mois suivant la collecte |
Vidéoprotection | Affichette signalant la présence de caméras, visible depuis les zones surveillées |
Site web / application mobile | Politique de confidentialité accessible depuis toutes les pages, lien visible et explicite |
Comment délivrer l'information RGPD ? Forme et modalités
L'approche en couches (layered approach)
Face à la densité des informations requises par le RGPD, les lignes directrices du CEPD recommandent une approche en couches successives. Il s'agit de distinguer les informations essentielles (premier niveau, immédiatement visible) des informations détaillées (second niveau, accessibles sur demande ou via un lien).
- Première couche : identité du responsable, finalités principales, base légale, droits principaux et lien vers la politique complète.
- Deuxième couche : politique de confidentialité complète reprenant l'ensemble des mentions obligatoires des articles 13 et 14 RGPD.
Cette approche est particulièrement adaptée aux interfaces numériques, formulaires en ligne et applications mobiles. Elle permet de ne pas submerger l'utilisateur tout en respectant les exigences de complétude de l'obligation d'information des personnes.
Clarté, langue et intelligibilité
L'article 12 du RGPD exige que la notice d'information soit rédigée « en des termes clairs et simples ». Cette exigence est concrète : le langage doit être accessible à la personne concernée, non rédigé dans un style exclusivement juridique.
CE, 5 fév. 2020, Unicef France, n°428478 — exigence de clarté et de langue Le Conseil d'État a validé un dispositif prévoyant une information via un formulaire dédié rédigé dans une langue comprise par la personne, ou sous forme orale à défaut. La clarté de l'information doit être appréciée concrètement, en tenant compte des caractéristiques du public visé, conformément à l'article 12 RGPD. |
Information lors de contacts téléphoniques
La prospection téléphonique soulève des questions spécifiques. La CNIL a précisé qu'en cas d'échanges téléphoniques, l'information peut se limiter aux éléments essentiels — à condition de mentionner un moyen d'obtenir l'information complète sur le traitement des données.
CNIL, SAN-2023-015, 12 oct. 2023 — information téléphonique et fusion des obligations L'obligation d'information au titre de l'article 14 (collecte indirecte) et l'information relative à l'enregistrement de la conversation (article 13) peuvent être fusionnées lors d'un appel téléphonique, sous réserve de renvoyer vers une source complète. |
Quand délivrer l'information des personnes ? Les délais à respecter
Collecte directe : avant ou lors de la collecte
En cas de collecte directe, l'information des personnes concernées doit être délivrée au moment où les données sont recueillies (article 13 RGPD). Elle doit donc précéder ou accompagner le remplissage du formulaire, la signature du contrat ou l'enregistrement des données.
Collecte indirecte : dans le délai d'un mois
Lorsque les données n'ont pas été collectées directement, l'article 14 RGPD impose d'informer la personne au plus tard dans un délai d'un mois suivant l'obtention des données, ou lors du premier contact si les données sont utilisées pour communiquer avec elle.
Ce délai est souvent méconnu dans les pratiques de prospection commerciale impliquant l'achat de fichiers tiers. Or, la jurisprudence est sans ambiguïté.
CNIL, SAN-2023-015, 12 oct. 2023 — délai d'information en cas de collecte indirecte Lorsqu'un prospecteur récupère un numéro de téléphone auprès d'un tiers à des fins de démarchage, il doit informer la personne du traitement de ses données au plus tard lors du premier appel. Ce délai est une exigence minimale. |
Mise à jour de la politique de confidentialité
L'obligation d'information n'est pas figée dans le temps. Toute modification significative du traitement — nouvelles finalités, nouveau sous-traitant, transfert hors UE, changement de durée de conservation — impose de mettre à jour la politique de confidentialité et d'en informer les personnes concernées, avant que les nouvelles pratiques ne soient mises en œuvre.
Exceptions à l'obligation d'information RGPD
L'exception des efforts disproportionnés (article 14 §5 b)
L'article 14 §5 b) du RGPD permet, en cas de collecte indirecte de données, de ne pas informer individuellement les personnes lorsque cela exigerait des efforts disproportionnés. Mais cette exception est interprétée strictement.
CNIL, MED-2024-107, 24 juil. 2024 — pas d'effort disproportionné si les e-mails sont disponibles Dès lors qu'une information individuelle peut être effectuée par envoi automatisé de courriels aux adresses présentes dans la base de données, l'effort requis n'est pas « disproportionné », quand bien même les risques liés au traitement seraient faibles. L'existence d'adresses électroniques dans la base supprime le bénéfice de l'exception. |
Pour apprécier le caractère proportionné des efforts, la CNIL prend en compte les ressources du responsable, les moyens dont il dispose pour informer les personnes, le volume de données et les risques d'atteinte à la vie privée. Plus les risques sont élevés, plus l'effort d'information doit être substantiel.
L'exception liée aux données générées par le responsable (article 14 §5 c)
CJUE, 28 nov. 2024, Másdi, C-169/23 — portée de l'exception L'exception prévue par l'article 14 §5 c) couvre indistinctement toutes les données non collectées directement auprès de la personne, qu'elles proviennent d'un tiers ou qu'elles aient été générées par le responsable lui-même dans le cadre de ses missions. Cette interprétation large doit toutefois être maniée avec précaution. |
Les limitations prévues par l'article 23 RGPD
Les États membres peuvent, par voie de mesures législatives, limiter l'obligation d'information lorsque cela est nécessaire pour des objectifs d'intérêt public (sécurité nationale, prévention des infractions, intérêts fiscaux, etc.). Ces limitations sont strictement encadrées et ne peuvent vider l'obligation de sa substance.
Cass. com., 1er juin 2023, n°21-18.558 — administration fiscale et exception à l'information L'administration fiscale peut ne pas informer la personne concernée des traitements mis en œuvre dans le cadre d'investigations si cette information est susceptible de compromettre les objectifs du traitement (art. 14 §5) ou si les conditions de l'article 23 sont réunies. |
Collecte indirecte et partage de données : les points de vigilance
Les traitements impliquant des données collectées indirectement — achat de fichiers, partenariats commerciaux, données issues de réseaux sociaux — représentent un terrain particulièrement exposé aux manquements à l'obligation d'information des personnes.
CJUE, 1er oct. 2015, Bara, C-201/14 — transfert entre administrations sans information Le transfert de données fiscales entre administrations, sans que les personnes aient été informées, est contraire aux exigences d'information des directives européennes. L'obligation d'information s'impose même entre administrations publiques. |
CE, 12 mars 2014, Pages Jaunes, n°353193 — collecte sur réseaux sociaux sans information individuelle La collecte de données issues de réseaux sociaux pour alimenter un service d'annuaires, sans information individuelle des 25 millions de personnes concernées, est illicite. La mention dans la politique de confidentialité d'un réseau social ne suffit pas à valablement informer les personnes. |
En cas de responsabilité conjointe (article 26 RGPD), chaque co-responsable doit s'assurer que les personnes sont bien informées des traitements dont il détermine les finalités, même lorsqu'un autre co-responsable assure la collecte effective.
CJUE, 29 juil. 2019, Fashion ID, C-40/17 — obligation d'information du gestionnaire de site web Le gestionnaire d'un site intégrant le bouton « J'aime » de Facebook est co-responsable du traitement et doit informer ses visiteurs des opérations de traitement dont il détermine les finalités, même si Facebook assure la collecte effective des données. |
Les pratiques sanctionnées : ce qu'il faut éviter
À la lumière de la jurisprudence CNIL et européenne, voici les manquements à l'obligation d'information les plus fréquemment relevés :
Pratique sanctionnée | Référence |
Politique de confidentialité uniquement en anglais pour un public francophone | CNIL, SAN-2023-023 |
Information accessible uniquement via les CGU ou les mentions légales, sans lien distinct | CNIL, MED-2021-131 |
Source des données insuffisamment précise (« organisme spécialisé ») | CNIL, SAN-2022-021 |
Absence d'information individuelle alors que les adresses e-mail sont disponibles | CNIL, MED-2024-107 |
Non-information lors d'un premier appel téléphonique de prospection | CNIL, SAN-2023-015 |
Intérêt légitime non mentionné lors de la collecte des données | CJUE, Mousse, C-394/23 |
Transfert de données entre administrations sans information préalable | CJUE, Bara, C-201/14 |
Usage d'un symbole dont la signification est détournée, sans information spécifique | CNIL, SAN-2022-020 |
Checklist : auditer votre obligation d'information des personnes
Avant un contrôle CNIL, voici les points à vérifier dans votre dispositif d'information RGPD :
Sur le contenu des informations
- Toutes les mentions obligatoires des articles 13 et 14 RGPD sont-elles présentes dans votre notice d'information ?
- La durée de conservation des données personnelles est-elle précisée (ou les critères permettant de la déterminer) ?
- Les destinataires et sous-traitants sont-ils mentionnés (au moins par catégorie) ?
- La base légale est-elle identifiée pour chaque finalité ? L'intérêt légitime est-il explicité ?
- Les droits des personnes concernées et les modalités d'exercice sont-ils clairement indiqués ?
Sur la forme et la lisibilité
- L'information est-elle rédigée dans la langue du public cible ?
- Est-elle compréhensible par un non-juriste ?
- Distingue-t-elle une couche synthétique (informations clés) et une couche détaillée (politique de confidentialité complète) ?
Sur le support et l'accessibilité
- La politique de confidentialité est-elle accessible depuis toutes les pages du site et tous les points de collecte ?
- L'information est-elle distincte des CGU et des mentions légales ?
- Pour les formulaires en ligne : l'information est-elle visible avant la soumission, pas uniquement dans le footer ?
- Pour la collecte indirecte : une procédure d'information individuelle est-elle en place dans le délai d'un mois ?
Sur le moment et la mise à jour
- L'information est-elle délivrée avant ou lors de la collecte (collecte directe) ?
- En cas de collecte indirecte, le délai d'un mois est-il respecté ?
- La politique de confidentialité est-elle mise à jour à chaque changement significatif, avec notification aux personnes concernées ?
En résumé : que retenir sur l'information des personnes RGPD
L'information des personnes RGPD est bien davantage qu'une case à cocher dans un registre de conformité. Elle constitue la condition première de la confiance et de la légitimité des traitements de données personnelles. La CNIL, en faisant de cette thématique une priorité de contrôle pour 2026, envoie un signal clair : les organismes qui n'auront pas sérieusement révisé leur dispositif s'exposent à des sanctions.
La jurisprudence — nationale et européenne — a progressivement précisé les exigences : information individuelle en cas de collecte indirecte, accessibilité réelle et non purement formelle, lisibilité dans la langue du public, précision sur l'origine des données et les intérêts légitimes poursuivis. Ces standards sont désormais bien établis — il reste à les appliquer.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
Articles et actualités RGPD
Droit à l’effacement et modèles de langage (LLM) : quelles obligations réelles pour les acteurs de l’IA ?
Peut-on réellement effacer des données personnelles d’un modèle de langage (LLM) ? Analyse juridique du droit à l’effacement à l’épreuve de l’intelligence artificielle et du RGPD.En savoir plus
Information des personnes et RGPD : obligations, contenus et bonnes pratiques en 2026
L'information des personnes est une priorité de contrôle CNIL pour 2026. Contenu obligatoire, supports, délais, exceptions : découvrez ce que les articles 13 et 14 du RGPD imposent concrètement, et ce que la jurisprudence a déjà sanctionné.En savoir plus
La gestion des accès aux données : un enjeu central de sécurité et de conformité RGPD
Gestion des identités et des accès (IAM) : obligations RGPD, sécurité des données, risques et bonnes pratiques pour maîtriser les accès en entreprise.En savoir plus
Vidéoprotection : la captation sonore est-elle autorisée ?
Peut-on enregistrer le son avec une caméra de vidéoprotection ? Interdiction, exceptions, obligations et points de conformité : le cadre légal expliqué clairement.En savoir plus
