Décryptage complet des articles 13 et 14 du RGPD
Le responsable du traitement fournit à la personne concernée, au moment de la collecte, les informations suivantes :
- Identité et coordonnées du responsable du traitement.
- Coordonnées du délégué à la protection des données (le cas échéant).
- Finalités et base juridique du traitement.
- Intérêts légitimes poursuivis, si applicable.
- Destinataires ou catégories de destinataires.
- Intention de transfert vers pays tiers ou organisations internationales, et garanties associées.
Informations complémentaires à fournir :
- Durée de conservation ou critères pour la déterminer.
- Existence des droits d’accès, rectification, effacement, opposition, limitation et portabilité.
- Droit de retirer son consentement à tout moment (si applicable).
- Droit de réclamation auprès d’une autorité de contrôle.
- Caractère contractuel ou réglementaire de la fourniture de données et conséquences de la non-fourniture.
- Existence d’une prise de décision automatisée, y compris le profilage, et logique sous-jacente.
En cas de traitement ultérieur à une autre finalité, des informations sur celle-ci sont également à fournir.
Le responsable du traitement fournit à la personne concernée les informations suivantes :
- Identité et coordonnées du responsable du traitement.
- Coordonnées du DPO (le cas échéant).
- Finalités et base juridique du traitement.
- Catégories de données concernées.
- Destinataires (ou catégories de destinataires).
- Intention de transfert hors UE et garanties.
Informations complémentaires nécessaires :
- Durée de conservation ou critères utilisés.
- Intérêts légitimes, si traitement fondé sur l’article 6.1.f.
- Existence des droits d’accès, rectification, effacement, limitation, opposition, portabilité.
- Droit de retirer le consentement (si fondé sur consentement).
- Droit de réclamation auprès d’une autorité de contrôle.
- Source des données et indication de leur caractère public ou non.
- Décision automatisée et profilage, avec explication de la logique sous-jacente.
Le responsable fournit ces informations :
- Dans un délai d’un mois maximum après obtention des données.
- Au moment de la première communication, si applicable.
- Au moment du premier transfert à un destinataire.
Exemptions : lorsque la personne dispose déjà de l’information, ou que leur fourniture est impossible, compromet le traitement, ou est réglementée par le droit de l’Union ou des États membres.
📋 Êtes-vous vraiment prêts à informer vos utilisateurs ?
Cochez les éléments que vous appliquez déjà dans vos mentions d’information
Article 13 vs 14 RGPD : la différence que vous devez maîtriser
Vous traitez des données personnelles ? Alors vous êtes concerné par le droit à l’information RGPD. Et selon comment vous collectez les données, ce ne sont pas les mêmes obligations :
| 💡 Cas de figure | Article RGPD | Ce que vous devez faire |
|---|---|---|
| Vous collectez les données vous-même | Article 13 | Informer immédiatement au moment de la collecte |
| Vous obtenez les données via un tiers | Article 14 | Informer dans un délai raisonnable (max 1 mois) |
En clair : la transparence n’est pas optionnelle. C’est la base de votre conformité.
Mais au fond, c’est quoi exactement le droit à l’information ?
Le droit à l’information est l’un des piliers du RGPD. Il garantit à toute personne physique le contrôle sur ses données personnelles, en l’informant de manière claire, accessible et complète sur :
- Pourquoi ses données sont collectées,
- Qui les utilise,
- Comment elles sont traitées,
- Et quels droits elle peut exercer.
Ce droit s’exerce dès la collecte, que ce soit sur un site web, via un formulaire, un appel téléphonique, une appli mobile ou un prestataire externe.
💬 Ce n’est pas juste une obligation juridique. C’est un acte de transparence qui crée la confiance et renforce la légitimité de votre traitement.
Et pour être valable, cette information doit être :
- Facilement compréhensible,
- Accessible sans effort (pas planquée en bas de 20 pages de CGU),
- Disponible au bon moment (pas après coup).
Comment répondre à une demande d’information RGPD (DSAR) ?
Lorsqu’une personne vous demande l’accès ou des informations sur ses données, vous devez lui répondre dans un délai d’un mois. C’est ce qu’on appelle une DSAR (Data Subject Access Request). Ce droit découle directement des articles 12 à 15 du RGPD.
Étapes clés pour répondre correctement :
Vérifiez l’identité du demandeur
Une copie de pièce d’identité ou tout autre justificatif raisonnable peut être exigé.
Identifiez les données concernées
Données CRM, cookies, CV, formulaires… Faites l’inventaire dans tous vos outils (ERP, SaaS, messagerie).
Compilez les infos à fournir :
- Finalité du traitement
- Source des données (si indirecte)
- Destinataires internes ou externes
- Durée de conservation
- Droits d’opposition, de rectification, de suppression
- Existence d’un transfert hors UE
- Prise de décision automatisée s’il y a lieu
Répondez clairement, dans le bon format
PDF, email structuré ou courrier postal : l’information doit être compréhensible, accessible et gratuite.
Documentez la demande
Tenez un registre de ces demandes : date, type de droit exercé, réponse fournie, preuve d’envoi.
🛡️ Conseil : anticipez avec un modèle DSAR prêt à l’emploi, validé par votre DPO ou votre service juridique.
Bonnes pratiques RGPD
Voici comment appliquer efficacement le droit à l’information sans exploser vos ressources :
- 📍 Affichez la bonne info au bon endroit : sur vos formulaires, vos CGU, vos emails transactionnels.
- 🔁 Automatisez l’envoi de vos clauses d’information avec vos outils marketing (ex : Mailchimp, Hubspot).
- 📂 Centralisez vos traitements dans un registre RGPD à jour (simple Excel, Notion ou logiciel dédié).
- 🤝 Formez vos équipes : même un commercial ou un RH peut recevoir une DSAR. Ils doivent savoir réagir.
- 🔍 Simulez une demande RGPD : testez votre capacité à retrouver et restituer les données d’un utilisateur.
Ces pratiques sont peu coûteuses, mais démontrent votre sérieux en cas de contrôle de la CNIL.
Cas concrets : comment appliquer l’article 13 ou 14 dans la vraie vie
E-commerce B2C – collecte directe → Article 13
Vous vendez des produits en ligne. À chaque étape de collecte (commande, newsletter, compte client), vous devez afficher ou lier vers une clause d’information claire. Exemple :
« Vos données sont collectées par [Entreprise]. Elles servent à traiter votre commande, vous contacter en cas de problème, et améliorer notre service. En savoir plus sur vos droits. »
Cabinet RH – données reçues d’un partenaire → Article 14
Vous recevez des CV via un cabinet de recrutement ? Vous avez obligation d’informer le candidat, même s’il ne vous les a pas transmis directement. Délai : 1 mois maximum. Sauf exception (impossible ou disproportionné).
Astuce : préparez une fiche type d’information RGPD à envoyer automatiquement.
FAQ – Les questions fréquentes
Comment prouver que vous avez respecté le droit à l’information RGPD ?
Conservez une preuve datée de chaque diffusion d’information RGPD (logs, captures, horodatage).
Un lien dans un email ou un formulaire ne suffit pas : en cas de contrôle, vous devez prouver que la personne a effectivement eu accès aux mentions au bon moment.
Utilisez des outils comme Axeptio, Cookiebot ou HubSpot avec horodatage d’affichage.
Peut-on automatiser la gestion du droit à l’information RGPD ?
Oui, via des workflows qui déclenchent l’envoi automatique des mentions selon le canal de collecte.
Par exemple :
- Formulaire web ➝ email avec clause RGPD + lien
- Prospection B2B ➝ modèle de mail automatique intégrant l’article 14
- RH ➝ envoi de la clause dans l’accusé de réception d’une candidature indirecte
L’objectif : industrialiser la conformité sans surcharge.
L’article 14 RGPD s’applique-t-il en prospection B2B ?
Oui, totalement. Si vous collectez des emails ou données via LinkedIn, des bases publiques ou des fichiers achetés, vous devez informer chaque prospect.
Astuce : incluez votre clause RGPD dans le premier message ou dans la signature.
Une non-information rend votre prospection illicite, même en B2B.
Faut-il informer à nouveau en cas de changement de finalité ?
Oui, si vous modifiez la finalité du traitement, une nouvelle information est obligatoire avant de traiter les données.
C’est un piège fréquent : utiliser une base client pour de la prospection sans l’avoir prévu au départ est non conforme. Ajoutez une clause évolutive dès le départ (« Vos données pourront être utilisées à des fins de… ») si vous anticipez d’autres usages.
Comment auditer efficacement le respect de l’article 13 et 14 dans son entreprise ?
Créez une cartographie des points de collecte, puis vérifiez pour chacun :
- Quelle information est fournie ?
- À quel moment ?
- Par quel canal ?
- Une preuve est-elle conservée ?
Utilisez un tableau d’audit avec statut (✅ conforme / ⚠️ à corriger / ❌ manquant). Cet audit simple est redoutablement efficace pour anticiper un contrôle CNIL ou renforcer vos registres de traitements.
