Art 13 rgpd : obligations d’information du responsable du traitement

L’article 13 du RGPD n’est pas un détail technique réservé aux juristes. C’est l’une des premières obligations qui s’imposent à toute organisation qui collecte des données personnelles directement auprès d’une personne. En clair : si vous demandez un nom, une adresse e-mail, un numéro de téléphone, une pièce justificative ou toute autre donnée permettant d’identifier quelqu’un, vous devez lui dire ce que vous faites de ces informations. Pas après coup. Pas “si quelqu’un demande”. Dès la collecte.

Ce point est central, car beaucoup d’entreprises croient encore qu’un simple formulaire avec une case “j’accepte” suffit. Mauvaise lecture. Le RGPD impose une information claire, complète et accessible. Et le responsable du traitement n’a pas le luxe de l’approximation. Quand on manipule des données personnelles, le flou n’est pas une stratégie. C’est une erreur.

Ce que vise réellement l’article 13 du RGPD

L’article 13 du RGPD encadre les informations à fournir lorsque les données sont collectées directement auprès de la personne concernée. Cela vise, par exemple, un formulaire de contact, une inscription à une newsletter, la création d’un compte client, un recrutement via un site internet ou encore la souscription à un service en ligne.

Le principe est simple : la personne doit savoir qui collecte ses données, pourquoi, sur quelle base juridique, pendant combien de temps, à qui elles peuvent être transmises et quels sont ses droits. Rien de plus normal. Après tout, comment accepter qu’une entreprise collecte des données sans expliquer ce qu’elle en fait ?

L’objectif n’est pas de noyer l’utilisateur sous un pavé illisible, mais de rétablir un équilibre. Le RGPD repose sur une idée forte : la transparence. Sans transparence, pas de consentement éclairé, pas de confiance, et donc un risque juridique bien réel.

Les informations obligatoires à fournir

L’article 13 prévoit une liste précise d’informations à communiquer. Le responsable du traitement doit informer la personne concernée au minimum sur les éléments suivants :

• l’identité et les coordonnées du responsable du traitement ;
• les coordonnées du délégué à la protection des données, lorsqu’il en existe un ;
• les finalités du traitement et sa base juridique ;
• les destinataires ou catégories de destinataires des données ;
• le cas échéant, l’intention de transférer les données vers un pays hors Union européenne et les garanties associées ;
• la durée de conservation des données ou les critères utilisés pour la déterminer ;
• l’existence du droit de demander l’accès, la rectification, l’effacement, la limitation du traitement, l’opposition, ainsi que le droit à la portabilité ;
• le droit de retirer son consentement à tout moment lorsque le traitement est fondé sur celui-ci ;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• l’obligation ou non de fournir les données, ainsi que les conséquences d’un refus ;
• l’existence d’une prise de décision automatisée, y compris le profilage, si elle existe, ainsi que des informations utiles sur la logique sous-jacente et les conséquences prévues.

Dit autrement : le responsable du traitement doit jouer cartes sur table. Et pas seulement en apparence. Une politique de confidentialité “copier-coller” ou rédigée dans un jargon incompréhensible ne remplit pas l’obligation. Le RGPD exige une information compréhensible, concise, transparente, accessible et formulée en termes clairs.

Quand faut-il donner cette information ?

La réponse est nette : au moment de la collecte des données, ou avant celle-ci. Si vous remplissez un formulaire, l’information doit être disponible avant que la personne ne clique sur “envoyer”. Si la collecte se fait par téléphone, l’information doit être donnée au début de l’échange ou au plus tard au moment de la collecte. Si les données sont recueillies par un service en ligne, la notice d’information doit être accessible immédiatement.

Le piège classique ? Laisser l’utilisateur découvrir l’information dans un lien caché, tout en bas d’une page, au milieu d’une charte interminable. Juridiquement, c’est faible. En pratique, c’est souvent insuffisant. L’information doit être facilement identifiable et compréhensible. Le RGPD n’impose pas de faire du marketing, il impose d’informer. Ce n’est pas tout à fait la même chose.

Le socle juridique à ne jamais négliger

Informer ne signifie pas seulement “dire ce que l’on fait”. Il faut aussi expliquer sur quelle base juridique repose le traitement. Et c’est là que beaucoup de responsables du traitement se trompent ou simplifient à l’excès.

Les bases juridiques les plus fréquentes sont :

• le consentement ;
• l’exécution d’un contrat ;
• le respect d’une obligation légale ;
• la sauvegarde des intérêts vitaux ;
• l’exécution d’une mission d’intérêt public ;
• l’intérêt légitime.

Exemple concret : une entreprise qui collecte une adresse e-mail pour envoyer une facture n’a pas besoin du consentement. Elle traite la donnée pour exécuter le contrat ou respecter une obligation légale. En revanche, si elle utilise cette même adresse pour envoyer une newsletter commerciale, elle doit informer la personne de cette finalité distincte et, le cas échéant, obtenir son consentement.

Le détail compte. Le RGPD ne pardonne pas les mélanges hasardeux entre finalités commerciales, contractuelles et légales. Une donnée, plusieurs usages possibles, mais chaque usage doit être justifié, expliqué et encadré.

Un exemple simple pour comprendre

Prenons le cas d’un cabinet de conseil qui propose un formulaire de contact sur son site. Une personne saisit son nom, son e-mail et son numéro de téléphone pour demander un devis.

Avant l’envoi du formulaire, le cabinet doit indiquer :

• qu’il collecte ces données via son site ;
• que la finalité est le traitement de la demande de devis et la prise de contact commerciale ;
• que la base juridique est l’intérêt légitime ou les mesures précontractuelles, selon le contexte ;
• qui reçoit les données, par exemple le service commercial et l’hébergeur ;
• combien de temps elles sont conservées ;
• quelles sont les personnes à contacter pour exercer leurs droits ;
• qu’il est possible d’introduire une réclamation auprès de la CNIL.

Si, en parallèle, le cabinet ajoute l’adresse e-mail à une base de prospection, cette utilisation doit être clairement annoncée. Sinon, le traitement devient bancal. Et un traitement bancal est rarement un traitement défendable.

Les erreurs les plus fréquentes

Sur le terrain, les manquements sont souvent les mêmes. Pas besoin d’une grande enquête pour les repérer.

• une information trop vague sur les finalités ;
• l’absence de mention de la base juridique ;
• une politique de confidentialité trop longue, trop technique ou introuvable ;
• l’oubli de préciser la durée de conservation ;
• l’absence d’information sur les destinataires ;
• des mentions contradictoires entre le formulaire, les CGU et la politique de confidentialité ;
• un consentement demandé alors qu’il n’est pas nécessaire, ou l’inverse ;
• l’oubli des droits de la personne concernée ;
• l’absence d’information sur les transferts hors UE.

Un autre écueil classique consiste à penser que l’on est protégé parce qu’un bandeau cookie ou une charte figure quelque part sur le site. Non. L’obligation d’information doit être pensée pour l’utilisateur, pas pour rassurer le service juridique.

Pourquoi cette obligation est stratégique pour le responsable du traitement

L’article 13 n’est pas seulement une formalité administrative. C’est une ligne de défense. En cas de contrôle de la CNIL, de litige avec un client ou d’audit interne, la qualité de l’information fournie devient un marqueur sérieux de conformité.

Pourquoi ? Parce qu’une information claire permet de démontrer que la personne concernée a été mise en mesure de comprendre le traitement. Cela joue sur plusieurs tableaux : transparence, loyauté, sécurité juridique, preuve du respect des obligations.

À l’inverse, une information défaillante fragilise tout le dispositif. Si la finalité n’a pas été clairement annoncée, le traitement peut être contesté. Si la durée de conservation est absente, l’organisation s’expose à une critique sur la proportionnalité. Si les droits ne sont pas rappelés, la personne n’est pas pleinement informée de ses possibilités d’action.

Autrement dit, l’article 13 est une brique de conformité, mais aussi un outil de prévention du risque contentieux. Et dans un environnement où la preuve compte autant que l’intention, c’est loin d’être secondaire.

Comment mettre en conformité ses mentions d’information

Pour respecter l’article 13, mieux vaut procéder méthodiquement. Voici une approche simple et efficace :

• cartographier les formulaires et points de collecte de données ;
• identifier pour chacun la finalité exacte du traitement ;
• déterminer la base juridique adaptée ;
• recenser les destinataires et sous-traitants ;
• fixer une durée de conservation réaliste et documentée ;
• rédiger une notice claire, courte et lisible ;
• faire apparaître l’information au bon moment, pas dans un recoin du site ;
• vérifier l’alignement entre la pratique réelle et ce qui est écrit ;
• mettre à jour les mentions dès qu’un traitement évolue.

Un point mérite d’être souligné : l’information ne vaut que si elle correspond à la réalité. Dire qu’une donnée est conservée 12 mois alors qu’elle dort pendant 5 ans dans un outil marketing n’est pas une “erreur de forme”. C’est un problème de fond.

Cas particulier : les données collectées indirectement

L’article 13 concerne la collecte directe. Si les données ne sont pas collectées auprès de la personne elle-même, c’est l’article 14 qui prend le relais. Mais le réflexe reste le même : transparence, clarté, information utile.

Pourquoi cette distinction est-elle importante ? Parce que certaines organisations pensent être dispensées d’informer lorsqu’elles obtiennent des données via un partenaire, un fichier tiers ou une source publique. C’est faux. Le régime change, mais l’obligation d’information demeure. Et dans certains cas, elle devient encore plus exigeante.

À retenir pour éviter les faux pas

Le responsable du traitement doit fournir une information complète, lisible et accessible dès la collecte des données. L’article 13 du RGPD impose une transparence réelle, pas une vitrine juridique décorative.

Si vous gérez un site, un formulaire, une base clients ou une activité de prospection, posez-vous les bonnes questions : que collectez-vous, pourquoi, sur quelle base, pour combien de temps, et qui peut en disposer ? Si vous n’avez pas de réponse nette à chacune de ces questions, vos mentions d’information sont probablement à revoir.

Le plus sûr est de partir du terrain, pas des modèles génériques. Un traitement mal décrit reste un traitement vulnérable. À l’inverse, une information propre, précise et bien positionnée est souvent la première preuve d’une conformité sérieuse.

En matière de RGPD, la transparence n’est pas un supplément de politesse. C’est une obligation. Et comme souvent en droit, mieux vaut l’appliquer correctement dès le départ que devoir expliquer ensuite pourquoi personne n’avait vraiment compris ce qui était fait de ses données.