Droit à l'information : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le droit à l'information désigne, au sens du RGPD, la prérogative reconnue à toute personne concernée de recevoir du responsable de traitement des informations claires, complètes et accessibles sur les conditions du traitement de ses données personnelles.

Le droit à l'information désigne, au sens du RGPD, la prérogative reconnue à toute personne concernée de recevoir du responsable de traitement des informations claires, complètes et accessibles sur les conditions du traitement de ses données personnelles. Les articles 13 et 14 du Règlement (UE) 2016/679 organisent ce droit, qui constitue la matérialisation principale du principe de transparence posé à l'article 5 paragraphe 1 a) du règlement.

L'enjeu pratique du droit à l'information est central dans le dispositif RGPD. Sans information préalable, la personne concernée ne peut ni comprendre le traitement, ni exercer ses autres droits (accès, rectification, effacement, opposition, portabilité), ni évaluer la conformité du responsable. Le défaut d'information caractérisé expose à des sanctions au titre de l'article 83 paragraphe 5 du RGPD, dont le plafond atteint 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Le RGPD distingue deux régimes d'information selon l'origine de la collecte : l'article 13 s'applique lorsque les données sont collectées directement auprès de la personne concernée (formulaires en ligne, contrats, candidatures), tandis que l'article 14 s'applique lorsque les données sont collectées indirectement (auprès d'un tiers, par scraping de données publiques, par enrichissement de bases). Les deux régimes partagent des mentions communes mais comportent des particularités propres.

Vous souhaitez sécuriser vos mentions d'information RGPD ? Le Cabinet Aurore Bonavia rédige les mentions d'information conformes aux articles 13 et 14 du RGPD. → Voir l'accompagnement en droit du numérique

Les mentions obligatoires de l'article 13

L'article 13 paragraphe 1 du RGPD énumère les mentions obligatoires en cas de collecte directe :

  • l'identité et les coordonnées du responsable de traitement et, le cas échéant, du représentant ;
  • les coordonnées du DPO lorsqu'il est désigné ;
  • les finalités du traitement et la base légale sur laquelle il repose ;
  • les intérêts légitimes poursuivis lorsque la base légale est l'article 6 paragraphe 1 f) ;
  • les destinataires ou catégories de destinataires des données ;
  • les transferts vers des pays tiers ou organisations internationales et les garanties appropriées mises en place.

L'article 13 paragraphe 2 ajoute plusieurs mentions complémentaires nécessaires pour assurer un traitement loyal et transparent :

  • la durée de conservation des données ou les critères utilisés pour la déterminer ;
  • les droits de la personne concernée (accès, rectification, effacement, limitation, portabilité, opposition) ;
  • le droit de retirer le consentement lorsque le traitement est fondé sur le consentement ;
  • le droit de réclamation auprès de l'autorité de contrôle (CNIL en France) ;
  • l'indication du caractère obligatoire ou facultatif de la fourniture des données et des conséquences de la non-fourniture ;
  • l'existence d'une prise de décision automatisée, y compris un profilage, et des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues du traitement.

L'article 13 paragraphe 3 prévoit en outre que le responsable de traitement doit fournir des informations sur toute finalité ultérieure du traitement avant ce traitement, dans des conditions analogues à celles de la collecte initiale.

Les particularités de l'article 14

L'article 14 du RGPD adapte le régime d'information aux hypothèses de collecte indirecte. Les mentions à fournir sont en grande partie identiques à celles de l'article 13, avec deux ajouts significatifs :

  • les catégories de données concernées par le traitement, qui doivent être communiquées explicitement à la personne concernée puisqu'elle ne les a pas elle-même fournies ;
  • la source d'où proviennent les données, en précisant si elle est publique ou non ; cette mention permet à la personne concernée de remonter aux opérateurs ayant collecté ses données initialement.

L'article 14 paragraphe 3 fixe les délais de communication des informations :

  • dans un délai raisonnable, mais au plus tard d'un mois après l'obtention des données ;
  • au plus tard lors de la première communication avec la personne concernée si les données sont utilisées pour communiquer avec elle ;
  • au plus tard lors de la première communication des données à un autre destinataire.

L'article 14 paragraphe 5 organise plusieurs exceptions à l'obligation d'information :

  • la personne concernée dispose déjà des informations ;
  • la fourniture des informations se révèle impossible ou exigerait des efforts disproportionnés (notamment pour les traitements à des fins archivistiques, de recherche scientifique ou statistique) ;
  • l'obtention ou la communication est expressément prévue par le droit de l'Union ou de l'État membre ;
  • les données doivent rester confidentielles en vertu d'une obligation de secret professionnel.

Les exigences de qualité de l'information

L'article 12 paragraphe 1 du RGPD impose au responsable de traitement de fournir l'information dans une forme concise, transparente, compréhensible et aisément accessible :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. »

Cette exigence de qualité impose plusieurs aménagements rédactionnels :

  • l'utilisation de termes courants plutôt que d'expressions juridiques techniques inaccessibles ;
  • l'organisation logique de l'information par sections clairement identifiées ;
  • la hiérarchisation des informations selon leur importance pour la personne concernée ;
  • l'utilisation de techniques visuelles facilitant la compréhension (tableaux récapitulatifs, icônes, mise en évidence des points essentiels) ;
  • la traduction dans la langue de la personne concernée lorsque le service vise un public international ;
  • l'adaptation aux mineurs avec des formulations spécifiquement compréhensibles pour cette population.

L'EDPB a précisé dans ses Lignes directrices WP260 sur la transparence que les responsables de traitement doivent éviter le jargon juridique excessif, les formulations vagues et les généralisations abstraites. La pratique recommande des politiques en couches (layered notices) qui présentent en premier niveau les informations essentielles et renvoient à des sections détaillées pour les informations complémentaires.

Les modalités pratiques de délivrance

La délivrance de l'information peut s'effectuer par plusieurs canaux, selon le contexte de la collecte :

  • la mention dans les formulaires de collecte directe (en ligne ou papier), avec lien vers la politique de confidentialité complète ;
  • la politique de confidentialité accessible depuis le pied de page des sites web et des applications mobiles ;
  • la bannière d'information lors de la première visite d'un site, particulièrement pour les cookies et le ciblage publicitaire ;
  • l'email d'information envoyé à la personne concernée lors de la collecte indirecte ;
  • le courrier postal dans certains contextes (relation commerciale longue, secteurs réglementés) ;
  • les mentions dans les contrats signés avec les personnes concernées (contrats de travail, contrats commerciaux, conditions générales) ;
  • les affichages physiques dans les locaux soumis à vidéosurveillance ou autres dispositifs de captation.

L'accessibilité de l'information suppose plusieurs aménagements complémentaires :

  • la présence permanente d'un lien vers la politique de confidentialité dans tous les supports de communication ;
  • la mise à jour régulière des informations en cas d'évolution du traitement ;
  • la conservation des versions antérieures pour permettre la traçabilité des évolutions ;
  • la disponibilité dans plusieurs formats (HTML accessible, PDF imprimable, version texte pour les lecteurs d'écran).

Spécificité juridique sur les sanctions et les contrôles CNIL

Plusieurs sanctions emblématiques de la CNIL ont concerné la qualité de l'information délivrée :

  • la sanction du 21 janvier 2019 contre Google (50 millions d'euros) a notamment retenu un défaut de transparence sur les finalités et les bases légales du traitement publicitaire, ainsi que sur la portée du consentement recueilli ;
  • la sanction du 31 décembre 2021 contre Facebook Ireland (60 millions d'euros) a sanctionné le défaut de mise en place de mécanismes simples permettant le refus des cookies, qui s'apparente à un défaut d'information effective ;
  • la sanction du 27 décembre 2023 contre Yahoo (10 millions d'euros) a sanctionné le défaut de prise en compte du retrait du consentement aux cookies et l'information défaillante sur les conditions du retrait.

L'arrêt CJUE Bundesverband der Verbraucherzentralen und Verbraucherverbände du 28 mai 2020 (C-61/19) a précisé que les associations de consommateurs disposent d'un droit d'action en cessation contre les politiques de confidentialité non conformes, en complément de l'action des autorités de contrôle. Cette voie procédurale renforce l'exposition juridique des responsables de traitement défaillants.

L'article 79 du RGPD ouvre par ailleurs un recours juridictionnel direct au profit de la personne concernée victime d'un défaut d'information. Le tribunal judiciaire saisi peut prononcer des injonctions sous astreinte et accorder des dommages-intérêts au titre de l'article 82 du RGPD, dont le montant n'est pas plafonné par le règlement et relève de l'évaluation souveraine du juge.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de droit à l'information

  • la rédaction des mentions d'information conformes aux articles 13 et 14 du RGPD ;
  • la rédaction des politiques de confidentialité accessibles et compréhensibles ;
  • la rédaction de politiques en couches (layered notices) facilitant la compréhension ;
  • la rédaction de notices spécifiques pour les traitements particuliers (fidélité, candidatures, santé) ;
  • la mise en place des procédures de mise à jour et d'information des personnes concernées ;
  • la défense face aux contrôles CNIL portant sur la qualité de l'information ;
  • la défense face aux actions des associations de consommateurs en cessation ;
  • les actions civiles fondées sur l'article 82 du RGPD pour défaut d'information caractérisé ;
  • la formation des équipes opérationnelles à la rédaction et à l'utilisation des mentions d'information.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 5, art. 12, art. 13, art. 14, art. 79, art. 82, art. 83, EDPB Lignes directrices WP260 sur la transparence, jurisprudence CJUE 28 mai 2020 (Bundesverband der Verbraucherzentralen C-61/19), sanctions CNIL Google 21 janvier 2019, Facebook Ireland 31 décembre 2021, Yahoo 27 décembre 2023. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.