Aller au contenu principal
Aller au contenu
⚖️ Reglementation10 min de lecture

Politique de confidentialité : les 12 mentions obligatoires

Article 13 du RGPD, les 12 informations requises, les lacunes constatées sur 78 % des sites PME, et une checklist pour vérifier votre conformité. Inclut les nouvelles obligations AI Act.

É

Équipe COCORRIDOR

27 mars 2026

politique de confidentialitéRGPDarticle 13mentions obligatoires

Votre politique de confidentialité est le document le plus lu de vos pages légales. C'est aussi celui que la CNIL examine en premier lors d'un contrôle. Pourtant, selon une analyse COCORRIDOR portant sur 1 200 politiques de confidentialité de PME françaises, 78 % présentent au moins 3 mentions manquantes par rapport aux exigences de l'article 13 du RGPD.

Ce guide détaille les 12 mentions obligatoires, identifie les lacunes les plus fréquentes, et propose une checklist actionnable.

L'article 13 du RGPD : le cadre

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes [...] »

Règlement (UE) 2016/679 (RGPD), Article 13, paragraphe 1

L'article 13 s'applique à toute collecte directe de données personnelles : formulaires, création de compte, newsletter, cookies, achats en ligne. L'article 14 couvre les collectes indirectes (données obtenues auprès d'un tiers). Les deux articles imposent des mentions similaires.

Les 12 mentions obligatoires

1. Identité et coordonnées du responsable de traitement

Nom de l'entreprise, forme juridique, adresse du siège social, numéro d'immatriculation (SIREN/SIRET). Contact : email ou formulaire dédié. Si vous avez un représentant dans l'UE (entreprises hors UE), ses coordonnées sont également requises.

2. Coordonnées du DPO (si désigné)

Si votre entreprise a désigné un Délégué à la Protection des Données, indiquez son email de contact. La désignation est obligatoire pour les autorités publiques, les organismes traitant des données à grande échelle, ou les traitements de données sensibles à grande échelle (article 37).

3. Finalités du traitement et base légale

Pour chaque traitement, précisez la finalité et la base légale (article 6). Les six bases légales du RGPD sont : consentement, exécution d'un contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêts légitimes. En cas d'intérêt légitime, vous devez préciser lequel.

4. Catégories de données collectées

Listez précisément les types de données : identité (nom, prénom), contact (email, téléphone), navigation (IP, cookies, user agent), transaction (coordonnées bancaires, historique). Évitez les formules floues comme "données nécessaires au service".

5. Destinataires ou catégories de destinataires

Identifiez chaque tiers ayant accès aux données : sous-traitants (hébergeur, prestataire email, solution analytics), partenaires commerciaux, autorités publiques (impôts, URSSAF). La CNIL recommande de nommer les sous-traitants principaux plutôt que de se limiter à des catégories génériques.

6. Transferts hors UE

Si des données sont transférées en dehors de l'Espace économique européen, indiquez : le pays de destination, le mécanisme de protection (DPF, SCC, règles d'entreprise contraignantes), et comment obtenir une copie des garanties. C'est l'une des mentions les plus souvent manquantes.

7. Durées de conservation

Pour chaque catégorie de données, précisez la durée de conservation ou les critères utilisés pour la déterminer. Exemples : "données clients conservées 3 ans après le dernier achat", "logs de connexion conservés 12 mois". Les mentions "aussi longtemps que nécessaire" sont insuffisantes.

8. Droits des personnes concernées

Le RGPD confère 8 droits aux personnes : accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité (art. 20), opposition (art. 21), décision automatisée (art. 22), et réclamation auprès de la CNIL. Chaque droit doit être expliqué et accompagné de la procédure d'exercice (email, formulaire).

9. Caractère obligatoire ou facultatif de la collecte

Indiquez si la fourniture des données est obligatoire (pour exécuter un contrat par exemple) ou facultative, et les conséquences en cas de non-fourniture.

10. Existence d'une prise de décision automatisée (profilage)

Si vous utilisez des algorithmes pour prendre des décisions automatisées ayant un effet significatif (scoring crédit, personnalisation de prix, tri de candidatures), vous devez informer la personne de cette logique, de sa portée et de ses conséquences (article 13§2.f).

11. Source des données (si collecte indirecte, art. 14)

Si les données ne proviennent pas directement de la personne concernée (achat de base, enrichissement tiers, données publiques), indiquez la source et précisez si elle est accessible au public.

12. Déclarations AI Act (nouveau en 2025)

Depuis l'entrée en vigueur des obligations de transparence de l'AI Act (), toute entreprise utilisant un système d'IA interagissant avec des personnes physiques doit le déclarer. Mentionnez : le fournisseur du modèle IA, la finalité, les données traitées, et le niveau de risque AI Act.

Les lacunes les plus fréquentes

Analyse COCORRIDOR sur 1 200 politiques de confidentialité de PME françaises (mars 2026) :

Lacune% de sites concernésRisque
Sous-traitants non nommés72 %CNIL exige la transparence sur les destinataires
Transferts hors UE non déclarés67 %Infraction directe article 13§1.f + article 44
Durées de conservation vagues58 %"Aussi longtemps que nécessaire" = insuffisant
Pas de mention AI Act89 %Obligation de transparence art. 50 depuis août 2025
Droits RGPD incomplets41 %Les 8 droits doivent tous être listés
Base légale non précisée35 %"Légitime" sans détailler l'intérêt = nul

Checklist de vérification rapide

Parcourez votre politique de confidentialité et vérifiez que chaque point est couvert :

  1. Identité complète du responsable de traitement (raison sociale, SIRET, adresse)
  2. Contact DPO ou référent données personnelles
  3. Chaque traitement a une finalité précise et une base légale nommée
  4. Liste exhaustive des catégories de données collectées
  5. Sous-traitants nommés avec leur localisation
  6. Transferts hors UE identifiés avec le mécanisme de protection
  7. Durées de conservation chiffrées pour chaque catégorie
  8. 8 droits RGPD expliqués avec procédure d'exercice
  9. Caractère obligatoire ou facultatif de la collecte indiqué
  10. Décisions automatisées et profilage décrits (si applicable)
  11. Sources des données précisées (si collecte indirecte)
  12. Systèmes d'IA déclarés (fournisseur, finalité, risque)

Le Legal Builder COCORRIDOR génère automatiquement une politique de confidentialité conforme incluant les 12 mentions, personnalisée à partir de vos données d'entreprise et des résultats de scan. Les sous-traitants détectés sont automatiquement intégrés.

Foire aux questions

Politique de confidentialité et mentions légales, est-ce la même chose ?

Non. Les mentions légales (loi LCEN du 21 juin 2004) identifient l'éditeur du site (raison sociale, directeur de publication, hébergeur). La politique de confidentialité (RGPD, article 13) détaille le traitement des données personnelles. Ce sont deux documents distincts, souvent confondus par les PME.

Ma politique date de 2018. Dois-je la mettre à jour ?

Oui, impérativement. Depuis 2018, le cadre a évolué : invalidation du Privacy Shield (2020), adoption du DPF (2023), entrée en vigueur de l'AI Act (2024-2025). Vos sous-traitants, vos traitements et vos flux de données ont probablement changé. Une politique non actualisée est une politique non conforme.

Puis-je utiliser un générateur gratuit trouvé en ligne ?

Les générateurs génériques produisent des textes standardisés qui ne reflètent pas vos traitements réels, vos sous-traitants, ni vos spécificités. La CNIL peut considérer qu'une politique "copier-coller" ne satisfait pas l'obligation de transparence. Utilisez un outil qui s'adapte à votre situation réelle, comme le Legal Builder qui exploite les résultats de scan pour personnaliser chaque section.

Que se passe-t-il si la CNIL constate des mentions manquantes ?

Le scénario classique : (1) la CNIL envoie un courrier de contrôle demandant l'accès à votre politique de confidentialité, (2) elle identifie les manquements, (3) elle prononce une mise en demeure avec un délai de correction (1 à 6 mois), (4) en cas de non-correction, une amende pouvant atteindre 20 millions d'euros ou 4 % du CA mondial (article 83§5). En 2025, plusieurs PME françaises ont reçu des amendes de 5 000 à 100 000 euros pour des politiques de confidentialité non conformes.

Article suivant

CMP souverain vs Google Consent Mode : comparatif 2026

À lire aussi
⚖️ Reglementation

AI Act 2026 : guide pratique de mise en conformité pour les PME

5 avr. · 13 min

⚖️ Reglementation

Chatbots et AI Act : vos obligations de transparence en 2026

2 avr. · 10 min

Retour au blog

Mesurez votre souveraineté en 30 secondes

Scannez votre site gratuitement. Identifiez chaque service extra-européen et découvrez les alternatives souveraines.

Scanner mon site