Écrit le 07/08/2025
Lecture : 7 minutes
Le règlement général de protection des données (RGPD) oblige les entreprises qui utilisent les données personnelles des internautes à leur fournir un certain nombre d'informations. Quelles sont-elles ? Dans quelles situations devez-vous les informer ? Le tour de la question.
Données personnelles : de quoi parle-t-on ?
Une donnée à caractère personnel (ou « donnée personnelle ») est décrite par la Commission nationale de l’informatique et des libertés (CNIL) comme toute information se rapportant à une personne physique identifiée ou identifiable. Il existe deux types d’identification :
- l'identification directe (nom et prénom),
- l'identification indirecte (identifiant, numéro de téléphone, adresse courriel et postale, numéro client, donnée de localisation, etc.).
Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL fournit quelques exemples :
- tenue d’un fichier de ses clients,
- collecte de coordonnées de prospects via un questionnaire,
- mise à jour d’un fichier de fournisseurs.
Le RGPD, qu’est-ce que c’est ?
La protection des données personnelles a été renforcée dans le cadre du règlement général de protection des données (RGPD), entré en application le 25 mai 2018.
Ce texte réglementaire encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne (UE). Il cherche à garantir aux citoyens le contrôle de leurs informations personnelles et s’applique à toute organisation, publique ou privée, traitant des données personnelles de résidents européens, même si celle-ci est située en dehors de l’UE.
Utilisation de données personnelles : dans quelles situations informer l’internaute ?
D'après le RGPD, il existe deux situations dans lesquelles l’information de l’internaute est obligatoire :
- en cas de collecte directe des données de l’internaute, que ce soit de façon active (via le remplissage d’un formulaire lors d’un achat en ligne, de la souscription d’un contrat, de l’ouverture d’un compte bancaire…) ou au travers de l’observation de son activité (via des outils d’analyse de sa navigation, de géolocalisation, de mesure d’audience…),
- en cas de collecte indirecte des données de l’internaute : données récupérées auprès de partenaires commerciaux par exemple.
Utilisation de données personnelles : à quels moments informer l'internaute ?
Le RGPD indique trois moments où vous devez informer l'internaute :
- au moment de la collecte de ses données personnelles dans le cas d’une collecte directe ou dès que possible dans le cas d’une collecte indirecte de données (lors du premier contact par exemple),
- au moment de l’utilisation de ses données en cas de modification de leur utilisation,
- enfin, dans un souci de transparence, vous devez informer régulièrement l’internaute de l’utilisation de ses données personnelles.
Utilisation de données personnelles : quelles informations donner à l’internaute ?
Le RGPD précise les informations que vous devez rendre disponibles. Ainsi, si un internaute vous en fait la demande, vous avez l’obligation de donner accès aux informations suivantes :
- identité et coordonnées de l’organisme responsable du traitement de données (coordonnées du délégué à la protection des données (DPO)) ou d’un point de contact sur les questions de protection des données personnelles,
- base juridique du traitement de données (consentement de l’internaute, respect d’une obligation prévue par un texte, exécution d’un contrat…),
- finalités des données collectées (pour prise de décision automatisée, pour prévenir la fraude, parce que les informations sont requises par la réglementation…),
- informations sur toute prise de décision automatisée, y compris profilage,
- caractère obligatoire ou facultatif du recueil des données et les conséquences pour la personne en cas de non-fourniture des données,
- destinataires ou catégories de destinataires des données,
- durée de conservation des données,
- transferts de données à caractère personnel envisagés à destination d'un État n'appartenant pas à l'Union européenne.
Vous devez également informer l’internaute de ses droits : accès à ses données, possibilité de rectification ou d’effacement de ses données, de retrait de son consentement, droit de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé (article 22), possibilité de faire une réclamation auprès de la CNIL.
En cas de données collectées de manière indirecte, vous devez informer l’internaute de la source des données.
À savoir
- L’information doit être délivrée « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples », indique le RGPD. Son format doit être lisible par l’internaute.
- Vous devez informer l’internaute de la finalité de l'utilisation de ses données. À cet effet, il est recommandé d’insérer une page « vie privée », accessible et compréhensible par tous.
- Vous devez également faciliter l'exercice des droits, notamment par voie électronique en proposant par exemple un formulaire en ligne que les personnes concernées peuvent utiliser pour exercer facilement leurs droits.
Quel est le délai de réponse ?
Vous devez répondre à une demande dans les meilleurs délais, et dans un délai maximum d’un mois.
Si la demande est complexe (par exemple si une personne demande une copie de l’intégralité de ses données), vous avez alors trois mois maximum pour y répondre, et vous devez informer la personne des suites dans un délai maximum d’un mois.
Consultez le site de la CNIL pour en savoir plus.
Utilisation de données personnelles : quand devez-vous obtenir le consentement de l'internaute ?
Il existe des situations dans lesquelles l'information ne suffit pas. Il faut notamment demander expressément l'accord de l'internaute dans le cadre de la prospection commerciale par courrier électronique et, dans certains cas, lors de l’utilisation de cookies.
Consentement lors de l’utilisation de cookies ou de traceurs publicitaires
Il faut obtenir le consentement de l’internaute avant de déposer les cookies liés aux opérations relatives à la publicité, les cookies des réseaux sociaux générés par les boutons de partage et certains cookies de mesure d'audience.
Ce consentement doit se faire via un bandeau d’information, avec possibilité de refuser aussi facilement que d’accepter.
Tout ce qu’il faut savoir sur les cookies et les solutions de la CNIL
Consentement dans le cadre de courriels commerciaux (newsletters)
Les destinataires de courriels commerciaux (newsletters) doivent avoir explicitement donné leur accord pour être démarchés, au moment de la collecte de leur adresse électronique. Ce consentement préalable de l’internaute doit être recueilli par une case à cocher (important : la case ne doit pas être pré-cochée).
En cas de transmission de ses données personnelles à des partenaires, l’internaute doit également y avoir consenti au moment du recueil de ses données personnelles.
Tout ce qu’il faut savoir sur vos obligations en matière de courriel commercial
Quelles mesures de sécurité devez-vous mettre en place ?
Le RGPD impose aux entreprises d’assurer un niveau élevé de sécurité des données personnelles.
Consultez le guide de la CNIL pour en savoir plus
Quelles sont vos obligations en cas de transfert des données ?
Lorsque vous faites un transfert de données, vous devez vous assurer que le pays destinataire applique des règles comparables en matière de confidentialité et de sécurité et qu’ainsi les données bénéficie d’un niveau de protection équivalent. En cas de risque élevé ou si le niveau de protection n’est pas assuré, le transfert doit être suspendu ou le contrat résilié.
Si les données sortent de l’Union européenne, vous devez généralement vous appuyer sur des mécanismes prévus par le RGPD.
En savoir plus sur le cadre légal en cas de transferts de données hors de l'UE
À savoir
La transmission entre entités juridiquement distinctes (même au sein d’un même groupe) est considérée comme un transfert.
Quelles obligations en cas d’utilisation de l’IA ?
Toute utilisation d’un système d’IA qui traite ou réutilise des données à caractère personnel (par exemple, concernant des salariés ou des clients) doit obligatoirement se conformer au Règlement Général sur la Protection des Données (RGPD).
Si votre entreprise développe ou utilise l’IA, vous devez :
- informer clairement les personnes concernées des traitements de données personnelles effectués pour le développement ou l’utilisation de modèles d’IA lors de la collecte de ces données,
- faciliter l'exercice des droits des personnes, notamment le droit de ne pas faire l'objet d'une décision automatisée,
- mettre en place des mesures pour garantir les droits des personnes lors de la collecte de données par moissonnage (web scraping).
La CNIL a par ailleurs publié des recommandations pour aller plus loin
Quelles sont les sanctions encourues en cas de non-respect de ces obligations ?
En cas de non-respect des obligations d’information de l’internaute, vous vous exposez à des sanctions : par exemple, tout traitement de données à caractère personnel non consenti est puni de cinq ans d'emprisonnement et de 300 000 € d'amende (article 226-16 du code pénal).
Pour les manquements les plus graves, les sanctions de la CNIL peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu.
Un autodiagnostic gratuit pour mesurer le niveau de conformité de votre entreprise
EvalRGPD est un autodiagnostic gratuit et en ligne qui permet de mesurer le niveau de conformité RGPD de votre entreprise. Cet outil a été réalisé par la confédération des PME (CPME) avec CINOV numérique et en collaboration avec la CNIL, partenaires de France Num.
Ressources complémentaires
Sur le site de la CNIL :
- RGPD : exemples de mentions d'information
- Guide pratique RGPD – Sécurité des données personnelles
- Appliquer le RGPD dans une TPE ou PME : les questions/réponses de la CNIL
- Conformité RGPD : comment informer les personnes et assurer la transparence ?
- Information des personnes : la CNIL encourage l’emploi de termes plus clairs pour le grand public
- Quels bénéfices économiques du DPO en entreprise ?
- Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD
- Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide
Sur le site de France Num :
