Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 5 juin 2026
Accueil/RGPD/Article 13 RGPD : informer en cas de collecte directe
RGPD

Article 13 RGPD : informer en cas de collecte directe

Article 13 RGPD : mentions obligatoires, timing, exception, sanctions CNIL. Commentaire paragraphe par paragraphe et erreurs à éviter en pratique.

Par Thiebaut DevergrannePublie le 22 mai 2026Mis a jour le 22 mai 202616 min de lecture
Sommaire
  1. Ce que dit l’article 13 du RGPD
  2. Quand l’article 13 s’applique en pratique
  3. Les six mentions systématiques (Art. 13(1))
  4. Les six mentions complémentaires (Art. 13(2))
  5. Art. 13(3) : le réemploi pour une finalité ultérieure
  6. Art. 13(4) : la seule exception, restrictivement appliquée
  7. Le timing : « au moment où les données sont obtenues »
  8. Articulation avec l’article 12 : la forme prime souvent sur le fond
  9. Erreurs fréquentes à corriger sur votre site
  10. Sanctions et jurisprudence
  11. Ce qu’il faut retenir
  12. FAQ

Un formulaire de contact mis en ligne sans une mention d’information correcte, c’est un risque de plafond haut : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. L’Art. 13 du RGPD organise cette information dans le cas le plus fréquent — celui de la collecte directe — et c’est l’un des articles les plus contrôlés par la CNIL. Sa lecture paragraphe par paragraphe permet d’identifier exactement ce qu’il faut afficher, à quel moment, et avec quelles modalités.

Ce que dit l’article 13 du RGPD

L’Art. 13 s’intitule « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée ». Il fonctionne en miroir de l’Art. 14, qui régit l’information en cas de collecte indirecte. La différence tient au mode d’obtention des données : si la personne les fournit elle-même — par un formulaire, un contrat, un appel téléphonique, un bulletin d’inscription — c’est l’Art. 13 qui s’applique. Si les données proviennent d’un tiers, c’est l’Art. 14.

L’article est structuré en quatre paragraphes :

  • l’Art. 13(1) liste les six mentions systématiquement obligatoires ;
  • l’Art. 13(2) ajoute six mentions complémentaires nécessaires à la loyauté et à la transparence ;
  • l’Art. 13(3) impose une nouvelle information en cas de traitement ultérieur pour une autre finalité ;
  • l’Art. 13(4) prévoit une seule exception : la personne dispose déjà des informations.

Le manquement à l’Art. 13 relève de l’Art. 83(5)(b) — plafond haut, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, soit le régime le plus sévère du RGPD. C’est le même niveau de sanction que pour une violation des principes fondamentaux de l’Art. 5 ou de la base légale. Toutes les sanctions CNIL « cookies-mentions » récentes — Google, Amazon, TikTok, Free, Hubside — sanctionnent au premier chef un défaut d’information.

Quand l’article 13 s’applique en pratique

Le critère déclencheur est binaire : la personne fournit elle-même ses données au responsable de traitement. La situation la plus fréquente est la collecte en ligne — formulaire de contact, création de compte client, abonnement à une newsletter, demande de devis, prise de rendez-vous, dépôt de candidature. Mais l’Art. 13 s’applique aussi hors web :

  • la signature d’un contrat (bail, contrat de travail, contrat de prestation) qui fait remplir au cocontractant un formulaire ou une fiche ;
  • la collecte téléphonique — quand un agent demande des informations au cours d’un appel, l’information doit être délivrée pendant l’appel, et non « par email après » ;
  • les bulletins papier — adhésion associative, inscription scolaire, fiche médicale ;
  • les dispositifs IoT et caméras dès lors qu’ils captent des données identifiables et que la personne en est l’objet conscient (badgeuses, caméras de bureau, capteurs de présence) ;
  • les questionnaires de satisfaction, les enquêtes RH, les évaluations 360.

Le point commun : c’est la personne qui fournit l’information. À chaque fois, l’Art. 13 impose une information avant que les données soient collectées, sauf rare exception à laquelle on revient plus bas.

Les six mentions systématiques (Art. 13(1))

L’Art. 13(1) fixe six informations qui doivent être délivrées dans toutes les hypothèses, sans appréciation au cas par cas :

  • l’identité et les coordonnées du responsable de traitement — raison sociale exacte, adresse postale du siège, et le cas échéant celles du représentant désigné au titre de l’Art. 27 pour les responsables hors UE ;
  • les coordonnées du DPO quand il en existe un, obligatoire dans les trois cas prévus par l’Art. 37 — adresse email professionnelle dédiée et adresse postale ;
  • les finalités du traitement et la base légale sur laquelle il repose au sens de l’Art. 6 — pas « finalité commerciale » mais « gestion de la relation client », « envoi de la newsletter », « réponse à la demande de contact » ;
  • lorsque la base légale est l’intérêt légitime, la description des intérêts légitimes poursuivis par le responsable de traitement ou par un tiers — c’est une mention spécifique à l’Art. 13(1)(d) souvent oubliée ;
  • les destinataires ou catégories de destinataires — sous-traitants, partenaires, autorités, prestataires informatiques. La CJUE, dans l’arrêt RW c/ Österreichische Post (C-154/21, 12 janvier 2023), a précisé sous l’angle de l’Art. 15 que la personne a droit à l’identité nominative des destinataires lorsqu’elle le demande ; cette logique s’étend à l’amont de l’information ;
  • le cas échéant, le fait que les données font l’objet d’un transfert hors UE, en précisant l’existence ou non d’une décision d’adéquation, les garanties prévues par les Art. 46 ou 47, ou les conditions de la dérogation de l’Art. 49 — sujet développé dans mon guide sur les transferts hors UE.

Le sixième item — les transferts hors UE — devient critique depuis Schrems II et la fragilité du Data Privacy Framework. Une mention générique « transferts vers des prestataires non européens » ne suffit pas : il faut nommer ou catégoriser, et indiquer le mécanisme juridique.

Les six mentions complémentaires (Art. 13(2))

L’Art. 13(2) ajoute « les informations complémentaires qui sont nécessaires pour garantir un traitement équitable et transparent ». Le mot « nécessaire » a parfois été lu comme laissant une marge d’appréciation — il n’en est rien : dans la pratique CNIL et dans la doctrine EDPB Lignes directrices WP260 rev.01 du 11 avril 2018 sur la transparence, ces mentions sont toujours requises dès que la situation factuelle s’y prête.

  • la durée de conservation des données, ou à défaut les critères permettant de la déterminer — un délai par catégorie de donnée, pas une formule vague type « pour la durée nécessaire » ;
  • l’existence des droits de la personne — accès Art. 15, rectification Art. 16, effacement Art. 17, limitation Art. 18, opposition Art. 21, portabilité Art. 20 — et les modalités d’exercice (canal, justificatif éventuel, délai d’un mois Art. 12) ;
  • lorsque le traitement repose sur le consentement Art. 6(1)(a) ou sur l’Art. 9(2)(a) pour des données sensibles, l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement antérieur ;
  • le droit d’introduire une réclamation auprès de la CNIL, conformément à l’Art. 77 ;
  • l’indication selon laquelle la fourniture des données a un caractère réglementaire, contractuel ou conditionne la conclusion d’un contrat, le caractère obligatoire ou facultatif de la fourniture et les conséquences d’un refus de fournir — point structurant pour les formulaires comportant des champs obligatoires et facultatifs ;
  • l’existence d’une décision automatisée au sens de l’Art. 22, y compris du profilage, avec « les informations utiles concernant la logique sous-jacente » et les conséquences prévues — mention déterminante pour tous les systèmes de scoring crédit, de priorisation commerciale ou d’IA décisionnelle.

C’est la combinaison Art. 13(1) + Art. 13(2) qui constitue le socle d’une politique de confidentialité conforme. Sur les douze mentions, j’observe qu’en audit une politique sur deux en omet au moins trois — typiquement la durée de conservation, la mention de l’intérêt légitime, et le droit de retirer le consentement.

Art. 13(3) : le réemploi pour une finalité ultérieure

L’Art. 13(3) régit l’hypothèse du traitement ultérieur. Quand le responsable de traitement souhaite réutiliser des données pour une finalité « autre que celle pour laquelle elles ont été collectées », il doit fournir au préalable à la personne :

  • l’information sur cette autre finalité ;
  • toute information pertinente visée à l’Art. 13(2) — typiquement la nouvelle durée de conservation, l’existence éventuelle d’une décision automatisée propre à la nouvelle finalité, et la modification éventuelle des destinataires.

Cette obligation se cumule avec le test de compatibilité de l’Art. 6(4) : changer de finalité suppose que la nouvelle finalité soit compatible avec la finalité initiale, ou qu’une nouvelle base légale soit mobilisée. Concrètement, si une entreprise collecte des données pour la facturation puis veut les utiliser pour de la prospection commerciale, elle doit non seulement vérifier la compatibilité (et au besoin obtenir un consentement spécifique), mais aussi délivrer une information préalable Art. 13(3) — pas seulement une mention noyée dans une mise à jour de la politique de confidentialité.

C’est précisément ce manquement combiné — réutilisation non compatible + absence d’information préalable — qui a fondé plusieurs sanctions, dont SAN-2024-001 Hubside (525 000 €) où la formation restreinte de la CNIL a relevé que les personnes n’avaient pas été informées des nouvelles finalités commerciales.

Art. 13(4) : la seule exception, restrictivement appliquée

L’Art. 13(4) prévoit que les paragraphes 1, 2 et 3 « ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations ». Trois éléments doivent être réunis :

  • la personne dispose effectivement de l’information — pas seulement « aurait pu en disposer » ou « est censée la connaître » ;
  • l’information dont elle dispose couvre exactement les mentions de l’Art. 13(1) et (2) — un client qui connaît l’identité du responsable de traitement ne dispose pas pour autant des informations sur la durée de conservation ou les droits ;
  • la charge de la preuve pèse sur le responsable de traitement, conformément à l’obligation d’accountability de l’Art. 5(2) et de l’Art. 24, confirmée par la CJUE dans l’arrêt NAP (C-340/21, 14 décembre 2023).

L’exception ne dispense donc jamais de documenter que l’information a été délivrée. En pratique, c’est rarement une dispense utilisable : il vaut presque toujours mieux délivrer l’information à nouveau, dans une formulation synthétique, plutôt que d’invoquer l’Art. 13(4) en contrôle.

Le timing : « au moment où les données sont obtenues »

L’Art. 13(1) précise que l’information est fournie « au moment où les données en question sont obtenues ». Cette formulation se distingue volontairement de l’Art. 14 qui ménage un délai d’un mois pour la collecte indirecte : en collecte directe, il n’y a pas de délai. L’information doit précéder la collecte ou intervenir au moment exact de celle-ci.

Concrètement :

  • sur un formulaire web, l’information (ou un lien direct vers elle) doit être présente et accessible avant validation du formulaire ;
  • pour une collecte téléphonique, l’information doit être délivrée oralement avant la prise des données — pas après l’appel ;
  • en contrat papier, l’information figure dans le contrat lui-même ou dans une annexe remise simultanément ;
  • pour un dispositif technique (caméra, badgeuse, application), l’information précède la mise en service par un affichage, une politique préalable ou un écran d’accueil.

La CNIL a sanctionné à plusieurs reprises l’information délivrée tardivement — typiquement, dans SAN-2022-022 Free Mobile (300 000 €), c’est l’absence d’information lors de la collecte et le décalage avec une politique de confidentialité générique qui avait été retenu.

Articulation avec l’article 12 : la forme prime souvent sur le fond

L’Art. 13 fixe ce qu’il faut dire. L’Art. 12 fixe comment le dire : « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ». L’information délivrée doit donc être :

  • rédigée en langage clair — pas de copier-coller du texte du RGPD, pas de jargon, et idéalement par finalité ;
  • gratuite et librement accessible — pas derrière un mur de cases à cocher ou de pop-ups successifs ;
  • structurée par couches quand le volume le justifie — une mention courte au moment de la collecte avec un lien vers une politique complète, modèle validé par la CNIL et par l’EDPB Lignes directrices WP260 rev.01 du 11 avril 2018 sur la transparence ;
  • adaptée au public — version simplifiée pour les mineurs au sens de l’Art. 8, version professionnelle pour les usages B2B.

C’est cette forme — pas seulement le contenu — qui est contrôlée. La CNIL examine la lisibilité, la pertinence et l’accessibilité réelle de l’information. Une politique de confidentialité de 25 000 mots noyant les mentions Art. 13 dans un texte juridique illisible est presque toujours sanctionnable au titre du couple Art. 12 / Art. 13.

Erreurs fréquentes à corriger sur votre site

Voici les manquements que je rencontre le plus souvent en audit :

  1. Identité du responsable de traitement absente ou incomplète — un nom commercial sans la dénomination sociale exacte, ou une adresse postale manquante. Une simple URL « contact@société.com » ne satisfait pas.
  2. Pas de coordonnées DPO alors qu’un DPO est désigné et déclaré. Ou inversement, mention d’un « DPO » alors qu’aucun n’a été officiellement désigné.
  3. Bases légales agglomérées — « consentement et/ou intérêt légitime » sans préciser quelle base s’applique à quelle finalité. Chaque finalité doit avoir sa base légale identifiée.
  4. Durée de conservation manquante — la mention la plus souvent oubliée, alors qu’elle est imposée par l’Art. 13(2)(a). Une durée par catégorie de donnée est attendue, pas une formule vague.
  5. Description des intérêts légitimes absente — quand la base légale est l’intérêt légitime, l’Art. 13(1)(d) impose d’expliquer concrètement quel intérêt est poursuivi.
  6. Droits incomplets — oubli du droit à la limitation Art. 18 ou de la portabilité Art. 20, ou absence du droit de retirer le consentement.
  7. Caractère obligatoire/facultatif non précisé pour les champs des formulaires.
  8. Décision automatisée non mentionnée alors que l’entreprise utilise un scoring, un algorithme de tri ou une IA dans la chaîne décisionnelle.
  9. Information dispersée — mentions partielles sur la page d’accueil, complément dans les CGV, partie dans un PDF caché. L’information doit être consolidée et trouvable en un point unique.
  10. Politique non actualisée — date de dernière mise à jour datant d’avant 2022, alors que les pratiques ont changé. Une politique de confidentialité doit être revue au moins annuellement.

Sur un audit complet, j’inclus systématiquement un test Art. 13 sur les trois principaux parcours de collecte du site — typiquement formulaire de contact, création de compte, abonnement newsletter. Il est rare qu’un seul des trois soit pleinement conforme.

Sanctions et jurisprudence

Les sanctions CNIL fondées en tout ou partie sur un défaut d’information Art. 13 sont les plus nombreuses du contentieux récent. À titre indicatif :

  • SAN-2024-001 Hubside.Store (525 000 €) — défaut d’information sur les finalités, la durée de conservation et les destinataires ;
  • SAN-2022-022 Free Mobile (300 000 €) — information décalée et incomplète à la souscription ;
  • SAN-2024-008 SAF Logistics (240 000 €) — défaut d’information lors de la collecte de données salariées ;
  • SAN-2023-013 Doctissimo — défaut d’information sur les destinataires et durées de conservation ;
  • SAN-2022-009 Discord (800 000 €) — défaut d’information sur les durées de conservation par défaut.

Au-delà de la CNIL, la CJUE dans l’arrêt NAP (C-340/21, 14 décembre 2023) a confirmé que c’est au responsable de traitement de prouver qu’il a satisfait à l’ensemble de ses obligations — donc, y compris à l’obligation d’information Art. 13. L’arrêt RW (C-154/21, 12 janvier 2023) a renforcé l’exigence d’identification nominative des destinataires, transposable de l’Art. 15 vers l’Art. 13.

Sur le terrain civil, le tribunal judiciaire de Paris a confirmé dans une décision du 17 janvier 2024 qu’un défaut d’information peut fonder une action en réparation au titre de l’Art. 82, même en l’absence de préjudice matériel. Et la loi n° 2024-364 du 22 avril 2024 a rouvert la voie de l’action de groupe sur ce fondement.

Quand cette tâche d’industrialisation devient lourde — cartographie des collectes, alignement des bases légales, mise à jour des mentions sur N parcours et M langues, traçabilité de la délivrance — c’est précisément le type de processus que Legiscope automatise.

Ce qu’il faut retenir

  • L’Art. 13 s’applique en collecte directe — formulaire, contrat, appel téléphonique, IoT — et impose 12 mentions cumulables : 6 systématiques (Art. 13(1)) et 6 complémentaires (Art. 13(2)).
  • L’information doit être délivrée au moment de la collecte, sans délai, contrairement à l’Art. 14 qui ménage un mois pour la collecte indirecte.
  • L’Art. 13(3) impose une nouvelle information préalable en cas de finalité ultérieure, en plus du test de compatibilité Art. 6(4).
  • L’exception de l’Art. 13(4) est restrictivement appliquée : la personne doit effectivement disposer de l’ensemble des informations, et la charge de la preuve pèse sur le responsable de traitement.
  • Les sanctions relèvent du plafond haut : 20 M€ ou 4 % du chiffre d’affaires mondial (Art. 83(5)(b)), ce qui en fait l’un des manquements les plus coûteux du RGPD.

FAQ

Quelle différence entre l’article 13 et l’article 14 du RGPD ?

L’Art. 13 s’applique quand la personne fournit elle-même ses données — formulaire web, signature de contrat, appel téléphonique. L’Art. 14 s’applique quand les données proviennent d’un tiers — fichier acheté, enrichissement CRM, scraping. Les mentions à délivrer sont presque identiques, mais l’Art. 14 ajoute la mention de la source et des catégories de données, et ménage un délai d’un mois pour informer, là où l’Art. 13 exige une information au moment exact de la collecte.

L’information doit-elle figurer dans le formulaire ou peut-elle être renvoyée à la politique de confidentialité ?

L’EDPB et la CNIL acceptent une information « en couches » : une mention courte au moment de la collecte (typiquement à côté du bouton de validation) avec un lien direct vers une politique de confidentialité complète. Mais la mention courte doit déjà identifier le responsable de traitement, les finalités, la base légale et le lien vers la politique détaillée. Renvoyer l’intégralité à un lien isolé en pied de page, sans aucune mention à côté du formulaire, n’est pas conforme.

Faut-il une nouvelle information à chaque mise à jour de la politique de confidentialité ?

Pas systématiquement. Une mise à jour cosmétique (changement de wording, ajout d’un canal de contact DPO) ne nécessite pas une réinformation individuelle. En revanche, dès qu’une nouvelle finalité est introduite, qu’une nouvelle catégorie de destinataires apparaît, qu’un nouveau transfert hors UE est mis en place, ou qu’une décision automatisée est ajoutée, une information préalable au titre de l’Art. 13(3) est obligatoire avant que le nouveau traitement ne démarre.

Une mention d’information dans les CGV vaut-elle politique de confidentialité ?

Non, sauf cas particulier où les CGV intègrent l’ensemble des mentions Art. 13(1) et (2) sous une rubrique dédiée et facilement identifiable. La pratique recommandée est de séparer : les CGV régissent la relation contractuelle, la politique de confidentialité régit le traitement des données. Cette séparation facilite les mises à jour (une politique de confidentialité évolue plus souvent que des CGV) et la lisibilité côté utilisateur. Pour les sites de e-commerce, mon guide sur les mentions légales RGPD détaille comment articuler les deux documents.

Articles lies

RGPD

Article 74 RGPD : les missions du président du CEPD

4 juin 2026 · 8 min
RGPD

Article 75 RGPD : le secrétariat du CEPD expliqué

4 juin 2026 · 7 min
RGPD

Airtable et RGPD : guide de conformité 2026

3 juin 2026 · 9 min