Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 24 avril 2026
Accueil/RGPD/Article 14 RGPD : informer en cas de collecte indirecte
RGPD

Article 14 RGPD : informer en cas de collecte indirecte

Article 14 du RGPD : quand et comment informer les personnes dont les données ont été collectées auprès d'un tiers. Délais, exceptions, sanctions CNIL.

Par Thiebaut DevergrannePublie le 23 avril 2026Mis a jour le 23 avril 202614 min de lecture
Sommaire
  1. Ce que dit l’article 14 du RGPD
  2. Quand l’article 14 s’applique concrètement
  3. Les informations à fournir systématiquement (Art. 14(1))
  4. Les informations complémentaires (Art. 14(2))
  5. Les délais de l’article 14(3) : un mois maximum
  6. Les exceptions de l’article 14(5) : strictement limitées
  7. Erreurs fréquentes à corriger dans votre organisation
  8. Art. 14 et prospection commerciale B2B : le point d’attention
  9. Ce qu’il faut retenir
  10. FAQ

Acheter un fichier de prospects, enrichir son CRM via une base externe, récupérer les contacts d’une société rachetée : dans tous ces cas, les données ne viennent pas de la personne elle-même. L’Art. 14 du RGPD impose alors une obligation d’information spécifique, avec un délai court et peu d’exceptions utilisables. C’est l’un des articles les moins respectés en pratique — et l’un des plus contrôlés par la CNIL depuis 2023, notamment sur les fichiers commerciaux B2B.

Ce que dit l’article 14 du RGPD

L’Art. 14 s’intitule « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée ». Il fonctionne en miroir de l’Art. 13, qui régit l’information en cas de collecte directe. Les deux articles poursuivent le même objectif — rendre le traitement transparent pour la personne — mais la situation est différente : la personne ignore généralement que ses données circulent, ce qui renforce l’obligation pesant sur le responsable de traitement.

L’article est structuré en cinq paragraphes :

  • l’Art. 14(1) liste les informations systématiquement obligatoires ;
  • l’Art. 14(2) liste les informations complémentaires nécessaires à la loyauté du traitement ;
  • l’Art. 14(3) fixe le délai dans lequel l’information doit être délivrée ;
  • l’Art. 14(4) impose une nouvelle information en cas de changement de finalité ;
  • l’Art. 14(5) prévoit quatre exceptions strictement encadrées.

Le manquement à l’Art. 14 relève de l’Art. 83(5)(b) — sanction de plafond haut, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. C’est le même régime que pour une violation des principes fondamentaux de l’Art. 5 ou de la base légale.

Quand l’article 14 s’applique concrètement

Le critère déclencheur est simple : les données n’ont pas été fournies par la personne elle-même au responsable de traitement. En pratique, les situations les plus fréquentes en entreprise sont les suivantes.

L’achat ou la location de fichiers commerciaux

Tout fichier de prospection acheté ou loué auprès d’un fournisseur de données (Kompass, Nomination, Infopro, ZoomInfo, etc.) fait entrer l’acquéreur dans le champ de l’Art. 14. Peu importe que le fichier soit B2B ou B2C : la règle est la même dès qu’il contient des données personnelles, ce qui est toujours le cas pour les coordonnées d’un contact nommément identifié.

L’enrichissement de CRM

Utiliser un outil d’enrichissement (Clearbit, Dropcontact, Lusha, Apollo…) pour compléter des fiches existantes — ajouter une adresse, un poste, un téléphone — déclenche l’obligation d’information. La personne n’a pas fourni l’information ; on est allé la chercher. Le sujet est développé dans mon guide CRM et conformité RGPD.

Le scraping ou la collecte sur des sources publiques

Récupérer des profils LinkedIn, des coordonnées sur des annuaires professionnels, ou des emails via un scraping de pages web relève également de la collecte indirecte. Le fait que la source soit publique ne dispense pas de l’Art. 14 — c’est ce qu’a explicitement rappelé la CNIL dans la sanction Clearview AI (délibération SAN-2022-019, 20 millions d’euros).

La réception de données d’un partenaire ou prestataire

Quand un courtier en assurance transmet les coordonnées d’un prospect à l’assureur, quand un recruteur externe transmet le CV d’un candidat à l’entreprise cliente, quand un cabinet comptable partage la liste des salariés d’un client, le destinataire devient responsable de traitement d’une collecte indirecte et doit appliquer l’Art. 14.

Les fusions-acquisitions et reprises d’activité

L’acquisition d’un fonds de commerce, d’une société ou d’un portefeuille clients s’accompagne d’un transfert de données. L’acquéreur doit informer les personnes concernées de ce transfert. C’est un point de due diligence RGPD régulièrement omis.

Les données issues de tiers dans les parcours utilisateur

Réseaux sociaux (login via Facebook ou Google qui transmet des données non demandées), partenaires commerciaux qui communiquent une liste de contacts, prestataires qui remettent un fichier — à chaque fois, l’obligation se déclenche.

Les informations à fournir systématiquement (Art. 14(1))

Huit mentions sont obligatoires, quelle que soit la situation :

  • l’identité et les coordonnées du responsable de traitement, et le cas échéant de son représentant ;
  • les coordonnées du DPO, quand il en existe un — obligatoire dans les trois cas prévus par l’Art. 37 ;
  • les finalités du traitement et la base légale sur laquelle il repose (Art. 6) ;
  • les catégories de données traitées — précision qui n’existe pas à l’Art. 13, puisque la personne sait ce qu’elle a fourni ;
  • les destinataires ou catégories de destinataires des données ;
  • le cas échéant, le fait que les données font l’objet d’un transfert hors UE, avec les garanties applicables (Art. 44 à 49) ;
  • la durée de conservation prévue, ou les critères utilisés pour la déterminer ;
  • l’existence des droits de la personne (accès, rectification, effacement, opposition, portabilité), le droit d’introduire une réclamation auprès de la CNIL et — point spécifique à l’Art. 14 — le droit de retirer son consentement à tout moment quand le traitement repose sur cette base.

La mention des catégories de données est l’une des différences majeures avec l’Art. 13. Elle oblige l’entreprise à lister concrètement ce qu’elle détient : nom, prénom, email professionnel, numéro de téléphone, intitulé de poste, entreprise, historique d’interactions, etc. Une formulation vague (« données commerciales ») n’est pas conforme.

Les informations complémentaires (Art. 14(2))

Trois catégories d’information supplémentaire sont exigées :

  • l’existence d’une décision automatisée au sens de l’Art. 22, avec une explication de la logique sous-jacente et des conséquences prévues — particulièrement pertinent pour les systèmes d’IA, de scoring crédit ou de priorisation commerciale ;
  • quand le traitement repose sur l’intérêt légitime, la description des intérêts poursuivis par le responsable de traitement ou par le tiers ;
  • la source dont proviennent les données, et le cas échéant le fait qu’elles proviennent de sources accessibles au public.

C’est cette dernière mention — l’indication de la source — qui est la plus fréquemment omise. Elle oblige à tracer la provenance des données, ce qui suppose une cartographie rigoureuse en amont. Un fichier acheté doit pouvoir mentionner le fournisseur ; un enrichissement CRM doit préciser l’outil utilisé ; un import partenaire doit nommer le partenaire. La CNIL considère qu’une formulation générique du type « diverses sources externes » ne satisfait pas à l’obligation.

Les délais de l’article 14(3) : un mois maximum

Le calendrier imposé par l’Art. 14(3) est l’aspect le plus contraignant de l’article. Trois échéances coexistent et la première atteinte emporte l’obligation d’informer :

  • un mois maximum après l’obtention des données, en tenant compte des circonstances du traitement — c’est le délai plafond en toutes hypothèses ;
  • au plus tard lors de la première communication avec la personne, si la communication intervient avant l’expiration du mois — typiquement, avant l’envoi d’un premier email de prospection ;
  • au plus tard au moment de la première communication des données à un autre destinataire, si elle intervient avant les deux échéances précédentes.

En pratique, pour un fichier de prospection B2B acheté le 1er avril, si le premier email est envoyé le 10 avril, l’information doit figurer dans cet email ou l’avoir précédé. Si aucune action n’est entreprise, l’information doit avoir été délivrée au plus tard le 1er mai.

La CNIL vérifie systématiquement ce délai lors de ses contrôles sur les bases commerciales. Dans la sanction Solocal (délibération SAN-2020-008, 150 000 €), c’est notamment l’absence d’information dans le délai imposé qui avait été retenue.

Les exceptions de l’article 14(5) : strictement limitées

L’Art. 14(5) prévoit quatre cas de dispense. Contrairement à une croyance répandue, aucune ne libère totalement le responsable de traitement de ses obligations de transparence.

La personne dispose déjà de l’information (a)

Si la personne a déjà reçu l’information par une autre voie — par exemple via le responsable de traitement initial qui l’a transmise lors d’un précédent contact — la redélivrer n’est pas exigée. La charge de la preuve pèse sur le responsable : il doit pouvoir démontrer que l’information a été faite et reçue. En doute, il vaut mieux refaire l’information.

L’information est impossible ou exige des efforts disproportionnés (b)

C’est l’exception la plus invoquée, et la plus encadrée. L’EDPB, dans ses Guidelines 04/2020 sur la transparence, rappelle que cette dispense ne s’applique que lorsqu’il est matériellement impossible de joindre les personnes ou que le coût serait manifestement disproportionné — typiquement pour des traitements statistiques ou de recherche portant sur des milliers d’enregistrements sans coordonnées exploitables.

Elle ne s’applique pas à la prospection commerciale, puisque si l’entreprise dispose des coordonnées pour prospecter, elle dispose aussi des coordonnées pour informer. La CNIL l’a constamment rappelé. Invoquer la « disproportion » pour un fichier commercial est une stratégie perdante en contentieux.

Quand cette exception est invoquée, l’Art. 14(5)(b) impose au responsable de prendre des mesures appropriées pour protéger les droits des personnes, incluant la mise à disposition publique de l’information — typiquement une politique de confidentialité détaillée, une page dédiée sur le site, ou une information collective via le responsable de traitement initial.

Le traitement est expressément prévu par la loi ©

Certains traitements sont organisés par un texte national ou européen qui définit lui-même l’information des personnes. La dispense s’applique alors, à condition que le texte prévoie « des mesures appropriées visant à protéger les intérêts légitimes de la personne ». Cas rare en pratique, limité à certains traitements régaliens.

Les données sont couvertes par le secret professionnel (d)

Les données couvertes par une obligation de secret professionnel prévue par le droit de l’Union ou national — secret médical, secret de l’instruction, secret bancaire — peuvent être exemptées. Cette exception ne couvre pas les obligations contractuelles de confidentialité (NDA), qui ne valent pas secret professionnel au sens du RGPD.

Erreurs fréquentes à corriger dans votre organisation

Voici les manquements les plus courants que je retrouve en audit chez mes clients :

  1. Aucune information envoyée après achat d’un fichier de prospection. La procédure d’onboarding du fournisseur de données n’intègre pas l’obligation Art. 14 et personne ne se l’approprie en interne.
  2. Information faite mais hors délai — le premier email de prospection part, puis on réalise qu’il manquait la mention d’information, et on corrige plusieurs semaines après. Le délai d’un mois est déjà dépassé.
  3. Absence de mention de la source — la politique de confidentialité parle des finalités et des droits mais ne mentionne pas qu’une partie des données provient d’enrichissement externe ou de partenaires.
  4. Mention de source trop générique — « nos partenaires commerciaux » ne satisfait pas l’Art. 14(2)(f). Il faut préciser les catégories de sources, idéalement les nommer.
  5. Exception de l’effort disproportionné invoquée à tort — pour couvrir une inaction, ce qui ne résiste pas à un contrôle.
  6. Mélange des régimes Art. 13 et Art. 14 — une même politique de confidentialité sert pour tous les traitements, sans distinguer ce qui relève de la collecte directe de ce qui relève de la collecte indirecte.
  7. Oubli de l’information en cas d’acquisition — les clients du fonds de commerce racheté continuent d’être prospectés par le nouveau propriétaire sans avoir été informés du transfert.
  8. Information limitée au premier envoi — correct pour le premier email, mais aucune trace dans la politique de confidentialité du site, alors que la personne peut vouloir vérifier plus tard.

Sur un audit de conformité, j’inclus systématiquement un test Art. 14 : « prenez n’importe quelle fiche de prospect dans votre CRM, et démontrez-moi quand et comment cette personne a été informée ». C’est souvent à ce moment que les failles apparaissent.

Art. 14 et prospection commerciale B2B : le point d’attention

La prospection B2B concentre l’essentiel des contentieux liés à l’Art. 14. Trois règles doivent être tenues simultanément :

  • une base légale valable pour la prospection — généralement l’intérêt légitime en B2B, sous réserve d’un test de mise en balance ;
  • une information Art. 14 délivrée dans le délai d’un mois ou au plus tard lors du premier contact ;
  • un droit d’opposition immédiat et sans frais, conforme à l’Art. 21 du RGPD et à l’article L. 34-5 du Code des postes et communications électroniques.

Un lien de désabonnement dans l’email de prospection ne dispense pas de l’information préalable : c’est une obligation complémentaire, pas alternative. Les modèles d’emails de prospection B2B doivent intégrer, dès le premier envoi, une mention d’information Art. 14 complète — généralement par un lien vers une page dédiée du site.

Cette combinaison — maintenir la traçabilité des sources, documenter la base légale, envoyer l’information dans les temps — est exactement le type de processus que Legiscope automatise, via une gestion des flux d’enrichissement et un suivi des délais d’information.

Ce qu’il faut retenir

  • L’Art. 14 s’applique dès que les données ne sont pas fournies directement par la personne : fichiers achetés, enrichissement CRM, scraping, transferts de partenaires, fusions-acquisitions.
  • Huit mentions sont obligatoires en toute hypothèse (Art. 14(1)) et trois complémentaires (Art. 14(2)), dont la mention de la source — particulièrement mal traitée en pratique.
  • Le délai d’information est d’un mois maximum, ou avant le premier contact si celui-ci intervient plus tôt (Art. 14(3)).
  • Les quatre exceptions de l’Art. 14(5) sont strictement encadrées ; invoquer « l’effort disproportionné » pour un fichier commercial exploitable ne résiste pas à un contrôle.
  • Les sanctions relèvent du plafond haut : 20 M€ ou 4 % du chiffre d’affaires mondial (Art. 83(5)(b)).

FAQ

Quelle différence entre l’article 13 et l’article 14 du RGPD ?

L’Art. 13 régit l’information quand les données sont collectées directement auprès de la personne — formulaire web rempli, bulletin d’inscription, contrat signé. L’Art. 14 s’applique quand les données proviennent d’un tiers — achat de fichier, enrichissement, scraping, partenaire. Les informations à fournir sont similaires, mais l’Art. 14 ajoute la mention des catégories de données et de la source, et impose un délai d’un mois pour informer. Les deux articles ne s’excluent pas : un même traitement peut relever des deux si certaines données sont collectées directement et d’autres indirectement.

Est-il obligatoire d’informer individuellement chaque prospect ?

Oui, l’information doit être individuelle et effectivement reçue. Publier une politique de confidentialité sur son site ne suffit pas — encore faut-il que la personne ait été mise en mesure d’y accéder, par exemple par un lien dans le premier email de contact. La CNIL considère qu’un email de prospection contenant l’information Art. 14 (ou un lien direct vers celle-ci) satisfait l’obligation, à condition que l’email ait été reçu dans les délais de l’Art. 14(3).

Peut-on prospecter en B2B sans consentement préalable ?

Oui, la prospection B2B par email vers des personnes exerçant leur activité professionnelle peut reposer sur l’intérêt légitime, sans consentement préalable, conformément à la position de la CNIL et à l’article L. 34-5 CPCE. Mais cette base légale exige un test de mise en balance documenté, une information Art. 14 dans les délais, et un droit d’opposition immédiat dans chaque envoi. Pour les emails vers des particuliers ou des emails génériques (contact@, info@) redirigés vers une boîte individuelle, les règles changent et le consentement peut devenir nécessaire.

Un fournisseur de données peut-il prendre en charge l’obligation d’information Art. 14 ?

Le fournisseur de données peut prévoir contractuellement qu’il informe lui-même les personnes avant la cession, ce qui déclenche l’exception Art. 14(5)(a) — la personne dispose déjà de l’information. C’est la pratique de certains acteurs sérieux du marché français. Mais la charge de la preuve reste sur l’acquéreur : il doit pouvoir démontrer que l’information a bien été faite par le fournisseur, avec quelles mentions, et à quelle date. Une simple clause contractuelle sans preuve d’exécution ne protège pas en cas de contrôle.

Thiébaut Devergranne, docteur en droit (Paris II, 2007), est le fondateur de donneespersonnelles.fr et de Legiscope, logiciel de conformité RGPD. Il forme des DPO et accompagne des entreprises en mise en conformité depuis plus de vingt ans.

Articles lies

RGPD

Article 7 RGPD : les 4 conditions du consentement

23 avril 2026 · 13 min
RGPD

Article 5 RGPD : les 7 principes à connaître

22 avril 2026 · 14 min
RGPD

RGPD et télétravail : obligations de l'employeur

22 avril 2026 · 13 min