Se connecter
logiciel rgpd
  1. 1 - Qu'est-ce que l'information des personnes dans le cadre du RGPD ?
    1. 2 - Quand informer les personnes de l'utilisation de leurs données ?
      1. 3 - Quelles informations fournir aux personnes concernées ?
        1. 4 - Bonnes pratiques pour assurer une information transparente et accessible
          1. 5 - Exemples concrets d’information des personnes

            Information des personnes RGPD : Tout ce que vous devez savoir pour être en règle

            RGPDFebruary 25, 2025

            L'information des personnes concernées est l'un des principes fondamentaux du RGPD. Ce principe repose sur la transparence et vise à garantir que chaque individu comprend comment ses données personnelles sont collectées, utilisées et protégées par un responsable de traitement.

            Ne pas respecter cette obligation peut entraîner des sanctions RGPD sévères de la CNIL et d'autres autorités de contrôle. En effet, en 2022, 52 % des sanctions de la CNIL concernaient un manquement aux obligations de transparence et d'information des personnes concernées.

            Mais au-delà du simple respect de la réglementation, une information claire et accessible est un véritable atout de confiance pour les entreprises et les organismes. Elle permet de renforcer la relation avec les clients, partenaires et collaborateurs, tout en réduisant les risques juridiques.

            Le saviez-vous ? Le manquement aux obligations de transparence est constitutif d’une infraction passible des amendes les plus élevées prévues par le RGPD : jusqu’à 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial.

            Qu'est-ce que l'information des personnes dans le cadre du RGPD ?

            L'information des personnes concernées consiste à leur fournir toutes les informations nécessaires sur le traitement de leurs données personnelles. Cela permet de garantir le respect de leurs droits (droit d'accès, droit de rectification, droit d'opposition, effacement, limitation, droit à la portabilité) et d'assurer une totale transparence dans l'usage de leurs données.

            Cette obligation est principalement encadrée par les articles 13 et 14 du RGPD, qui définissent les informations devant être communiquées aux individus selon que la collecte de données est directe ou indirecte.

            Quand informer les personnes de l'utilisation de leurs données ?

            L'information doit être délivrée au moment opportun, c'est-à-dire :

            • Lors de la collecte directe : au moment où la personne concernée fournit ses données personnelles (ex : inscription sur un site web, signature d'un contrat, dépôt d'une candidature, etc.).

            • Lors de la collecte indirecte : dans un délai d’un mois après la collecte des données auprès d’un tiers ou lors de la première communication avec la personne concernée.

            • En cas de modification de finalité du traitement : si l’entreprise souhaite utiliser les données collectées pour un autre usage que celui initialement prévu.

            • En cas d’incident impactant la confidentialité des données : notification aux personnes concernées lorsque leurs données personnelles ont été compromises.

            Le saviez-vous ? L’information des personnes ne concerne pas uniquement celles qui utilisent déjà un service, mais également celles qui pourraient potentiellement y souscrire.

            Quelles informations fournir aux personnes concernées ?

            Le responsable de traitement doit communiquer des informations précises et accessibles, notamment :

            • L'identité et les coordonnées du responsable de traitement.

            • Les finalités du traitement et la base légale justifiant le traitement (consentement, obligation légale, exécution d’un contrat, intérêt légitime, mission d’intérêt public).

            • Les catégories de données collectées (ex : nom, adresse e-mail, données bancaires, etc.).

            • Les destinataires des données, notamment si elles sont partagées avec des partenaires ou des sous-traitants.

            • La durée de conservation des données ou les critères permettant de la déterminer.

            • Les droits des personnes concernées et comment les exercer (droit d'accès, de rectification, d’opposition, d’effacement, etc.).

            • L’existence de transferts de données hors de l’Union Européenne et les garanties mises en place.

            • L'existence d’une prise de décision automatisée, si applicable, et les conséquences pour la personne concernée.

            Bonnes pratiques pour assurer une information transparente et accessible

            Adapter le langage et le format à son audience

            L'information doit être claire, concise et compréhensible par tous. Il est recommandé :

            • D’éviter le jargon juridique et technique.

            • De structurer l’information en plusieurs niveaux (résumé, détail, liens vers des pages plus approfondies).

            • De proposer un lexique pour expliquer certains termes complexes.

            Utilisation de supports multimédias pour faciliter la compréhension

            Pour rendre l'information plus accessible, il est utile d'utiliser des supports variés :

            • Infographies : pour simplifier des concepts complexes.

            • Vidéos explicatives : pour illustrer le traitement des données.

            • FAQ interactives : pour répondre aux questions courantes des personnes concernées.

            • Outils interactifs : simulateurs de gestion des droits des personnes ou checklists pour vérifier les traitements réalisés.

            Mise à jour régulière des informations fournies

            L'information doit être mise à jour régulièrement afin de garantir son exactitude :

            • À chaque modification d'un traitement de données.

            • Lorsqu’une nouvelle finalité est ajoutée.

            • Lorsqu'un transfert de données est modifié.

            • En cas de mise à jour de la réglementation.

            Pour assurer la transparence, il est conseillé d’indiquer la dernière date de mise à jour et de conserver les versions précédentes accessibles aux personnes concernées.

            Le saviez-vous ? Une mention indiquant que les utilisateurs doivent « régulièrement vérifier la politique de confidentialité » pour connaître les modifications est considérée comme déloyale par la CNIL.

            Exemples concrets d’information des personnes

            Informer les salariés

            Les salariés sont des personnes concernées par le RGPD et doivent être informés des traitements de leurs données personnelles.

            Bonne pratique :

            • Insérer une mention courte dans les formulaires RH (ex. bulletin d’embauche, formulaire de congés).

            • Ajouter une annexe au contrat de travail décrivant les traitements.

            • Mettre à disposition une charte de protection des données sur l’intranet ou l’espace personnel des employés.

            • Notifier les salariés en cas de modification importante des traitements.

            Informer les candidats à un poste

            Lorsqu’une entreprise recrute, elle collecte des données directement (via un formulaire de candidature) ou indirectement (via des plateformes de recrutement ou des recommandations).

            Bonne pratique :

            • Ajouter un paragraphe dédié dans la politique de confidentialité du site carrière.

            • Afficher une mention courte sur les formulaires d’envoi de CV.

            • Informer les candidats par email dès la réception de leur candidature.

            • En cas de conservation du CV dans un vivier, préciser la durée de conservation (2 ans max) et permettre une opposition.

            Informer les utilisateurs d’un site internet

            Les sites web collectent souvent des données via des formulaires, des cookies ou un chatbot.

            Bonne pratique :

            • Afficher une politique de confidentialité accessible en bas de page.

            • Inclure une mention d’information dans chaque formulaire de contact ou d’inscription.

            • Pour un chatbot, ajouter une notification indiquant que les échanges peuvent être enregistrés et renvoyer vers la politique de confidentialité.

            L'information des personnes concernées est une obligation clé du RGPD, mais aussi une opportunité pour les entreprises d'instaurer une relation de confiance avec leurs clients, collaborateurs et partenaires.

            En appliquant les bonnes pratiques évoquées, chaque responsable de traitement peut non seulement se conformer aux exigences de la CNIL, mais aussi renforcer son image en tant qu’acteur respectueux de la protection des données personnelles.

            Mettre en place une communication transparente et accessible autour du traitement des données est donc une démarche gagnante pour toutes les parties prenantes !

            Benjamin BarattaWitik - Expert RGPD & CSM

            La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

            Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

            Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

            • All rights reserved ©Witik 2025