Mentions légales RGPD : modèle et guide 2026 (6 étapes)
RGPD : les mentions d'information à afficher lors de la collecte de données (art. 13), rédigées pas à pas en 6 étapes, avec modèle complet à copier.
- Article 13 ou article 14 : lequel s’applique ?
- Aperçu du résultat final
- Étape 1 : définissez l’étendue de votre traitement
- Étape 2 : définissez la base légale
- Étape 3 : indiquez les destinataires des données
- Étape 4 : déterminez la durée de conservation
- Étape 5 : précisez si la fourniture des données est obligatoire
- Étape 6 : finalisez avec les mentions obligatoires restantes
- Cas particuliers à ne pas oublier
- Checklist des mentions de l’article 13
- FAQ
- Conclusion
L’essentiel. Les « mentions légales RGPD » sont les informations que l’article 13 du RGPD impose de délivrer aux personnes au moment où vous collectez leurs données. Elles couvrent l’identité du responsable, les finalités, la base légale, les destinataires, la durée de conservation, les droits et, le cas échéant, les transferts hors UE. Ce guide les rédige pas à pas en 6 étapes, avec un modèle complet à copier. À ne pas confondre avec les mentions légales « classiques » d’un site (LCEN), qui s’y ajoutent.
Le RGPD impose de nombreuses obligations, dont une essentielle : informer les personnes dont vous collectez les données de plusieurs mentions spécifiques. Par commodité, on parle de « mentions légales RGPD » ou de « clause d’information », à afficher au point de collecte. Attention : ces mentions RGPD se cumulent avec les mentions légales classiques d’un site imposées par la LCEN — les deux répondent à des logiques différentes et ne se substituent pas l’une à l’autre.
Pour les juristes, l’obligation d’information est définie précisément aux articles 13 et 14 du règlement, complétés par l’article 12 qui pose les prescriptions générales de transparence (information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples »). On se concentre ici sur l’article 13 — c’est-à-dire les informations à délivrer lorsque les données sont collectées directement auprès des personnes (formulaire d’inscription, création de compte, prise de contact). Pour approfondir la transparence, voir nos bonnes pratiques de l’article 12.
Article 13 ou article 14 : lequel s’applique ?
Le RGPD distingue deux situations selon l’origine des données. Cette distinction commande la mention à afficher.
| Situation | Article applicable | Exemple |
|---|---|---|
| Données collectées directement auprès de la personne | Article 13 | Formulaire newsletter, création de compte, prise de contact |
| Données obtenues indirectement (tiers, courtier, source publique) | Article 14 | Achat d’un fichier de prospection, enrichissement de base |
La différence pratique : sous l’article 14, il faut en plus indiquer la source des données et respecter des délais spécifiques pour informer la personne (au plus tard un mois, ou lors du premier contact). Le reste de la structure est très proche. Ce guide traite l’article 13, le plus fréquent.
Aperçu du résultat final
Voici un exemple concret de mention d’information (inspiré d’un formulaire d’inscription à une newsletter). Il vous permet de visualiser le résultat avant d’attaquer la rédaction pas à pas.
L’inscription vous permet de recevoir la newsletter de la société Exemple SAS et ses communications sur la conformité RGPD, ainsi que ses offres de produits et de services. La base légale est votre consentement (art. 6.1.a du RGPD). Les destinataires des données sont le responsable de traitement et ses services internes en charge de la mailing list, le sous-traitant assurant la gestion technique de l’envoi (Prestataire Emailing SAS), ainsi que toute personne légalement autorisée à y accéder (autorité judiciaire, le cas échéant). Les données sont conservées tant que vous restez inscrit à nos communications ; vous pouvez retirer votre consentement et vous désinscrire à tout moment via le lien présent en bas de chaque email. L’hébergement de la mailing list est assuré par un prestataire susceptible de traiter les données hors de l’Union européenne ; ce transfert est encadré par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, le cas échéant, par la décision d’adéquation « Data Privacy Framework ». Vous disposez du droit de demander l’accès à vos données, leur rectification, leur effacement, la limitation de leur traitement, ainsi que du droit de vous opposer au traitement et du droit à la portabilité. Le responsable du traitement est la société Exemple SAS (adresse ; contact : dpo@exemple.fr). Vous pouvez introduire une réclamation auprès de la CNIL. La fourniture de votre email est nécessaire pour recevoir ces communications et reste entièrement facultative.
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Vérifiez le mécanisme de transfert applicable à votre hébergeur selon la documentation consultée en juillet 2026. Version 2.0 — 10 juillet 2026.
Voici maintenant, pas à pas, comment construire cette mention.
Étape 1 : définissez l’étendue de votre traitement
La première étape consiste à déterminer la finalité du traitement — autrement dit, pourquoi vous collectez des données. L’obligation découle de l’article 13.1.c :
« le responsable du traitement lui fournit, au moment où les données en question sont obtenues, (…) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement. »
Quelques exemples simples de traitements :
- newsletter ;
- recrutement des personnels ;
- gestion des badges d’accès ;
- gestion de la carte de cantine.
L’élément à cerner est le périmètre du traitement — question loin d’être triviale, aux conséquences juridiques lourdes. Voulez-vous collecter les données pour une simple newsletter, ou pour un CRM qui comporte une fonction newsletter ? La réponse change l’étendue de ce que vous pourrez faire.
La rédaction des finalités doit être suffisamment large, car vous ne pourrez pas ensuite traiter ces données d’une manière incompatible avec ce qui a été déclaré — c’est le principe de finalité posé par l’article 5.1.b (données « collectées pour des finalités déterminées, explicites et légitimes, et non traitées ultérieurement de manière incompatible »). Pensez donc à mentionner les finalités commerciales si vous en prévoyez :
L’inscription vous permet de recevoir la newsletter et nos communications sur la conformité au RGPD, ainsi que nos offres de produits et de services.
Étape 2 : définissez la base légale
L’article 13 exige d’indiquer la finalité et la base légale. Il faut donc préciser l’une des six bases de l’article 6 sur laquelle repose le traitement :
| Base légale (art. 6.1) | Cas d’usage typique |
|---|---|
| a) Consentement | Newsletter, prospection par email, cookies non essentiels |
| b) Contrat | Gestion d’une commande, d’un compte client |
| c) Obligation légale | Facturation, obligations RH, comptabilité |
| d) Intérêts vitaux | Urgence médicale |
| e) Mission d’intérêt public | Traitement par une autorité publique |
| f) Intérêt légitime | Sécurité, prospection B2B mesurée — à documenter par un triple test |
Pour choisir correctement, procédez par élimination (voir notre guide base légale RGPD). Pour une newsletter, la base est le consentement ; pour un site e-commerce, la gestion des commandes relève du contrat. Une fois la base retenue, indiquez-la :
La base légale est votre consentement (art. 6.1.a du RGPD).
Étape 3 : indiquez les destinataires des données
L’étape suivante consiste à préciser les destinataires. Le RGPD est ici plus strict que la réglementation antérieure : il faut détailler l’ensemble des personnes ayant accès aux données. L’article 13.1.e impose d’indiquer :
« les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent. »
L’article 4 définit largement le destinataire : « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données ». Cela inclut vos services internes concernés, vos sous-traitants (le prestataire d’emailing, l’hébergeur…), et les tiers légalement autorisés. Chaque sous-traitant doit par ailleurs être encadré par un contrat conforme à l’article 28 du RGPD.
Les destinataires sont le responsable de traitement, ses services internes en charge de la mailing list, le sous-traitant assurant la gestion de l’envoi (Prestataire Emailing SAS), ainsi que toute personne légalement autorisée à y accéder.
N’oubliez pas l’autorité judiciaire, susceptible d’accéder aux données par la loi (par exemple en cas d’infraction pénale).
Étape 4 : déterminez la durée de conservation
Nouveauté majeure du RGPD : il faut expliciter la durée de conservation. L’article 13.2.a impose d’indiquer cette durée ou, lorsqu’elle ne peut être fixée à l’avance, les critères permettant de la déterminer.
Les données sont conservées tant que vous restez inscrit à nos communications ; vous pouvez vous désinscrire à tout moment.
Tenez compte des délais légaux qui imposent parfois des durées précises (prescription commerciale, obligations en droit du travail, conservation comptable…). Pour fixer des durées cohérentes traitement par traitement, appuyez-vous sur notre tableau des durées de conservation : c’est l’un des documents que la CNIL contrôle en priorité.
Étape 5 : précisez si la fourniture des données est obligatoire
L’article 13.2.e impose d’indiquer si la fourniture des données a un caractère réglementaire ou contractuel, si la personne est tenue de les fournir, et les conséquences d’un défaut de fourniture.
La fourniture de votre email est nécessaire pour recevoir ces communications, et reste entièrement facultative.
Cela peut sembler paradoxal (l’email est bien nécessaire pour recevoir la newsletter…), mais la mention lève l’ambiguïté sur le caractère facultatif de l’inscription. Reliez toujours cette rédaction à la base légale : si vous collectez au titre d’une obligation légale (paie, sécurité sociale), indiquez-le, car la personne est alors tenue de fournir les données.
Étape 6 : finalisez avec les mentions obligatoires restantes
Il ne reste plus qu’à ajouter les prescriptions résiduelles de l’article 13 :
- identité et coordonnées du responsable de traitement (art. 13.1.a) ;
- coordonnées du délégué à la protection des données (art. 13.1.b) — uniquement si vous avez un DPO ;
- existence des droits : accès, rectification, effacement, limitation, opposition, portabilité (art. 13.2.b) ;
- droit d’introduire une réclamation auprès de la CNIL (art. 13.2.d).
Le responsable du traitement est la société Exemple SAS (adresse ; point de contact). Vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité. Vous pouvez introduire une réclamation auprès de la CNIL.
Cas particuliers à ne pas oublier
L’article 13 prévoit plusieurs situations qui, lorsqu’elles s’appliquent, ajoutent des mentions.
Profilage et décision automatisée
Si le traitement met en œuvre du profilage ou une prise de décision entièrement automatisée produisant des effets juridiques (art. 22), il faut le signaler et fournir des informations « utiles concernant la logique sous-jacente ». Ce cas est complexe et exige une analyse spécifique — voir notre guide sur l’article 22 du RGPD. Il rejoint désormais les problématiques d’IA : un système automatisé de scoring ou de tri relève à la fois de l’article 22 et, potentiellement, du règlement européen sur l’intelligence artificielle.
Transferts de données hors UE
Si les données sont susceptibles d’être transférées hors de l’Union (hébergement chez un prestataire non européen, par exemple), l’article 13.1.f impose de l’indiquer et de préciser le mécanisme qui encadre ce transfert. Depuis 2021, deux instruments dominent :
- les clauses contractuelles types de la Commission européenne (décision d’exécution 2021/914 du 4 juin 2021), qui ont remplacé les anciens jeux de clauses ;
- pour les transferts vers un prestataire américain certifié au titre du Data Privacy Framework (décision d’adéquation de la Commission du 10 juillet 2023), l’adéquation peut, selon les cas, servir de fondement.
L’hébergement est assuré par un prestataire susceptible de traiter les données hors UE ; ce transfert est encadré par les clauses contractuelles types (décision 2021/914) et, le cas échéant, par la décision d’adéquation « Data Privacy Framework ».
Vérifiez, pour chaque sous-traitant, le mécanisme réellement applicable et documentez-le selon la documentation consultée à la date de rédaction.
Base « intérêt légitime »
Si vous fondez le traitement sur l’intérêt légitime (art. 6.1.f), vous devez indiquer précisément quel intérêt est poursuivi. Cette base impose par ailleurs de documenter un triple test : elle ne dispense jamais d’une analyse rigoureuse.
Checklist des mentions de l’article 13
- [ ] Finalité(s) du traitement, rédigée(s) de façon suffisamment large
- [ ] Base légale (art. 6) correspondant à chaque finalité
- [ ] Identité et coordonnées du responsable de traitement
- [ ] Coordonnées du DPO (si désigné)
- [ ] Destinataires ou catégories de destinataires (services internes, sous-traitants, autorités)
- [ ] Durée de conservation (ou critères de détermination)
- [ ] Caractère obligatoire ou facultatif de la fourniture, et conséquences
- [ ] Droits des personnes (accès, rectification, effacement, limitation, opposition, portabilité)
- [ ] Droit de réclamation auprès de la CNIL
- [ ] Transfert hors UE et mécanisme d’encadrement (si applicable)
- [ ] Profilage / décision automatisée (si applicable)
- [ ] Intérêt légitime poursuivi (si base 6.1.f)
FAQ
Quelle différence entre mentions légales RGPD et mentions légales d’un site ?
Ce sont deux obligations distinctes qui se cumulent. Les mentions légales « classiques » (LCEN) identifient l’éditeur et l’hébergeur d’un site et figurent sur une page dédiée. Les mentions RGPD (article 13) informent la personne, au point de collecte, de ce qu’il advient de ses données. Un site conforme affiche les deux.
Où faut-il afficher les mentions de l’article 13 ?
Au plus près du point de collecte : sous un formulaire d’inscription, lors de la création d’un compte, au moment d’une prise de contact. On peut recourir à une information « en cascade » (une mention courte au formulaire renvoyant à une politique de confidentialité complète), à condition que l’essentiel soit visible immédiatement et l’accès à la version détaillée aisé.
Faut-il une mention différente pour chaque traitement ?
Oui, dans son contenu. Chaque traitement a ses propres finalités, base légale, destinataires et durée. Une même page de politique de confidentialité peut regrouper plusieurs traitements, mais chacun doit être décrit avec ses caractéristiques propres. L’idéal est de partir d’un modèle type que l’on décline traitement par traitement, en cohérence avec le registre des activités de traitement.
Que risque-t-on à ne pas afficher les mentions RGPD ?
Le défaut d’information est un manquement à part entière, régulièrement relevé par la CNIL lors de ses contrôles. Il peut donner lieu à une mise en demeure puis à une sanction. Or c’est l’un des manquements les plus simples à corriger : mieux vaut le traiter en amont.
Comment concilier exhaustivité et clarté ?
C’est le paradoxe de l’article 12 : l’information doit être complète mais aussi « concise, aisément accessible et facile à comprendre » (considérant 58). La solution recommandée est l’information à plusieurs niveaux : une mention synthétique au point de collecte, un lien vers une politique de confidentialité détaillée, et des pictogrammes ou encadrés pour les points clés (finalités, droits, contact).
Faut-il refaire ses mentions à chaque évolution du traitement ?
Oui. Dès qu’une finalité, un destinataire, une durée ou un mécanisme de transfert change, la mention doit être mise à jour et, pour les traitements en cours, la nouvelle information portée à la connaissance des personnes. Versionner ses mentions (numéro + date) facilite la traçabilité en cas de contrôle.
Conclusion
La rédaction des mentions d’information est un passage obligé du RGPD, auquel la CNIL est particulièrement sensible — bien davantage que les débats sur la case à cocher. En procédant méthodiquement (finalité, base légale, destinataires, durée, caractère obligatoire, droits), vous couvrez l’essentiel de l’article 13. Pensez à décliner un modèle type pour chaque traitement de l’organisation : un logiciel RGPD permet d’industrialiser la génération de ces mentions et de les maintenir à jour à mesure que vos traitements évoluent, ce qui évite l’écueil des mentions obsolètes disséminées sur le site.