Mentions légales RGPD : comment les rédiger ?

25/10/2023
⚙️ Mise en oeuvre

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018, révolutionnant le paysage de la protection des données personnelles en Europe. En conséquence, toutes les entreprises qui opèrent au sein de l'UE ou qui traitent des données de citoyens européens doivent s'assurer de respecter ces nouvelles directives.

L'une des étapes cruciales pour atteindre cette conformité est la mise en place des mentions légales RGPD sur votre site internet. En effet, en vertu du règlement européen, les organismes doivent prévoir des mentions légales ayant pour objectif d’informer un utilisateur ou un client du traitement de ses données personnelles. Ainsi, dès lors que votre entreprise collecte des données personnelles, vous devez les informer via la création de mentions légales (Article 13 du RGPD)

Dans cet article, nous aborderons :

✅ Quelles sont les mentions légales RGPD ?

✅ Comment rédiger les mentions légales ?

✅ Des exemples de rédactions de mentions légales conformes au RGPD 🎁

Mentions légales conformes au RGPD : êtes-vous concernés ?

Le champ d’application du RGPD est déterminé par les articles 2 RGPD et article 3 RGPD.

Le RGPD s'applique à toutes les activités professionnelles exercées dans l'Union européenne et/ou concernant les données personnelles de résidents européens (même si votre entreprise est immatriculée à l’étrange). Les traitements de données personnelles opérés dans le cadre d'une activité "strictement personnelle ou domestique" ne sont pas concernés.

Le RGPD s’applique :

  • À tout type de structure et de secteur d’activité : organismes privés, établissements publics, fondations, associations, ONG, entreprises ;
  • Dans l’UE : le RGPD s’applique aux organismes immatriculés dans l’Union européenne ;
  • En dehors de l’UE mais avec des activités sur le territoire d’un pays de l’Union européenne ou concernant des données de résident européen ;
  • Au responsable de traitement (pour son propre compte) ainsi qu’aux sous-traitants (pour le compte des clients) ;
  • Dès lors qu’il s’agit de traitement de données personnelles : l’article 4 du RGPD donne une définition large de la donnée à caractère personnel puisqu’il s’agit de toutes information directe ou indirecte permettant d’identifier une personne physique, même indirectement.

Vous l’aurez compris, presque tous les organismes traitent des données personnelles et sont donc soumis au Règlement européen sur la protection des données personnelles.

Qu’est-ce que des mentions légales RGPD ?

L’article 13 du RGPD impose de fournir des informations aux personnes concernées lorsque des données personnelles sont collectées. C’est un pilier du RGPD : donner des droits aux personnes. L’un de ces droits est l’information claire, transparente et accessible sur la manière dont sont gérés les données personnelles par les organismes.

Dès lors que vous traitez des données personnelles, vous êtes tenus de délivrer à vos utilisateurs des informations sur le sujet qui soient :

  • claires et explicites;
  • aisément accessibles;
  • formulées de manière simple et intelligible.

Ces informations obligatoires sont à communiquer à la personne concernée au moment de la collecte de ses données personnelles. Il s’agit de “mentions obligatoires” que la collecte de données se fasse directement auprès de la personne concernée (responsable de traitement), ou indirectement via l’un de vos partenaires (sous-traitant).

Les mentions légales sont de deux ordres :

  • les mentions génériques : les mentions génériques concernent les droits des personnes concernées et peuvent être rédigées de manière standard ;
  • les mentions spécifiques à votre traitement de données : les autres mentions légales concernent votre activité et doivent être rédigées “sur-mesure”.

En pratique, ces informations correspondent peu ou prou à celles enregistrées dans votre registre de traitement des données.

Comment rédiger vos mentions légales conformément au RGPD ?

Avant toute chose, les mentions légales peuvent prendre plusieurs formes : sur votre site internet, par exemple votre Politique de Confidentialité est le meilleure endroit. Vous pouvez également exposer ces mentions lors d’un opt-in ou d’un opt-out (cache à cocher pour donner son consentement) ou directement faire un renvoie vers votre Politique de Confidentialité.

Il est encore possible de mentionner ces informations lors de l’acceptation des Cookies 🍪 !

1- Identifier la finalité et base légale du traitement

  • La finalité du traitement de données : il s’agit des raisons pour lesquelles vous collectez les données. L’objectif de la collecte peut être de nature commerciale, marketing, RH, etc. A vous de le préciser (article 5 RGPD).
  • La base juridique du traitement des données : le traitement des données est autorisé si celui-ci repose sur une base légale, il s’agit de préciser laquelle. Cette base légale peut être notamment le consentement de la personne concernée, l’exécution d’un contrat ou encore l'intérêt légitime. Il existe 6 bases légales listées à l’article 6 du RGPD.

Informer les personnes concernées des finalités et des bases légales de votre traitement est une étape primordiale. Les mentions légales doivent être exhaustives. En effet, si vous oubliez un traitement, techniquement, vous n’êtes pas autorisés à le réaliser.

2- Identifier les destinataires du traitement

Identifier le ou les destinataire des données revient à établir la liste des personnes à qui les données seront communiquées ou qui pourront y avoir accès dans le cadre de leur travail. Il s’agit de l’ensemble des personnes de l’entreprise mais aussi ses sous-traitants.

3- Déterminer la durée de conservation des données

Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de la finalité de la collecte des données.

🔎Exemple : Les données des candidats à un emploi n’ayant pas été retenus sont conservées 2 ans au maximum avant d’être effacées. Au moment où le service RH collecte un CV, par exemple, il doit informer le candidat que celui-ci sera conservé 2 ans.

Les mentions légales doivent indiquer la :

  • durée de conservation des données personnelles,
  • ou, à défaut, les critères permettant de la déterminer.

4- Préciser le caractère facultatif ou obligatoire de la collecte des données

A cette étape vous devez indiquer à votre utilisateur si la fourniture de données est facultative ou obligatoire.

Si la fourniture de données est obligatoire, informez les personnes concernées des conséquences qu’il y aurait à refuser de fournir les données en question.

🔎 Exemple : Pour livrer une commande, l’entreprise a besoin de l’identité et de l’adresse du client. La fourniture de ces informations est obligatoire. En cas de refus, l’entreprise n’est pas en mesure de livrer la commande.

5- Mentionner les coordonnées des personnes responsables

Les mentions légales doivent obligatoirement indiquer :

6- Mentionner les droits des personnes concernées au titre du RGPD

La mention aux droits RGPD ne dépend pas de vos traitements de données, il s’agit de mentions génériques.

Vous devez simplement informer les personnes concernées :

Les personnes concernées doivent pouvoir demander, à tout instant, à faire valoir leurs droits sur leurs données, comme :

Les droits de la personne concernée sont listés dans les articles 15 à 22 du RGPD.

En outre, vous devez indiquer aux personnes concernées qu’elles peuvent déposer une réclamation auprès de la Cnil :

  • Lorsqu’elles ne parviennent pas à exercer leurs droits ;
  • Pour signaler une atteinte aux règles de protection des données personnelles.

💡 Certaines informations complémentaires peuvent être à intégrer dans les mentions légales. Vous devez notamment indiquer dans vos mentions légales :

  • le profilage de données personnelles,
  • le transfert de données collectées en dehors de l’UE.
  • Vos mentions légales doivent être rédigées en respectant le principe de transparence. Chaque mention RGPD doit délivrer des informations concises, compréhensibles et accessibles.

Deux exemples de rédactions de mentions légales

Pour vous aider à mettre ces recommandations en pratique, voici deux exemples de rédaction de mentions légales qui peuvent vous être utiles.

Exemple 1 : formulaire de collecte de données à caractère personnel

Il s’agit d’un exemple de mentions légales à faire apparaître sur un formulaire de collecte de données, à adapter selon votre cas :

Les informations recueillies font l'objet d’un traitement informatisé par (identité et coordonnées du responsable de traitement/ DPO)  pour (lister les finalités du traitement).
La base légale du traitement est (base légale du traitement : généralement le contrat ou le consentement).
Les destinataires des données collectées sont les suivants : (destinataires des données).
Les informations portées sur ce formulaire sont (obligatoires - facultatives)
Les données sont conservées pendant (durée de conservation des données ou critères permettant de la déterminer).
Vous bénéficiez de droits concernant vos données personnelles : accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données, retirer à tout moment votre consentement au traitement de vos données, vous opposer au traitement de vos données, exercer votre droit à la portabilité de vos données.
Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter : (contact de la personne traitant les demandes d’exercice des droits ou formulaire adhoc)
Si vous estimez, après réclamation auprès de nos services, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL sur leur site web ou par voie postale.

Exemple 2 : mise en place d’un système d’accès par badge

Les salariés doivent être informés de la mise en place d’un accès par badge, par exemple via un courriel ou un document remis lors de l’embauche. Cette information peut également figurer dans le règlement intérieur de l’établissement.

Voici un exemple de rédaction des mentions légales pour la mise en place d’un système de badgeage, à adapter selon votre cas :

“Les informations recueillies via votre badge font l'objet d’un traitement informatisé par (identité et coordonnées du responsable de traitement/ DPO).
La société a mis en place un système d’accès par badge afin de (finalités du traitement).
La base légale du traitement est (base légale - généralement l'intérêt légitime).
Les données enregistrées sur les salariés de la société sont les suivantes :  (données collectées via le système de badge).
Les personnes destinataires des données dont les suivantes : (destinataires des données).
La durée de conservation des données est de (durée de conservation des données ou critères permettant de la déterminer).
Vous bénéficiez de droits concernant vos données personnelles : accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données, vous opposer au traitement de vos données, exercer votre droit à la portabilité de vos données.
Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter : (contact de la personne traitant les demandes d’exercice des droits ou formulaire adhoc)
Si vous estimez, après réclamation auprès de nos services, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation en ligne à la CNIL sur leur site web ou par voie postale”.
  • Retrouvez d’autres exemples de rédaction de mentions légales adaptés à différents contextes sur le site de la CNIL.


👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Comment identifier un piratage de vos données personnelles ?
26/7/2023
Pourquoi vous allez adorer le Privacy by Design
8/7/2021
Faire appliquer le RGPD en entreprise en 10 étapes
8/2/2023
Droit à l’image et RGPD : comment récolter les autorisations en conformité
25/9/2023

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023