La mise en place des Mentions Légales RGPD

Votre entreprise fait du traitement de données personnelles ? Si c’est le cas, vous devez informer les personnes concernées en créant vos mentions légales RGPD. En quoi consistent les mentions légales RGPD ? Que doivent-elles contenir ? Où les placer ? Que dit le règlement RGPD ? On répond à toutes vos questions.

Sommaire :

En quoi consistent les mentions légales RGPD ?

Le règlement européen sur la protection des données personnelles impose de nouvelles obligations pour les entreprises. L’une d’entre elles est l’obligation d’information. Votre entreprise fait du traitement de données personnelles ? Dans ce cas, vous devez informer clairement et explicitement les personnes concernées les raisons qui justifient la collecte de leurs données personnelles. Les « mentions légales RGPD » désignent le texte à afficher à la personne au moment de la collecte de ses données.

L’article 13 du RGPD dresse la liste des informations obligatoires à intégrer dans les mentions légales RGPD.

Bon à savoir : Les mentions légales doivent être affichées au moment de la collecte des données. Dans la plupart des cas, les mentions légales RGPD sont placées sous le formulaire web en petits caractères.

Rédiger vos mentions légales RGPD en 6 étapes

Nous allons vous décrire la méthode à suivre pour rédiger vos mentions légales RGPD. Si votre entreprise ne dispose pas de service juridique en interne, nous vous recommandons de faire appel à un avocat expert en Droit de l’internet, en Droit du RGPD ou aux services d’un Data Protection Officer (DPO).

Voici les 5 étapes à suivre :

  • Etape 1 – Vous devez tout d’abord définir la finalité du traitement. Il s’agit tout simplement de répondre à la question « Pourquoi est-ce que je collecte ces données personnelles ? ». Il faut également préciser la base juridique du traitement, c’est-à-dire sa légalité. Cette étape est essentielle car vous ne pourrez pas réaliser des traitements qui n’ont pas été présentés dans les mentions légales RGPD. Prenez le temps de lister tous les traitements que vous envisagez de faire.

Bon à savoir : Les mentions légales RGPD doivent préciser la base juridique des traitements, c’est-à-dire leur licéité. Le RGPD précise les différentes bases juridiques possibles dans son article 6. Exemple : le consentement de la personne, l’exécution d’un contrat, une obligation légale, la sauvegarde des intérêts vitaux d’une personne, etc.

  • Etape 2 – Une fois que vous aurez formulé les finalités et la base juridique de la collecte, vous devez indiquer les destinataires des données, c’est-à-dire toutes les personnes physiques ou morales (entreprises) qui vont pouvoir accéder aux données collectées.
  • Etape 3 – Vous devez aussi préciser la durée de conversation des données.
  • Etape 4 – Vous devez également préciser clairement si la fourniture des données personnelles est une obligation ou pas.
  • Etape 5 – Vous devez insérer les dernières mentions légales prévues par l’article 13 du RGPD : identité et coordonnées du responsable de traitement, du DPO s’il y en a un, etc.

Nous vous invitons à prendre connaissance de l’article 13 du règlement européen sur la protection des données personnelles pour connaître la liste de toutes les informations à mentionner.

Découvrez notre guide complet sur les Logiciels RGPD.

Vous y trouverez aussi une liste des informations complémentaires à intégrer dans les mentions légales dans certains cas particuliers. Par exemple, si vous faites du profilage de données personnelles, vous devez l’indiquer dans les mentions légales. Si vous transférez les données collectées hors de l’UE (par exemple à un service numérique américain), vous devez aussi le préciser, etc.

Bon à savoir : Nous vous conseillons de faire rédiger ces mentions légales par un expert du droit. Si votre entreprise ne dispose pas de service juridique, vous pouvez contacter un avocat ou un DPO.

La rédaction des mentions légales RGPD est une obligation pour toutes les entreprises faisant du traitement de données personnelles. Il n’est pas possible d’y déroger. La CNIL veille scrupuleusement au respect de cette obligation.

Quelles sont les sanctions possibles en cas d’absence ou de non-conformité de mentions légales RGPD ?

La transparence est l’un des principes piliers du règlement RGPD. Les entreprises ont dorénavant pour obligation d’expliquer clairement la raison pour lesquelles elles collectent des données personnelles sur leurs clients, prospects, salariés, utilisateurs ou fournisseurs. Ne pas avoir de mentions légales RGPD ou avoir des mentions légales non-conformes va à l’encontre du respect de ce principe fondamental de transparence.

L’entreprise contrevenante s’expose à un avertissement de la part de la CNIL. Si les mentions légales ne sont pas mises en place ou corrigées dans les plus brefs délais, l’entreprise encourt une mise en demeure. Si la situation perdure, l’entreprise s’expose à des sanctions pénales lourdes : suspension des traitements et amende.

L’amende peut atteindre au maximum 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Ce sont des sanctions considérables. Raison pour laquelle il est important de rédiger les mentions légales RGPD et de les faire rédiger par un expert du droit.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce