Art. 12, 13, 14 RGPD : pourquoi votre politique de confidentialité ne suffit pas à passer les contrôles 2026

Chez Inkviari, on décortique pour vous les actualités qui comptent vraiment afin que vous gardiez toujours un temps d'avance.

Au programme de cet article, l'EDPB annonce la couleur pour 2026 en mettant la transparence sous les projecteurs, tandis que la CNIL vient encadrer l'usage des proxys web en entreprise. On termine avec une excellente nouvelle côté jurisprudence, la CJUE nous offre enfin un bouclier concret pour dire « stop » aux demandes d'accès abusives.

Veille RGPD : Transparence, Surveillance et Droit d'accès

Action coordonnée EDPB 2026 : la transparence au cœur des contrôles européens

Chaque année, le Comité Européen de la Protection des Données définit une priorité. Pour 2026, l'objectif est fixé : les autorités s'attaqueront aux obligations de transparence prévues par les articles 12, 13 et 14 du RGPD. Vingt-cinq autorités nationales, dont la CNIL, participeront simultanément à cette opération. Après une année 2025 dédiée au droit à l'effacement, vous disposez désormais du calendrier officiel pour anticiper vos mises en conformité.

Au-delà de la simple politique de confidentialité

L'examen de l'EDPB ne s'arrêtera pas à la lecture de votre site web. Les autorités évalueront la qualité de l'information délivrée à chaque point de contact.

Concernant l'article 12, une notice juridiquement parfaite mais illisible pour une personne moyenne est considérée comme non conforme. La forme, impliquant un langage clair et une structure concise, est ici aussi cruciale que le fond. 

Pour la collecte directe visée par l'article 13, qu'il s'agisse d'un recrutement, d'une commande ou d'un simple devis, l'information doit être complète. Si l'approche en couches est validée, un lien seul sans information visible au moment de la collecte reste insuffisant. 

Et l'article 14 sur la collecte indirecte représente le point de vulnérabilité majeur. Il concerne l'achat de bases de données, l'enrichissement CRM ou les données publiques. L'information doit intervenir dans un délai d'un mois, ou dès la première communication avec la personne, voire avant toute transmission à un tiers.

Les leçons de 2025

Les contrôles de 2025 sur l'effacement ont révélé une tendance claire : si les réponses juridiques tiennent souvent la route, c'est l'aspect opérationnel qui fait défaut. Le manque de procédures formalisées, les difficultés techniques pour supprimer les données des sauvegardes et les informations lacunaires ont conduit à des mises en demeure. Pour 2026, les autorités sanctionneront le décalage entre vos notices théoriques et la réalité technique de votre registre.

Votre feuille de route pour vous préparer

La première étape consiste à recenser l'ensemble des points de collecte, incluant le papier, les appels, les bornes et les applications mobiles. Il convient ensuite de valider la conformité des mentions au regard des articles 13 et 14, tout en documentant vos choix stratégiques. 

Cette démarche impose de synchroniser vos supports avec le registre afin que chaque prestataire et chaque durée de conservation y figurent. N'oubliez pas de tracer chaque mise à jour, car la traçabilité constitue la preuve de votre conformité. Enfin, simulez un contrôle pour tester votre capacité à prouver l'intelligibilité de vos informations.

Un point de vigilance particulier concerne les transferts hors Union Européenne. Les mentions vagues ne suffisent plus. Vous devez pouvoir expliquer concrètement quels outils sont concernés et comment le niveau de protection est maintenu en pratique, de manière compréhensible pour un non-spécialiste.

Proxy web filtrant : la CNIL place le DPO en première ligne

Outils indispensables à la cybersécurité, les serveurs mandataires font l'objet d'une recommandation de la CNIL en mars 2026. Si ces outils sécurisent le réseau, ils constituent en eux-mêmes un traitement massif de données personnelles qui échappe encore trop souvent à l'analyse du DPO.

Un cadre juridique strict

La plupart des entreprises s'appuieront sur l'intérêt légitime pour justifier ce traitement, ce qui impose de documenter une mise en balance des droits. Le déchiffrement HTTPS doit être strictement nécessaire et la CNIL impose d'exclure les flux sensibles liés à la santé, à la banque ou à la vie privée. En matière de minimisation, les journaux doivent être proportionnés et les collaborateurs précisément informés de l'étendue de la surveillance. Une simple mention dans la charte informatique est désormais insuffisante.

La ligne rouge de la surveillance

La CNIL est formelle : utiliser les logs de sécurité pour évaluer la productivité d'un salarié est interdit. L'implication du DPO est désormais requise avant tout déploiement ou renouvellement. Selon l'ampleur du traitement, une analyse d'impact devra être envisagée.

Droit d'accès : la CJUE fournit un bouclier contre les abus

Un arrêt majeur du 19 mars 2026 vient sécuriser le travail des DPO face aux demandes d'accès industrielles visant uniquement à obtenir des dommages et intérêts.

La fin de l'automatisme

Désormais, une demande manifestement abusive peut être rejetée dès la première sollicitation. Si un demandeur cherche uniquement à créer artificiellement les conditions d'une indemnisation, sans exercer son droit dans le but de vérifier la légitimité du traitement qui le concerne, l'organisation peut s'y opposer. 

Pour activer ce bouclier, il est nécessaire de documenter l'abus en identifiant des indices comme un email factice, une inscription très récente ou des modèles militants. Le rejet doit être explicite et notifié sous un mois, en mentionnant les voies de recours.  

La jurisprudence rappelle d'ailleurs que le demandeur doit démontrer un dommage effectif, matériel ou moral pour obtenir réparation. La seule constatation d'un manquement ne suffit pas.