EntrepriseRGPD & conformité

Politique de confidentialité (RGPD)

La politique de confidentialité informe vos visiteurs et clients de la manière dont vous traitez leurs données personnelles. Rédigez la vôtre en quelques minutes — et comprenez chaque mention obligatoire grâce à ce guide complet, à jour du RGPD.

Auteur
Rédigé et vérifié par LinealStart
Dernière mise à jour
Mis à jour le 11 juin 2026
Temps de personnalisation
~8 min pour personnaliser
Temps de lecture du guide
13 min de lecture
  • Conforme au droit français
  • PDF et Word à votre nom
  • Sans filigrane

Aperçu du document

Voici à quoi ressemble votre document, rempli avec un exemple. Le vôtre sera rédigé à partir de vos réponses.

POLITIQUE DE CONFIDENTIALITÉ

Acme SAS — version mise à jour le 2 juillet 2026

1. Responsable du traitement

Acme SAS, SAS au capital de 10 000,00 €, dont le siège social est situé 10 rue de la République, 75001 Paris, immatriculée au RCS Paris sous le numéro 123456789, agit en qualité de responsable du traitement des données à caractère personnel collectées via ses services.

2. Finalités du traitement

Vos données personnelles sont collectées et traitées pour les finalités suivantes :

  • Gestion de la relation client (commandes, facturation, support, comptes utilisateur).
  • Envoi de communications commerciales avec votre consentement.
  • Amélioration de nos services, statistiques d'usage et sécurité.
  • Respect de nos obligations légales et réglementaires (comptabilité, fiscalité).

3. Bases légales (art. 6 RGPD)

Selon les finalités, les bases légales applicables sont :

  • Exécution d'un contrat ou de mesures précontractuelles (art. 6.1.b RGPD)
  • Respect d'une obligation légale (art. 6.1.c)
  • Intérêt légitime à développer notre activité (art. 6.1.f)
  • Consentement pour les traitements optionnels — newsletter, cookies analytiques (art. 6.1.a)

4. Catégories de données traitées

Découvrez la suite en créant votre document

Créer mon document
Infographie : Politique de confidentialité (RGPD) — points clés, durée de personnalisation et nombre de références juridiques
Politique de confidentialité (RGPD) en bref — l'essentiel à retenir

Qu'est-ce qu'une politique de confidentialité ?

La politique de confidentialité est le document par lequel un organisme informe les personnes concernées de la façon dont leurs données personnelles sont collectées, utilisées, conservées et protégées. Elle matérialise l'obligation de transparence imposée par les articles 12 à 14 du Règlement général sur la protection des données (RGPD).

On parle aussi de « politique de protection des données » ou de « notice d'information ». Quel que soit son nom, sa fonction est la même : permettre à toute personne dont vous traitez les données (client, prospect, visiteur, candidat, salarié) de comprendre ce que vous faites de ses informations, sur quel fondement, pendant combien de temps, et comment exercer ses droits.

Le RGPD exige que cette information soit délivrée « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (article 12.1). Une politique de confidentialité noyée dans un jargon illisible ne remplit donc pas son obligation : la clarté n'est pas un confort, c'est une exigence légale.

Une obligation, pas une option

Dès que vous collectez la moindre donnée personnelle (un simple email via un formulaire de contact suffit), vous devez informer la personne. La politique de confidentialité est le support standard de cette information : son absence est un manquement directement sanctionnable par la CNIL.

À quoi sert ce document et qui est concerné ?

La politique de confidentialité poursuit un double objectif : remplir votre obligation légale d'information et instaurer une relation de confiance avec vos utilisateurs. Un document clair rassure le visiteur sur le sérieux de votre organisation et facilite la conversion ; un document absent ou bâclé fragilise votre conformité et votre image.

Qui doit en publier une ?

Le responsable du traitement

Toute personne morale ou physique qui détermine les finalités et les moyens du traitement : entreprise, association, profession libérale, e-commerçant, éditeur de site ou d'application. C'est elle qui rédige et publie la politique.

Les personnes concernées

Les individus dont les données sont traitées : clients, prospects, abonnés à une newsletter, visiteurs d'un site, candidats à un emploi, utilisateurs d'un service. La politique s'adresse à elles.

En pratique, dès que vous disposez d'un site web avec un formulaire de contact, une boutique en ligne, une inscription à une newsletter, un espace client ou un simple outil de mesure d'audience, vous traitez des données personnelles et devez publier cette politique. Elle complète vos mentions légales, qui restent une obligation distincte.

Politique de confidentialité, mentions légales et politique cookies

Ces trois documents répondent à des obligations différentes : les mentions légales identifient l'éditeur du site, la politique cookies encadre les traceurs déposés sur le terminal, et la politique de confidentialité informe sur l'ensemble des traitements de données. Ils se complètent et ne se substituent pas l'un à l'autre.

Quand publier et mettre à jour votre politique ?

L'information doit être fournie au moment où les données sont collectées. Concrètement, la politique de confidentialité doit être accessible avant que la personne ne transmette ses informations : un lien permanent en pied de page, et un lien à proximité immédiate de chaque formulaire, sont les bonnes pratiques attendues.

  • Lors de la collecte directe (formulaire, inscription, achat) : l'information est donnée au plus tard au moment où les données sont obtenues (article 13 RGPD).
  • Lors d'une collecte indirecte (données obtenues d'un tiers, d'un partenaire, d'une base) : l'information est due dans un délai raisonnable, et au plus tard un mois après l'obtention (article 14 RGPD).
  • À chaque évolution de vos traitements : nouvelle finalité, nouveau sous-traitant, nouveau destinataire, changement de durée de conservation ou de base légale.

Une politique vivante, pas figée

Votre politique de confidentialité doit refléter la réalité de vos traitements à tout instant. Indiquer une date de dernière mise à jour est une bonne pratique : elle prouve votre suivi et permet aux personnes de repérer les évolutions. Une politique qui décrit des traitements que vous ne réalisez plus, ou qui en oublie de nouveaux, vous expose autant qu'une absence de politique.

Les mentions obligatoires d'une politique RGPD

Les articles 13 et 14 du RGPD dressent la liste des informations que vous devez impérativement communiquer. L'omission de l'une d'elles rend votre information incomplète. Voici les mentions essentielles à faire figurer.

Identité du responsable du traitement

Le nom ou la dénomination sociale de l'organisme qui décide des traitements, son siège, et le cas échéant ses coordonnées de représentant (article 13.1.a).

Coordonnées du DPO ou du contact RGPD

Les coordonnées du délégué à la protection des données s'il en existe un, ou à défaut un point de contact stable et surveillé pour les questions relatives aux données (article 13.1.b).

Finalités du traitement

Les objectifs poursuivis (gestion client, prospection, statistiques, obligations légales…). Chaque finalité doit être déterminée, explicite et légitime (article 5.1.b).

Bases légales

Le fondement juridique de chaque traitement : exécution d'un contrat, obligation légale, intérêt légitime, consentement ou mission d'intérêt public (article 6 RGPD).

Catégories de données et destinataires

Les types de données traitées et les destinataires ou catégories de destinataires (personnel habilité, sous-traitants, partenaires), pour la transparence exigée (article 13.1.e).

Durées de conservation

La durée de conservation des données, ou à défaut les critères permettant de la déterminer, finalité par finalité (article 13.2.a et art. 5.1.e).

Droits des personnes

Le rappel des droits d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, et le droit de retirer son consentement à tout moment (articles 15 à 22).

Transferts hors UE et recours CNIL

L'existence de transferts hors Union européenne et leurs garanties (articles 44 à 49), ainsi que le droit d'introduire une réclamation auprès de la CNIL (article 13.2.d).

Bases légales et durées de conservation : le cœur de la conformité

Deux notions structurent toute politique sérieuse : sur quel fondement vous traitez les données (la base légale) et combien de temps vous les gardez (la durée de conservation). Ce sont les points les plus souvent mal renseignés.

Choisir la bonne base légale

Tout traitement doit reposer sur l'une des bases prévues à l'article 6 du RGPD. La gestion d'une commande ou d'un compte client relève de l'exécution du contrat ; la conservation d'une facture relève d'une obligation légale ; l'envoi d'une newsletter ou le dépôt de cookies analytiques requièrent en principe le consentement ; l'amélioration de vos services peut s'appuyer sur l'intérêt légitime, à condition de respecter les droits des personnes. Une même finalité ne peut reposer que sur une base, choisie en amont et non interchangeable au gré des circonstances.

Fixer des durées proportionnées

Le principe de limitation de la conservation (article 5.1.e) impose de ne garder les données que le temps strictement nécessaire à la finalité. Une durée par défaut de l'ordre de trente-six mois après le dernier contact utile est fréquente pour une relation client ; les données de prospection se conservent en principe trois ans à compter du dernier contact. Certaines durées plus longues relèvent d'obligations légales distinctes (pièces comptables, factures), qu'il convient de mentionner séparément de votre durée par défaut.

Au-delà de cinq ans, motivez

Une durée de conservation par défaut supérieure à soixante mois doit être justifiée par une obligation légale précise ou un besoin documenté (contentieux, garantie). Sinon, le principe de minimisation vous expose à un manquement. Conservez le strictement utile, pas davantage.

Les droits des personnes à rappeler impérativement

Votre politique doit informer chaque personne des droits qu'elle peut exercer sur ses données et de la manière de le faire. Les articles 15 à 22 du RGPD, complétés par la loi Informatique et Libertés, prévoient les droits suivants.

  • Droit d'accès : obtenir la confirmation que des données sont traitées et en recevoir une copie (article 15).
  • Droit de rectification : faire corriger des données inexactes ou incomplètes (article 16).
  • Droit à l'effacement (« droit à l'oubli ») : obtenir la suppression de ses données dans les cas prévus (article 17).
  • Droit à la limitation du traitement : geler temporairement l'utilisation des données (article 18).
  • Droit à la portabilité : récupérer ses données dans un format structuré et lisible par machine, ou les faire transmettre à un autre responsable (article 20).
  • Droit d'opposition : s'opposer à un traitement pour des raisons tenant à sa situation, et sans condition pour la prospection (article 21).
  • Droit de retirer son consentement à tout moment, et droit de définir des directives sur le sort de ses données après son décès (loi 78-17).

Un délai de réponse encadré

Vous devez répondre à une demande d'exercice de droit dans un délai d'un mois à compter de sa réception. Ce délai peut être prorogé de deux mois en cas de complexité ou de nombre élevé de demandes, à condition d'en informer la personne. La gratuité est la règle, sauf demande manifestement infondée ou excessive.

Comment rédiger votre politique, étape par étape

Notre assistant vous guide question après question pour produire une politique complète et conforme. Voici les informations à préparer :

  1. 1Identifiez le responsable du traitement : dénomination de la société, forme, siège et immatriculation.
  2. 2Renseignez une adresse de contact RGPD stable (par exemple dpo@ ou rgpd@votresociete.fr), de préférence fonctionnelle plutôt que nominative.
  3. 3Listez vos finalités réelles : gestion client, prospection, statistiques, obligations légales, sécurité.
  4. 4Identifiez la base légale de chaque finalité (contrat, obligation légale, intérêt légitime, consentement).
  5. 5Précisez les catégories de données collectées et les destinataires, en distinguant le personnel habilité des sous-traitants.
  6. 6Fixez la durée de conservation par défaut et signalez les transferts éventuels hors Union européenne et leurs garanties.
  7. 7Datez la mise à jour, puis publiez la politique en pied de page et près de vos formulaires.

Un document à votre nom

Vous obtenez un PDF (et un format Word éditable) sans filigrane ni mention de la plateforme, conservé dans votre coffre-fort, prêt à être publié sur votre site et mis à jour quand vos traitements évoluent.

Les erreurs à éviter

Copier-coller une politique d'un autre site

Une politique reprise telle quelle décrit des traitements qui ne sont pas les vôtres. Elle est à la fois inexacte et inutile : votre information doit refléter VOS finalités, VOS destinataires et VOS durées.

Oublier de citer une base légale

Annoncer une finalité sans son fondement juridique (article 6) rend l'information incomplète. Chaque traitement doit être rattaché à une base claire et non interchangeable.

Négliger les transferts hors UE

Recourir à un outil dont le support ou la maison mère accède aux données depuis un pays tiers constitue déjà un transfert. Il faut le mentionner et indiquer la garantie applicable (clauses contractuelles types, décision d'adéquation).

Confondre durée par défaut et obligation légale

La conservation de dix ans des pièces comptables ne justifie pas de garder toutes les données client pendant dix ans. Distinguez votre durée par défaut des durées imposées par la loi pour certains documents précis.

Omettre le recours à la CNIL

Le droit d'introduire une réclamation auprès de la CNIL est une mention obligatoire (article 13.2.d). L'oublier prive la personne d'une information à laquelle elle a droit.

Politique de confidentialité, mentions légales, cookies, DPA : quelles différences ?

Plusieurs documents gravitent autour de la conformité RGPD. Ils répondent à des obligations distinctes et ne se remplacent pas. Voici comment les situer.

DocumentObjetFondement principal
Politique de confidentialitéInformer les personnes sur l'ensemble des traitements de leurs donnéesRGPD art. 12 à 14
Mentions légalesIdentifier l'éditeur et l'hébergeur du siteLoi pour la confiance dans l'économie numérique (LCEN)
Politique cookiesInformer et recueillir le consentement sur les traceurs déposésRGPD et loi 78-17 (art. 82)
Contrat de sous-traitance (DPA)Encadrer le rôle d'un prestataire qui traite des données pour vousRGPD art. 28
Tableau comparatif — Objet · Fondement principal

Sanctions, contrôle CNIL et recours

Le défaut d'information transparente ou une politique trompeuse sont des manquements au RGPD que la CNIL peut sanctionner, depuis le rappel à l'ordre jusqu'à des amendes administratives pouvant atteindre des montants significatifs au regard du chiffre d'affaires. Au-delà de la sanction, une politique défaillante fragilise la confiance et expose à des réclamations individuelles.

Le rôle de la CNIL

La Commission nationale de l'informatique et des libertés (CNIL, 3 place de Fontenoy, 75334 Paris Cedex 07) est l'autorité de contrôle française. Toute personne estimant que ses droits ne sont pas respectés peut la saisir d'une réclamation. Votre politique doit d'ailleurs rappeler ce droit de recours, qui est une mention obligatoire.

La transparence, votre meilleure protection

Une politique exacte, à jour et lisible n'est pas qu'une obligation : c'est la démonstration de votre sérieux. Elle vous protège en cas de contrôle et rassure vos utilisateurs au moment décisif où ils vous confient leurs données.

Questions fréquentes

Oui, dès que vous collectez la moindre donnée personnelle (même un simple email via un formulaire de contact). Les articles 12 à 14 du RGPD imposent d'informer les personnes de façon transparente, et la politique de confidentialité est le support standard de cette information. Son absence est un manquement sanctionnable par la CNIL.

Ce guide est fourni à titre d'information et reflète l'état du droit français applicable. Pour une situation complexe ou à fort enjeu, nous vous recommandons de faire relire votre document par un professionnel du droit.

Explorez tout le thème : Données, propriété intellectuelle & confidentialité

Protégez vos secrets, vos créations et les données personnelles : confidentialité, cession de droits et RGPD.

Votre document, prêt en quelques minutes

Répondez à quelques questions, téléchargez un PDF (et un Word) à votre nom et conservez-le dans votre coffre-fort.