RGPD & conformité
Politique de confidentialité (RGPD)
Modèle conforme au droit français · personnalisable · PDF & Word
Aperçu du document
Voici à quoi ressemble votre document, rempli avec un exemple. Le vôtre sera rédigé à partir de vos réponses.
POLITIQUE DE CONFIDENTIALITÉ
Acme SAS — version mise à jour le 2 juillet 2026
1. Responsable du traitement
Acme SAS, SAS au capital de 10 000,00 €, dont le siège social est situé 10 rue de la République, 75001 Paris, immatriculée au RCS Paris sous le numéro 123456789, agit en qualité de responsable du traitement des données à caractère personnel collectées via ses services.
2. Finalités du traitement
Vos données personnelles sont collectées et traitées pour les finalités suivantes :
- Gestion de la relation client (commandes, facturation, support, comptes utilisateur).
- Envoi de communications commerciales avec votre consentement.
- Amélioration de nos services, statistiques d'usage et sécurité.
- Respect de nos obligations légales et réglementaires (comptabilité, fiscalité).
3. Bases légales (art. 6 RGPD)
Selon les finalités, les bases légales applicables sont :
- Exécution d'un contrat ou de mesures précontractuelles (art. 6.1.b RGPD)
- Respect d'une obligation légale (art. 6.1.c)
- Intérêt légitime à développer notre activité (art. 6.1.f)
- Consentement pour les traitements optionnels — newsletter, cookies analytiques (art. 6.1.a)
4. Catégories de données traitées
Découvrez la suite en créant votre document
Créer mon documentQu'est-ce qu'une politique de confidentialité ?
La politique de confidentialité est le document par lequel un organisme informe les personnes concernées de la façon dont leurs données personnelles sont collectées, utilisées, conservées et protégées. Elle matérialise l'obligation de transparence imposée par les articles 12 à 14 du Règlement général sur la protection des données (RGPD).
On parle aussi de « politique de protection des données » ou de « notice d'information ». Quel que soit son nom, sa fonction est la même : permettre à toute personne dont vous traitez les données (client, prospect, visiteur, candidat, salarié) de comprendre ce que vous faites de ses informations, sur quel fondement, pendant combien de temps, et comment exercer ses droits.
Le RGPD exige que cette information soit délivrée « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (article 12.1). Une politique de confidentialité noyée dans un jargon illisible ne remplit donc pas son obligation : la clarté n'est pas un confort, c'est une exigence légale.
Une obligation, pas une option
Dès que vous collectez la moindre donnée personnelle (un simple email via un formulaire de contact suffit), vous devez informer la personne. La politique de confidentialité est le support standard de cette information : son absence est un manquement directement sanctionnable par la CNIL.
À quoi sert ce document et qui est concerné ?
La politique de confidentialité poursuit un double objectif : remplir votre obligation légale d'information et instaurer une relation de confiance avec vos utilisateurs. Un document clair rassure le visiteur sur le sérieux de votre organisation et facilite la conversion ; un document absent ou bâclé fragilise votre conformité et votre image.
Qui doit en publier une ?
Le responsable du traitement
Toute personne morale ou physique qui détermine les finalités et les moyens du traitement : entreprise, association, profession libérale, e-commerçant, éditeur de site ou d'application. C'est elle qui rédige et publie la politique.
Les personnes concernées
Les individus dont les données sont traitées : clients, prospects, abonnés à une newsletter, visiteurs d'un site, candidats à un emploi, utilisateurs d'un service. La politique s'adresse à elles.
En pratique, dès que vous disposez d'un site web avec un formulaire de contact, une boutique en ligne, une inscription à une newsletter, un espace client ou un simple outil de mesure d'audience, vous traitez des données personnelles et devez publier cette politique. Elle complète vos mentions légales, qui restent une obligation distincte.
Politique de confidentialité, mentions légales et politique cookies
Ces trois documents répondent à des obligations différentes : les mentions légales identifient l'éditeur du site, la politique cookies encadre les traceurs déposés sur le terminal, et la politique de confidentialité informe sur l'ensemble des traitements de données. Ils se complètent et ne se substituent pas l'un à l'autre.
Quand publier et mettre à jour votre politique ?
L'information doit être fournie au moment où les données sont collectées. Concrètement, la politique de confidentialité doit être accessible avant que la personne ne transmette ses informations : un lien permanent en pied de page, et un lien à proximité immédiate de chaque formulaire, sont les bonnes pratiques attendues.
- Lors de la collecte directe (formulaire, inscription, achat) : l'information est donnée au plus tard au moment où les données sont obtenues (article 13 RGPD).
- Lors d'une collecte indirecte (données obtenues d'un tiers, d'un partenaire, d'une base) : l'information est due dans un délai raisonnable, et au plus tard un mois après l'obtention (article 14 RGPD).
- À chaque évolution de vos traitements : nouvelle finalité, nouveau sous-traitant, nouveau destinataire, changement de durée de conservation ou de base légale.
Une politique vivante, pas figée
Votre politique de confidentialité doit refléter la réalité de vos traitements à tout instant. Indiquer une date de dernière mise à jour est une bonne pratique : elle prouve votre suivi et permet aux personnes de repérer les évolutions. Une politique qui décrit des traitements que vous ne réalisez plus, ou qui en oublie de nouveaux, vous expose autant qu'une absence de politique.
Les mentions obligatoires d'une politique RGPD
Les articles 13 et 14 du RGPD dressent la liste des informations que vous devez impérativement communiquer. L'omission de l'une d'elles rend votre information incomplète. Voici les mentions essentielles à faire figurer.
Identité du responsable du traitement
Le nom ou la dénomination sociale de l'organisme qui décide des traitements, son siège, et le cas échéant ses coordonnées de représentant (article 13.1.a).
Coordonnées du DPO ou du contact RGPD
Les coordonnées du délégué à la protection des données s'il en existe un, ou à défaut un point de contact stable et surveillé pour les questions relatives aux données (article 13.1.b).
Finalités du traitement
Les objectifs poursuivis (gestion client, prospection, statistiques, obligations légales…). Chaque finalité doit être déterminée, explicite et légitime (article 5.1.b).
Bases légales
Le fondement juridique de chaque traitement : exécution d'un contrat, obligation légale, intérêt légitime, consentement ou mission d'intérêt public (article 6 RGPD).
Catégories de données et destinataires
Les types de données traitées et les destinataires ou catégories de destinataires (personnel habilité, sous-traitants, partenaires), pour la transparence exigée (article 13.1.e).
Durées de conservation
La durée de conservation des données, ou à défaut les critères permettant de la déterminer, finalité par finalité (article 13.2.a et art. 5.1.e).
Droits des personnes
Le rappel des droits d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, et le droit de retirer son consentement à tout moment (articles 15 à 22).
Transferts hors UE et recours CNIL
L'existence de transferts hors Union européenne et leurs garanties (articles 44 à 49), ainsi que le droit d'introduire une réclamation auprès de la CNIL (article 13.2.d).
Bases légales et durées de conservation : le cœur de la conformité
Deux notions structurent toute politique sérieuse : sur quel fondement vous traitez les données (la base légale) et combien de temps vous les gardez (la durée de conservation). Ce sont les points les plus souvent mal renseignés.
Choisir la bonne base légale
Tout traitement doit reposer sur l'une des bases prévues à l'article 6 du RGPD. La gestion d'une commande ou d'un compte client relève de l'exécution du contrat ; la conservation d'une facture relève d'une obligation légale ; l'envoi d'une newsletter ou le dépôt de cookies analytiques requièrent en principe le consentement ; l'amélioration de vos services peut s'appuyer sur l'intérêt légitime, à condition de respecter les droits des personnes. Une même finalité ne peut reposer que sur une base, choisie en amont et non interchangeable au gré des circonstances.
Fixer des durées proportionnées
Le principe de limitation de la conservation (article 5.1.e) impose de ne garder les données que le temps strictement nécessaire à la finalité. Une durée par défaut de l'ordre de trente-six mois après le dernier contact utile est fréquente pour une relation client ; les données de prospection se conservent en principe trois ans à compter du dernier contact. Certaines durées plus longues relèvent d'obligations légales distinctes (pièces comptables, factures), qu'il convient de mentionner séparément de votre durée par défaut.
Au-delà de cinq ans, motivez
Une durée de conservation par défaut supérieure à soixante mois doit être justifiée par une obligation légale précise ou un besoin documenté (contentieux, garantie). Sinon, le principe de minimisation vous expose à un manquement. Conservez le strictement utile, pas davantage.
Les droits des personnes à rappeler impérativement
Votre politique doit informer chaque personne des droits qu'elle peut exercer sur ses données et de la manière de le faire. Les articles 15 à 22 du RGPD, complétés par la loi Informatique et Libertés, prévoient les droits suivants.
- Droit d'accès : obtenir la confirmation que des données sont traitées et en recevoir une copie (article 15).
- Droit de rectification : faire corriger des données inexactes ou incomplètes (article 16).
- Droit à l'effacement (« droit à l'oubli ») : obtenir la suppression de ses données dans les cas prévus (article 17).
- Droit à la limitation du traitement : geler temporairement l'utilisation des données (article 18).
- Droit à la portabilité : récupérer ses données dans un format structuré et lisible par machine, ou les faire transmettre à un autre responsable (article 20).
- Droit d'opposition : s'opposer à un traitement pour des raisons tenant à sa situation, et sans condition pour la prospection (article 21).
- Droit de retirer son consentement à tout moment, et droit de définir des directives sur le sort de ses données après son décès (loi 78-17).
Un délai de réponse encadré
Vous devez répondre à une demande d'exercice de droit dans un délai d'un mois à compter de sa réception. Ce délai peut être prorogé de deux mois en cas de complexité ou de nombre élevé de demandes, à condition d'en informer la personne. La gratuité est la règle, sauf demande manifestement infondée ou excessive.
Les erreurs à éviter
Copier-coller une politique d'un autre site
Une politique reprise telle quelle décrit des traitements qui ne sont pas les vôtres. Elle est à la fois inexacte et inutile : votre information doit refléter VOS finalités, VOS destinataires et VOS durées.
Oublier de citer une base légale
Annoncer une finalité sans son fondement juridique (article 6) rend l'information incomplète. Chaque traitement doit être rattaché à une base claire et non interchangeable.
Négliger les transferts hors UE
Recourir à un outil dont le support ou la maison mère accède aux données depuis un pays tiers constitue déjà un transfert. Il faut le mentionner et indiquer la garantie applicable (clauses contractuelles types, décision d'adéquation).
Confondre durée par défaut et obligation légale
La conservation de dix ans des pièces comptables ne justifie pas de garder toutes les données client pendant dix ans. Distinguez votre durée par défaut des durées imposées par la loi pour certains documents précis.
Omettre le recours à la CNIL
Le droit d'introduire une réclamation auprès de la CNIL est une mention obligatoire (article 13.2.d). L'oublier prive la personne d'une information à laquelle elle a droit.
Politique de confidentialité, mentions légales, cookies, DPA : quelles différences ?
Plusieurs documents gravitent autour de la conformité RGPD. Ils répondent à des obligations distinctes et ne se remplacent pas. Voici comment les situer.
| Document | Objet | Fondement principal |
|---|---|---|
| Politique de confidentialité | Informer les personnes sur l'ensemble des traitements de leurs données | RGPD art. 12 à 14 |
| Mentions légales | Identifier l'éditeur et l'hébergeur du site | Loi pour la confiance dans l'économie numérique (LCEN) |
| Politique cookies | Informer et recueillir le consentement sur les traceurs déposés | RGPD et loi 78-17 (art. 82) |
| Contrat de sous-traitance (DPA) | Encadrer le rôle d'un prestataire qui traite des données pour vous | RGPD art. 28 |
Sanctions, contrôle CNIL et recours
Le défaut d'information transparente ou une politique trompeuse sont des manquements au RGPD que la CNIL peut sanctionner, depuis le rappel à l'ordre jusqu'à des amendes administratives pouvant atteindre des montants significatifs au regard du chiffre d'affaires. Au-delà de la sanction, une politique défaillante fragilise la confiance et expose à des réclamations individuelles.
Le rôle de la CNIL
La Commission nationale de l'informatique et des libertés (CNIL, 3 place de Fontenoy, 75334 Paris Cedex 07) est l'autorité de contrôle française. Toute personne estimant que ses droits ne sont pas respectés peut la saisir d'une réclamation. Votre politique doit d'ailleurs rappeler ce droit de recours, qui est une mention obligatoire.
La transparence, votre meilleure protection
Une politique exacte, à jour et lisible n'est pas qu'une obligation : c'est la démonstration de votre sérieux. Elle vous protège en cas de contrôle et rassure vos utilisateurs au moment décisif où ils vous confient leurs données.
Questions fréquentes
Oui, dès que vous collectez la moindre donnée personnelle (même un simple email via un formulaire de contact). Les articles 12 à 14 du RGPD imposent d'informer les personnes de façon transparente, et la politique de confidentialité est le support standard de cette information. Son absence est un manquement sanctionnable par la CNIL.
Ce guide est fourni à titre d'information et reflète l'état du droit français applicable. Pour une situation complexe ou à fort enjeu, nous vous recommandons de faire relire votre document par un professionnel du droit.
Comment rédiger votre politique, étape par étape
Notre assistant vous guide question après question pour produire une politique complète et conforme. Voici les informations à préparer :
Un document à votre nom
Vous obtenez un PDF (et un format Word éditable) sans filigrane ni mention de la plateforme, conservé dans votre coffre-fort, prêt à être publié sur votre site et mis à jour quand vos traitements évoluent.