Que doit contenir une politique de confidentialité ?
Une politique de confidentialité doit indiquer l'identité du responsable de traitement, les finalités et la base légale de chaque traitement, les destinataires des données, la durée de conservation, les éventuels transferts hors UE, les droits des personnes (accès, rectification, effacement, opposition) et la possibilité de saisir la CNIL. Elle est obligatoire dès qu'un site collecte des données personnelles.
La politique de confidentialité est sans doute le document de conformité le plus souvent bâclé. Beaucoup d'éditeurs en publient une copiée sur un autre site, générique et déconnectée de ce qu'ils font réellement de leurs données. Or c'est précisément ce document que la CNIL examine en premier lorsqu'elle reçoit une plainte : il matérialise le principe de transparence, l'un des piliers du RGPD.
Voici, point par point, ce que la loi exige — et comment éviter les erreurs qui transforment un document de façade en aveu de non-conformité.
La politique de confidentialité est-elle obligatoire ?
Oui, dès que vous traitez des données personnelles. Et la notion est large : un nom, un e-mail, une adresse IP, un identifiant de cookie ou des données de navigation suffisent. Concrètement, presque tous les sites sont concernés :
- un formulaire de contact collecte un nom et un e-mail ;
- une newsletter collecte une adresse e-mail ;
- un compte utilisateur collecte identifiants et préférences ;
- un outil de mesure d'audience (Google Analytics, Matomo non exempté) collecte des identifiants et des données de navigation ;
- une solution de paiement traite des données de commande.
L'obligation découle des articles 12 à 14 du RGPD. L'article 12 pose la forme (information concise, transparente, compréhensible et aisément accessible), l'article 13 liste les informations à fournir lorsque les données sont collectées directement auprès de la personne, et l'article 14 celles à fournir lorsqu'elles sont obtenues indirectement (par exemple via un partenaire ou une base externe).
Seul un site strictement vitrine — aucun formulaire, aucun cookie non essentiel, aucune mesure d'audience — pourrait s'en dispenser. En 2026, ce cas est devenu l'exception.
Politique de confidentialité, mentions légales, cookies : ne pas confondre
Ces trois documents sont régulièrement amalgamés, voire fusionnés en une seule page. C'est une erreur : ils répondent à des obligations différentes, et la CNIL recommande explicitement de ne pas mélanger la politique de confidentialité avec les CGV/CGU.
| Document | Ce qu'il régit | Base légale | Obligatoire ? |
|---|---|---|---|
| Mentions légales | L'identité de l'éditeur du site | LCEN, art. 6 | Oui, tout site |
| Politique de confidentialité | Le traitement des données personnelles | RGPD, art. 13-14 | Oui, dès qu'il y a collecte de données |
| Politique de cookies | Le dépôt de traceurs sur le terminal | Art. 82 loi Informatique et Libertés | Oui, dès qu'il y a des cookies non essentiels |
En pratique, la politique de cookies est souvent intégrée à la politique de confidentialité (sous une section dédiée), ce qui est admis. En revanche, les mentions légales restent un document à part, et la politique de confidentialité ne doit pas être noyée dans les CGV. Pour la frontière entre conditions de vente et conditions d'usage, voir notre article CGV ou CGU : quelle différence.
Que doit contenir une politique de confidentialité ?
L'article 13 du RGPD énumère les informations à fournir au moment de la collecte. Une politique de confidentialité complète reprend les rubriques suivantes :
1. L'identité du responsable de traitement
Le responsable de traitement est la personne (physique ou morale) qui détermine les finalités et les moyens du traitement — en général, vous. Indiquez sa dénomination et ses coordonnées de contact. Si vous avez désigné un délégué à la protection des données (DPO), ses coordonnées doivent également figurer.
2. Les finalités et la base légale de chaque traitement
Pour chaque finalité (gérer les commandes, envoyer la newsletter, mesurer l'audience…), précisez la base légale parmi les six de l'article 6 du RGPD : consentement, exécution d'un contrat, obligation légale, intérêt légitime, mission d'intérêt public, ou sauvegarde des intérêts vitaux. C'est la rubrique la plus souvent escamotée, alors qu'elle est centrale : sans base légale valable, le traitement est illicite.
Une finalité = une base légale
Évitez la formule fourre-tout « nous traitons vos données pour améliorer nos services ». Chaque traitement doit être rattaché à une finalité déterminée et à une base légale identifiée. Un traitement fondé sur l'intérêt légitime doit en plus mentionner cet intérêt (ex. « prévenir la fraude »).
3. Les destinataires des données
Indiquez à qui les données sont transmises : vos sous-traitants (hébergeur, outil d'emailing, prestataire de paiement, solution analytics) et, le cas échéant, les catégories de destinataires tiers. Vous n'êtes pas obligé de tous les nommer un par un, mais l'information doit être suffisamment précise pour que la personne sache où vont ses données.
4. Les transferts hors Union européenne
Si un sous-traitant héberge ou traite les données hors de l'UE (par exemple un outil américain), vous devez le signaler et indiquer le mécanisme d'encadrement : décision d'adéquation, clauses contractuelles types, ou adhésion au Data Privacy Framework. Sur ce point sensible, voir notre guide Transferts de données hors UE en 2026.
5. La durée de conservation
Pour chaque catégorie de données, indiquez la durée de conservation ou, à défaut, les critères qui la déterminent. « Conservation illimitée » n'est jamais acceptable : le RGPD impose une durée proportionnée à la finalité. Pour connaître les durées recommandées par la CNIL selon vos données (clients, prospects, salariés, cookies…), utilisez notre tableau des durées de conservation.
6. Les droits des personnes
La politique doit rappeler les droits ouverts par le RGPD : accès, rectification, effacement, limitation, opposition, portabilité, et le droit de retirer son consentement à tout moment lorsque le traitement repose dessus. Indiquez comment les exercer (adresse e-mail ou postale dédiée) et mentionnez le droit d'introduire une réclamation auprès de la CNIL.
7. Le caractère obligatoire ou facultatif, et la décision automatisée
Précisez si la fourniture des données est obligatoire (et les conséquences d'un refus) et l'existence éventuelle d'une décision automatisée ou d'un profilage produisant des effets significatifs, avec une information sur la logique sous-jacente.
Les erreurs les plus fréquentes
- Copier-coller la politique d'un autre site. Vous décrivez alors des traitements qui ne sont pas les vôtres, et vous en omettez d'autres. C'est inexact, donc non conforme.
- Oublier la base légale. Lister les finalités sans rattacher chacune à une base légale est le défaut le plus courant.
- Ne pas mentionner les sous-traitants hors UE. Un simple Google Analytics ou un outil d'emailing américain déclenche l'obligation d'information sur les transferts.
- Indiquer des durées de conservation absentes ou « illimitées ».
- Fusionner la politique avec les CGV. La CNIL demande un document autonome et clairement accessible.
- Ne pas la mettre à jour. Un nouvel outil, un nouveau partenaire ou une nouvelle finalité doivent y être reflétés.
Quand et comment la mettre à jour
Une politique de confidentialité n'est pas un document figé. Révisez-la dès que :
- vous ajoutez un nouvel outil traitant des données (CRM, chat, pixel publicitaire) ;
- vous changez de sous-traitant (hébergeur, solution d'emailing) ;
- vous ouvrez une nouvelle finalité (programme de fidélité, prospection) ;
- le cadre juridique évolue.
Datez la dernière mise à jour en bas du document : c'est un signal de sérieux pour vos visiteurs comme pour la CNIL. Si vos traitements reposent sur le consentement et que vous en modifiez la portée, une simple mise à jour silencieuse ne suffit pas — il faut recueillir un nouveau consentement.
Comment rédiger la vôtre rapidement
Rédiger une politique de confidentialité conforme suppose de cartographier vos traitements, d'identifier la bonne base légale pour chacun et de formuler le tout dans les règles. C'est exactement ce que fait notre générateur : vous décrivez votre activité et les outils que vous utilisez, il produit un document structuré, à jour du RGPD, que vous n'avez plus qu'à publier. Pensez à l'accompagner des autres documents du socle — mentions légales, politique cookies et, si vous vendez en ligne, CGV — car ils fonctionnent en système.
Ressources officielles
- Articles 13 et 14 du RGPD (règlement UE 2016/679) — texte officiel sur EUR-Lex.
- Information des personnes et transparence — guide de la CNIL.
- Droits de la personne concernée (chapitre III du RGPD) — CNIL.