Politique de confidentialité : modèle gratuit et guide de rédaction
La politique de confidentialité est l’un des documents les plus contrôlés par la CNIL, et pourtant 40 % des sites de PME n’en ont pas ou affichent une version trop générique. Ce guide vous explique exactement ce que votre politique doit contenir, avec un modèle gratuit à adapter.
Pourquoi la politique de confidentialité est-elle obligatoire ?
Les articles 13 et 14 du RGPD imposent au responsable de traitement d’informer les personnes concernées de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Cette obligation s’applique dès la collecte de la première donnée personnelle : une adresse email dans un formulaire de contact, une adresse IP via des cookies, un nom dans un formulaire de devis.
L’absence de politique de confidentialité constitue un manquement à l’obligation de transparence (articles 12 à 14 du RGPD), passible d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du CA mondial. En procédure simplifiée, les amendes pour les PME atteignent couramment 5 000 à 20 000 €.
Les 12 mentions obligatoires
Votre politique de confidentialité doit obligatoirement inclure :
- Identité et coordonnées du responsable de traitement— Raison sociale, adresse, email de contact.
- Coordonnées du DPO (si désigné) ou du référent RGPD.
- Finalités de chaque traitement — Pourquoi vous collectez ces données (gestion des demandes de contact, newsletter, analyse d’audience, etc.).
- Base juridique de chaque traitement — Consentement, exécution d’un contrat, intérêt légitime, ou obligation légale (article 6 du RGPD).
- Catégories de données collectées — Nom, email, téléphone, adresse IP, données de navigation.
- Destinataires des données — Services internes, sous-traitants (hébergeur, CRM, outil emailing), partenaires.
- Durées de conservation — Pour chaque type de donnée et chaque finalité.
- Transferts hors UE — Si applicable, les pays destinataires et les garanties (CCT, décision d’adéquation).
- Droits des personnes — Droit d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition.
- Droit de réclamation — Mention du droit de saisir la CNIL (avec lien vers cnil.fr).
- Caractère obligatoire ou facultatif des données demandées et conséquences du refus.
- Prise de décision automatisée — Si applicable, mentionner le profilage et la logique sous-jacente.
Modèle de politique de confidentialité
Voici un modèle à adapter à votre situation. Remplacez les éléments entre crochets par vos informations réelles.
Politique de confidentialité de [Nom de votre entreprise]
Dernière mise à jour : [Date]
1. Responsable de traitement
[Raison sociale], [forme juridique] au capital de [montant] €, immatriculée au RCS de [ville] sous le n° [SIRET], dont le siège social est situé au [adresse], est responsable du traitement de vos données personnelles. Contact : [email].
2. Données collectées et finalités
| Finalité | Données | Base juridique | Durée |
|---|---|---|---|
| Réponse aux demandes de contact | Nom, email, message | Intérêt légitime | 3 ans |
| Newsletter | Consentement | Jusqu’au désabonnement | |
| Mesure d’audience | Adresse IP, pages visitées | Consentement | 13 mois |
3. Destinataires
Vos données peuvent être transmises aux sous-traitants suivants : [Hébergeur : nom, pays], [Outil emailing : nom, pays], [Analytics : nom, pays].
4. Transferts hors UE
[Si applicable] Certaines données sont transférées vers [pays] sur la base de [clauses contractuelles types / décision d’adéquation / EU-US Data Privacy Framework].
5. Vos droits
Vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition. Pour exercer ces droits, contactez-nous à [email]. Nous répondrons sous 30 jours. En cas de difficulté, vous pouvez saisir la CNIL (www.cnil.fr).
Important : ce modèle est un point de départ. Vous devez impérativement l’adapter à vos traitements réels. Une politique de confidentialité générique qui ne reflète pas vos pratiques constitue un manquement à l’obligation de transparence du RGPD.
Les 5 erreurs les plus fréquentes
- Copier-coller une politique trouvée sur internet — Si les traitements ne correspondent pas aux vôtres, c’est un manquement.
- Ne pas mentionner les sous-traitants — Google, Mailchimp, votre hébergeur : tous doivent être listés.
- Oublier les durées de conservation — Chaque donnée doit avoir une durée justifiée. « Tant que nécessaire » n’est pas acceptable.
- Ne pas mentionner les droits des personnes — Accès, rectification, effacement, portabilité, opposition : tous doivent figurer.
- Page inaccessible — La politique doit être accessible depuis n’importe quelle page du site (lien en footer recommandé).
Politique de confidentialité vs mentions légales
Ces deux documents sont souvent confondus mais ont des fondements juridiques différents :
| Mentions légales | Politique de confidentialité | |
|---|---|---|
| Fondement | LCEN (loi 2004-575) | RGPD (articles 13-14) |
| Objet | Identifier l’éditeur du site | Détailler les traitements de données |
| Amende max | 375 000 € | 20 M€ ou 4 % du CA |
Vérifiez votre politique avec ConformCheck
ConformCheck analyse automatiquement la présence et le contenu de votre politique de confidentialité. Notre scanner vérifie qu’elle est accessible, qu’elle contient les mentions clés et qu’elle est cohérente avec les cookies effectivement déposés par votre site. L’audit est gratuit et prend 30 secondes.