Politique de confidentialité : modèle RGPD gratuit et guide complet 2026
03/03/2026
Votre site a un formulaire de contact ? Un Google Analytics ? Une newsletter ? Alors vous collectez des données personnelles. Et le RGPD vous oblige à expliquer clairement ce que vous en faites — dans une politique de confidentialité.
Ce n'est pas un document juridique incompréhensible réservé aux grandes entreprises. C'est une page de votre site qui explique, en langage clair, comment vous traitez les données de vos visiteurs.
En 2025, la CNIL a prononcé plus de 280 sanctions, dont plus de 60% concernaient des PME. Autant dire que le "on verra plus tard" n'est plus une option.
Voici le guide complet + un modèle prêt à copier-coller.
Politique de confidentialité : c'est quoi exactement ?
C'est un document publié sur votre site web qui informe vos utilisateurs de :
- Quelles données vous collectez (nom, email, adresse IP, cookies...)
- Pourquoi vous les collectez (répondre à un formulaire, envoyer une newsletter, mesurer l'audience...)
- Comment vous les traitez et les protégez
- Combien de temps vous les conservez
- Quels droits les utilisateurs ont sur leurs données
C'est l'article 13 du RGPD qui impose ces obligations. Et contrairement aux mentions légales (qui identifient l'éditeur du site), la politique de confidentialité porte spécifiquement sur les données personnelles.
Différence avec les mentions légales
| Mentions légales | Politique de confidentialité | |
|---|---|---|
| Objet | Identification de l'éditeur et de l'hébergeur | Traitement des données personnelles |
| Base légale | LCEN (2004) | RGPD (2018) |
| Obligatoire | Tous les sites | Tous les sites qui collectent des données |
| Sanction max | 375 000 € | 20M € ou 4% du CA mondial |
Pour les mentions légales, consultez notre guide complet avec modèle gratuit.
Les 10 informations obligatoires (article 13 RGPD)
Le RGPD est précis sur ce que votre politique de confidentialité doit contenir. Voici la liste complète :
1. Identité du responsable de traitement
Qui décide de la collecte et du traitement des données ? C'est vous (ou votre entreprise). Indiquez le nom, l'adresse et les coordonnées.
2. Coordonnées du DPO (si applicable)
Le DPO (Délégué à la Protection des Données) est obligatoire pour les organismes publics, les entreprises dont l'activité principale implique un suivi régulier à grande échelle, ou le traitement de données sensibles. Pour les PME classiques, un simple contact "données personnelles" suffit.
3. Les données collectées
Listez précisément ce que vous récupérez :
- Formulaire de contact : nom, email, téléphone, message
- Newsletter : email
- Compte utilisateur : nom, email, mot de passe (hashé), préférences
- Analytics : adresse IP, pages visitées, durée de session, appareil
- Cookies : identifiants de session, préférences, cookies tiers
4. Les finalités du traitement
Pour chaque catégorie de données, expliquez pourquoi vous les collectez. Soyez précis — "améliorer nos services" est trop vague.
| Données collectées | Finalité |
|---|---|
| Email (formulaire contact) | Répondre à votre demande de contact |
| Email (newsletter) | Envoi de notre newsletter hebdomadaire |
| Données de navigation | Mesure d'audience et amélioration du site |
| Cookies fonctionnels | Mémorisation de vos préférences |
5. La base légale
Chaque traitement doit reposer sur une base légale. Les plus courantes :
- Consentement : la personne a donné son accord explicite (newsletter, cookies marketing)
- Exécution d'un contrat : les données sont nécessaires pour fournir un service (compte client, commande)
- Intérêt légitime : l'entreprise a un intérêt raisonnable à traiter les données (analytics, sécurité)
- Obligation légale : la loi impose la conservation (factures, comptabilité)
6. Les destinataires des données
Qui a accès aux données ? Votre équipe, bien sûr. Mais aussi vos sous-traitants : hébergeur, outil d'emailing, service d'analytics, prestataire de paiement...
Vous n'êtes pas obligé de lister chaque prestataire nommément, mais vous devez indiquer les catégories de destinataires.
7. Les transferts hors UE
Si vous utilisez des services américains (Google Analytics, Mailchimp, AWS), les données de vos utilisateurs traversent l'Atlantique. Vous devez le mentionner et préciser les garanties en place (clauses contractuelles types, Data Privacy Framework...).
8. La durée de conservation
Chaque type de données doit avoir une durée de conservation définie :
| Type de données | Durée recommandée |
|---|---|
| Données de contact (prospects) | 3 ans après le dernier contact |
| Données clients | Durée de la relation + 3 ans |
| Données de facturation | 10 ans (obligation légale) |
| Cookies analytics | 13 mois maximum |
| Logs de connexion | 1 an |
9. Les droits des utilisateurs
Le RGPD accorde 7 droits aux personnes concernées :
- Droit d'accès : savoir quelles données vous détenez
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression
- Droit à la portabilité : récupérer ses données dans un format standard
- Droit d'opposition : refuser un traitement
- Droit à la limitation : geler le traitement temporairement
- Droit de retirer son consentement : à tout moment
Vous devez indiquer comment exercer ces droits (email, formulaire...) et mentionner le droit de déposer une réclamation auprès de la CNIL.
10. Le caractère obligatoire ou facultatif de la collecte
Pour chaque formulaire, précisez quels champs sont obligatoires et ce qui se passe si l'utilisateur ne les remplit pas.
Modèle de politique de confidentialité (RGPD)
Voici un modèle complet à adapter. Remplacez les éléments entre crochets.
Politique de confidentialité — [Nom du site]
Dernière mise à jour : [date]
[Dénomination sociale] ([forme juridique], SIRET [numéro]) accorde une grande importance à la protection de vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons et protégeons vos informations lorsque vous utilisez notre site [www.monsite.fr].
Responsable du traitement : [Prénom Nom], [adresse email]
1. Données collectées
Nous collectons les données suivantes :
Données que vous nous fournissez directement :
- Formulaire de contact : nom, adresse email, numéro de téléphone, message
- Newsletter : adresse email
- [Compte client : nom, email, mot de passe, adresse de livraison]
Données collectées automatiquement :
- Données de navigation : adresse IP, type de navigateur, pages visitées, durée de visite
- Cookies : voir la section "Cookies" ci-dessous
2. Finalités et bases légales
| Finalité | Données utilisées | Base légale |
|---|---|---|
| Répondre à vos demandes de contact | Nom, email, téléphone, message | Intérêt légitime |
| Envoyer notre newsletter | Consentement | |
| Mesurer et analyser l'audience du site | Données de navigation | Intérêt légitime |
| [Gérer votre compte client] | [Nom, email, adresse] | [Exécution du contrat] |
| [Traiter vos commandes] | [Nom, adresse, données de paiement] | [Exécution du contrat] |
3. Destinataires des données
Vos données peuvent être transmises aux catégories de destinataires suivantes :
- Notre équipe interne (service client, équipe technique)
- Notre hébergeur : [nom de l'hébergeur]
- Notre outil d'emailing : [nom de l'outil]
- Notre outil d'analytics : [Google Analytics / Plausible / Matomo]
- [Notre prestataire de paiement : Stripe]
Nous ne vendons jamais vos données à des tiers.
4. Transferts hors Union Européenne
[Certains de nos prestataires sont situés aux États-Unis (Google, [autres]). Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission Européenne / le Data Privacy Framework UE-US.]
[OU : Toutes vos données sont hébergées et traitées au sein de l'Union Européenne.]
5. Durée de conservation
| Type de données | Durée |
|---|---|
| Données de contact (formulaire) | 3 ans après le dernier échange |
| Email newsletter | Jusqu'à votre désinscription |
| Données de navigation | 13 mois |
| [Données client] | [Durée de la relation contractuelle + 3 ans] |
| [Données de facturation] | [10 ans (obligation légale)] |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données
- Rectification : corriger des données inexactes
- Effacement : demander la suppression de vos données
- Portabilité : recevoir vos données dans un format structuré
- Opposition : vous opposer au traitement de vos données
- Limitation : demander la limitation du traitement
- Retrait du consentement : retirer votre consentement à tout moment
Pour exercer vos droits, contactez-nous à : [adresse email]
Nous nous engageons à répondre dans un délai de 30 jours.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL : www.cnil.fr.
7. Cookies
Notre site utilise des cookies pour :
- Cookies essentiels : fonctionnement du site (session, préférences). Pas de consentement requis.
- Cookies analytics : mesure d'audience ([Google Analytics / autre]). Soumis à votre consentement.
- [Cookies marketing] : [publicité ciblée, remarketing]. Soumis à votre consentement.
Vous pouvez gérer vos préférences via le bandeau cookies affiché lors de votre première visite, ou à tout moment via [lien vers le gestionnaire de cookies].
8. Sécurité
Nous mettons en place des mesures techniques et organisationnelles pour protéger vos données : chiffrement SSL/TLS, accès restreint aux données, mots de passe hashés, sauvegardes régulières.
9. Modifications
Cette politique peut être mise à jour. La date de dernière modification est indiquée en haut de cette page. Nous vous invitons à la consulter régulièrement.
Les 5 erreurs qui rendent votre politique non conforme
1. Utiliser un jargon juridique incompréhensible
Le RGPD exige une information "concise, transparente et compréhensible". Si votre politique de confidentialité ressemble à un contrat d'assurance de 15 pages, elle ne remplit pas son rôle. Écrivez en français clair.
2. Être trop vague sur les finalités
"Nous utilisons vos données pour améliorer nos services" ne suffit pas. La CNIL attend des finalités spécifiques : "mesurer l'audience du site via Google Analytics pour identifier les pages les plus consultées".
3. Oublier les sous-traitants
Vous utilisez Mailchimp pour vos newsletters ? Stripe pour les paiements ? Google Analytics pour les stats ? Ce sont des sous-traitants qui accèdent aux données de vos utilisateurs. Ils doivent figurer dans votre politique (au moins par catégorie).
4. Ne pas indiquer les durées de conservation
"Nous conservons vos données aussi longtemps que nécessaire" — c'est insuffisant. Chaque type de données doit avoir une durée définie et justifiable.
5. Copier un modèle sans l'adapter
Un modèle, c'est un point de départ. Si vous vendez des chaussures en ligne et que votre politique mentionne des "données de santé", ça ne colle pas. Adaptez chaque section à votre activité réelle.
Où placer votre politique de confidentialité ?
- Lien dans le footer de toutes les pages (obligatoire en pratique)
- Lien au niveau de chaque formulaire qui collecte des données
- Case à cocher avant inscription newsletter ("J'ai lu et j'accepte la politique de confidentialité")
- Bandeau cookies avec lien vers la politique complète
- Page dédiée accessible en 1 clic depuis n'importe quelle page
Besoin d'un site web conforme au RGPD ?
La conformité RGPD, ce n'est pas qu'un document à rédiger. C'est aussi une question technique : bannière cookies correctement implémentée, formulaires avec consentement explicite, données chiffrées, hébergement sécurisé.
Chez Bob le développeur, on construit des sites conformes dès la conception. Pas de patch après coup, pas de plugin bricolé — de la conformité by design.
Vous avez un projet ? Parlons-en.