Politique de confidentialité RGPD : modèle gratuit + obligations 2026

La politique de confidentialité est le document central par lequel un responsable de traitement remplit ses obligations d’information vis-à-vis des personnes concernées (articles 13 et 14 du RGPD). C’est aussi l’un des éléments les plus fréquemment contrôlés par la CNIL, et l’une des sources les plus communes de sanctions : politique manquante, illisible, incomplète ou trompeuse.

Ce guide vous fournit un modèle de politique de confidentialité gratuit, à jour 2026, et détaille les mentions obligatoires que vous devez intégrer pour être conforme. Il s’adresse aux responsables de la conformité, dirigeants de PME, DPO et juristes qui doivent rédiger ou auditer ce document.

1. Qu’est-ce qu’une politique de confidentialité ?

La politique de confidentialité est un document, généralement publié sur le site web du responsable de traitement, qui détaille les modalités de traitement des données personnelles collectées. Elle ne doit pas être confondue avec :

• Les mentions légales : informations relatives à l’éditeur du site (raison sociale, hébergeur, directeur de publication), imposées par la LCEN.
• Les conditions générales de vente (CGV) : contrat régissant les relations commerciales.
• La politique de cookies : document spécifique aux traceurs et au consentement (Art. 82 LIL).

Une organisation conforme dispose en réalité de trois ou quatre documents distincts, chacun ayant une finalité juridique propre.

2. Cadre juridique : articles 13 et 14 du RGPD

L’obligation de mettre en place une politique de confidentialité découle directement des articles 13 et 14 du RGPD, qui imposent au responsable de traitement de fournir aux personnes concernées une série d’informations au moment de la collecte des données (Art. 13) ou dans un délai raisonnable lorsque les données n’ont pas été collectées directement auprès de la personne (Art. 14).

L’article 12 du RGPD précise que ces informations doivent être communiquées “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”. La CNIL sanctionne régulièrement les politiques rédigées en jargon juridique illisible, ou enfouies dans une navigation complexe.

3. Mentions obligatoires de la politique de confidentialité

Voici la liste exhaustive des mentions à faire figurer dans votre politique de confidentialité, conformément aux articles 13 et 14 du RGPD :

a) Identité du responsable de traitement

• Nom (ou raison sociale) du responsable de traitement
• Coordonnées (adresse postale, email)
• Le cas échéant, identité et coordonnées du représentant (Art. 27 RGPD pour les responsables hors UE)

b) Coordonnées du DPO

Si vous avez désigné un délégué à la protection des données, ses coordonnées doivent figurer dans la politique. La désignation d’un DPO est obligatoire pour les autorités publiques et certaines catégories d’entreprises (Art. 37 RGPD).

c) Finalités du traitement et bases légales

Pour chaque finalité (par exemple : gestion des commandes, prospection commerciale, statistiques d’audience), vous devez :

• Décrire clairement la finalité poursuivie
• Indiquer la base légale retenue parmi les six prévues à l’article 6 (consentement, contrat, obligation légale, intérêt vital, mission de service public, intérêt légitime)
• Si la base légale est l’intérêt légitime, identifier précisément cet intérêt

d) Catégories de données collectées

Lister les catégories de données traitées : données d’identification, coordonnées, données de connexion, données de paiement, données sensibles (Art. 9 RGPD)… La transparence est indissociable du principe de minimisation qui interdit de collecter au-delà du strict nécessaire.

e) Destinataires ou catégories de destinataires

Indiquer qui reçoit les données :

• Services internes du responsable
• Sous-traitants (hébergeur, prestataire emailing, outil CRM)
• Tiers destinataires (autorités publiques, partenaires commerciaux)

f) Transferts hors UE

Si des données sont transférées en dehors de l’Espace économique européen, préciser :

• Le pays de destination
• Le mécanisme de transfert (décision d’adéquation, clauses contractuelles types, BCR)
• Les modalités d’accès aux garanties par les personnes concernées

Depuis l’arrêt Schrems II (CJUE, 16 juillet 2020), les transferts vers les États-Unis font l’objet d’une vigilance renforcée. La sanction de 1,2 milliard d’euros infligée à Meta en 2023 illustre l’importance pratique de cette mention.

g) Durées de conservation

Pour chaque catégorie de données, indiquer la durée de conservation ou, à défaut, les critères permettant de la déterminer. Cette obligation découle du principe de temporalité (Art. 5.1.e RGPD).

h) Droits des personnes concernées

Mentionner explicitement les droits dont disposent les personnes :

• Droit d’accès (Art. 15)
• Droit de rectification (Art. 16)
• Droit à l’effacement / droit à l’oubli (Art. 17)
• Droit à la limitation (Art. 18)
• Droit à la portabilité (Art. 20)
• Droit d’opposition (Art. 21)
• Droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement
• Droit d’introduire une réclamation auprès de la CNIL

Indiquer les modalités d’exercice (adresse email dédiée, formulaire en ligne, courrier postal) et le délai de réponse (1 mois, prorogeable de 2 mois).

i) Caractère obligatoire ou facultatif de la collecte

Lorsque les données sont collectées via un formulaire RGPD, préciser quels champs sont obligatoires et les conséquences d’un défaut de fourniture (impossibilité de finaliser la commande, par exemple).

j) Existence d’une décision automatisée

Si vous mettez en œuvre une prise de décision automatisée, y compris du profilage (Art. 22 RGPD), indiquer la logique sous-jacente, l’importance et les conséquences pour la personne concernée.

4. Modèle de politique de confidentialité (gratuit)

Voici un modèle structuré que vous pouvez librement réutiliser et adapter à votre activité. Il est conforme aux articles 13 et 14 du RGPD à jour 2026.

Politique de confidentialité — [Nom de l’organisation]

Dernière mise à jour : [date]

1. Responsable de traitement [Nom de l’organisation], [forme juridique], dont le siège social est situé [adresse], immatriculée au RCS de [ville] sous le numéro [SIREN], représentée par [représentant légal]. Contact : [email] — [téléphone].

2. Délégué à la protection des données (DPO) [Nom et coordonnées], joignable à l’adresse : dpo@[organisation].fr.

3. Finalités du traitement et bases légales Vos données personnelles sont traitées pour les finalités suivantes :

• Gestion des commandes et de la facturation (base légale : exécution du contrat, Art. 6.1.b RGPD)
• Prospection commerciale par email (base légale : consentement, Art. 6.1.a RGPD — détail dans notre guide prospection commerciale RGPD)
• Statistiques d’audience anonymisées (base légale : intérêt légitime, Art. 6.1.f RGPD)

4. Catégories de données collectées

• Données d’identification : nom, prénom, email, adresse postale
• Données de connexion : adresse IP, identifiants de session
• Données de paiement (traitées par notre prestataire [nom])

5. Destinataires des données Vos données sont accessibles à nos services internes (commercial, support) ainsi qu’à nos sous-traitants : hébergeur ([nom]), prestataire emailing ([nom]), outil CRM ([nom]). Tous ces sous-traitants sont liés par un contrat conforme à l’article 28 du RGPD.

6. Transferts hors UE [Si applicable] Certaines de vos données sont transférées vers [pays] dans le cadre de l’utilisation de [outil]. Ce transfert est encadré par [mécanisme de transfert].

7. Durées de conservation

• Données client : 3 ans après la fin de la relation commerciale
• Données de prospection : 3 ans à compter du dernier contact
• Données comptables : 10 ans (obligation légale)

8. Vos droits Vous disposez à tout moment des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition. Vous pouvez les exercer à l’adresse : [email-dpo]. Vous disposez également du droit d’introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — www.cnil.fr).

9. Cookies Notre site utilise des cookies. Pour plus d’informations, consultez notre [politique cookies dédiée].

5. Sanctions CNIL en cas d’absence ou de non-conformité

L’absence de politique de confidentialité, ou une politique manifestement non conforme, est une cause régulière de sanctions RGPD prononcées par la CNIL :

• Société anonyme — 3 500 000 € (CNIL, décembre 2025) : politique de confidentialité ne mentionnant pas la transmission des données à un réseau social pour de la publicité ciblée. Information cachée dans une navigation complexe multi-documents.
• Google LLC — 50 000 000 € (CNIL, janvier 2019) : informations relatives au consentement et aux finalités présentées de manière trop générique et noyées dans plusieurs documents distincts.
• HUBSIDE.STORE — 525 000 € (CNIL, avril 2024) : politique ne mentionnant pas la liste exhaustive des partenaires destinataires des données collectées via formulaires de jeux-concours.

L’enseignement opérationnel est constant : la politique doit être complète, accessible en un clic, et compréhensible.

FAQ

La politique de confidentialité est-elle obligatoire ?

Oui, dès lors qu’une organisation traite des données personnelles. Les obligations d’information des articles 13 et 14 du RGPD s’imposent à tous les responsables de traitement, qu’ils soient une grande entreprise, une PME ou une association. L’absence de politique constitue un manquement passible d’une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Quelle différence entre politique de confidentialité et mentions légales ?

Les mentions légales identifient l’éditeur d’un site (LCEN du 21 juin 2004) — raison sociale, hébergeur, directeur de publication. La politique de confidentialité informe les personnes sur le traitement de leurs données personnelles (Art. 13-14 RGPD). Ce sont deux documents distincts, avec deux fondements juridiques différents.

Une politique de confidentialité doit-elle être signée ou acceptée ?

Non. La politique de confidentialité est un document d’information, pas un contrat. Elle ne nécessite ni signature, ni case à cocher pour acceptation. En revanche, lorsque le traitement est fondé sur le consentement, ce consentement doit être recueilli séparément, par un acte positif clair (voir nos exemples de formulaires RGPD).

À quelle fréquence faut-il mettre à jour la politique de confidentialité ?

À chaque modification significative : nouveau traitement, changement de sous-traitant, modification des finalités, des durées de conservation ou des destinataires. La date de dernière mise à jour doit figurer en tête du document. Une revue annuelle est un minimum.

Peut-on rédiger une politique unique pour plusieurs sites ?

C’est possible mais déconseillé. Si les sites traitent des données différentes, à des finalités différentes, ou avec des sous-traitants différents, une politique unique deviendra rapidement imprécise — donc non conforme. Mieux vaut une politique par site, qui peut renvoyer à une charte commune pour les principes généraux.

Quelles sanctions risque-t-on pour une politique non conforme ?

Les sanctions vont de la mise en demeure publique à l’amende administrative pouvant atteindre 4 % du chiffre d’affaires mondial. La CNIL prononce régulièrement des sanctions pour ce motif spécifique : voir le récapitulatif des sanctions RGPD majeures.