Créer une politique de confidentialité RGPD : règles à suivre

Qu'est-ce qu'une politique de confidentialité ?

Une politique de confidentialité (également appelée charte de confidentialité ou notice d'information) est un document légal qui explique en détail comment votre entreprise collecte, utilise, stocke, partage et protège les données personnelles de vos utilisateurs, clients ou visiteurs.

Ce document répond à une obligation du RGPD : l'article 13 impose à tout responsable de traitement de fournir des informations claires et transparentes aux personnes concernées au moment de la collecte de leurs données personnelles.

Données personnelles concernées :
Toute information permettant d'identifier directement ou indirectement une personne physique : nom, prénom, adresse email, numéro de téléphone, adresse IP, identifiant de connexion, données de navigation (cookies), données bancaires, etc.

À quoi sert concrètement une politique de confidentialité ?

• Informer : expliquer aux utilisateurs quelles données vous collectez et pourquoi
• Rassurer : démontrer votre engagement en faveur de la protection des données
• Se conformer : respecter les obligations légales du RGPD (articles 12, 13 et 14)
• Se protéger : limiter les risques juridiques en cas de contrôle CNIL ou de plainte

💡 Bon à savoir : La politique de confidentialité est distincte des mentions légales (qui identifient l'éditeur du site) et des CGU/CGV (qui régissent les conditions d'utilisation ou de vente). Les trois documents sont complémentaires mais répondent à des obligations différentes.

L'entrée en vigueur en 2018 du Règlement général sur la protection des données (RGPD) a marqué un tournant dans le renforcement de la protection des données personnelles et des sanctions en cas de violation. Dès lors, la protection des données personnelles est devenue, en quelques années, un enjeu majeur pour toutes les entreprises qui collectent et traitent des données personnelles (adresses e-mail, nom, prénom, date de naissance, données bancaires, adresse postale, etc.).

L'un des principaux objectifs du RGPD est de redonner du pouvoir aux individus sur leurs données personnelles. La meilleure manière d'exercer ce pouvoir est d'avoir connaissance de l'utilisation qui est faite de nos données personnelles. La politique de confidentialité est donc déterminante pour beaucoup d'autres éléments de la conformité RGPD.

Pour tout savoir sur les éléments essentiels d'une politique de confidentialité et la rédiger soi-même, suivez le guide 😉

Pourquoi une politique de confidentialité est-elle obligatoire en 2026 ?

Pour vous assurer d'être en conformité au RGPD

L'un des principaux droits accordés aux personnes est celui d'être informées de manière transparente sur l'utilisation qui est faite de leurs données personnelles. Ce droit se manifeste par l'obligation pour chaque organisme de faire preuve de transparence à travers une politique de confidentialité qui permet à chaque individu de connaître exactement la manière dont sont traitées ses données personnelles.

Le public est désormais plus averti sur ces questions. Selon un sondage Eurobaromètre, 92% des Européens considèrent la protection des données personnelles comme un droit fondamental. Les entreprises qui prennent au sérieux la confidentialité et la sécurité des données gagnent en réputation et en confiance auprès de leurs clients et partenaires. Une politique de confidentialité, rédigée avec clarté et transparence est vecteur de réassurance pour vos interlocuteurs.

Sachez également qu'en cas de contrôle par les autorités comme la Commission Nationale de l'Informatique et des Libertés (CNIL), la toute première action menée est un contrôle à distance par l'intermédiaire de votre site web. L'absence d'une politique de confidentialité est un très mauvais indicateur et viendra déclencher un contrôle plus approfondi. La présence et la qualité de votre politique de confidentialité est donc indispensable pour garantir la sécurité juridique de votre entreprise.

Le contexte réglementaire en 2026

Six ans après l'entrée en vigueur du RGPD, la protection des données personnelles n'a jamais été aussi surveillée. La CNIL a intensifié ses contrôles, notamment auprès des PME et TPE qui représentent désormais 40% des entreprises contrôlées (contre 15% en 2020).

En 2025, la CNIL a prononcé des amendes record :

• Google : 90 millions € pour tracking sans consentement valide
• Shein : 150 millions € pour violations multiples (absence de politique claire, consentement forcé, transferts illégaux de données)
• PME française : 25 000 € pour absence de politique de confidentialité accessible

Les nouveaux risques en 2026

Avec l'entrée en vigueur progressive de l'AI Act européen et de la directive NIS 2 sur la cybersécurité, les entreprises qui collectent des données font face à un environnement réglementaire de plus en plus exigeant. L'absence de politique de confidentialité conforme peut :

1. Bloquer l'accès à des appels d'offres publics (clause d'exclusion)
2. Déclencher un refus de financement bancaire (due diligence RGPD)
3. Entraîner la suspension de vos campagnes publicitaires (Google Ads, Meta)
4. Provoquer une class action de la part d'utilisateurs (recours collectifs facilités depuis 2023)

Pour déclencher des opportunités business

Le RGPD a dépassé le statut de simple contrainte réglementaire pour devenir un élément essentiel dans la conquête de nouveaux marchés et la fidélisation de vos clients actuels. Les audits Privacy se sont grandement généralisés notamment dans le cadre d'appels d'offres. Les entreprises qui sont capables de démontrer aisément leur conformité RGPD, du moins celles qui sont capables de l'afficher, présentent un atout concurrentiel majeur. En effet, beaucoup de grands comptes ne souhaitent pas s'associer avec une entreprise qui ferait l'objet de plaintes d'utilisateurs ou d'une amende de la CNIL.

Les entreprises qui démontrent leur conformité au RGPD renforcent leur image auprès de leurs partenaires et clients potentiels. La première porte d'entrée pour opérer ce type d'audit est en premier lieu la politique de confidentialité. Ce document permet d'avoir une vision rapide des traitements qui sont opérés et des engagements pris par l'organisme au titre de la protection des données personnelles et du RGPD.

Comment rédiger une politique de confidentialité ?

Les prérequis

Avant de pouvoir communiquer sur les éléments essentiels de vos traitements de données personnelles, il convient d'avoir une idée des traitements que vous opérez.

💡Pour rappel, l'article 4 du RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée directement (par exemple, par ses nom et prénom, son adresse IP ou postale) ou indirectement (par exemple, par un identifiant en ligne ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle, sociale résultant d'un profilage ou encore son emplacement géographique en cas de géolocalisation). En d'autres termes, si une information peut être utilisée pour identifier une personne, directement ou en combinaison avec d'autres données, cette information est considérée comme une donnée personnelle.

💡Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle.

Ainsi, il convient d'avoir construit son registre de traitement de données personnelles au préalable. Pour cela, suivez ces trois étapes indispensables :

Pour en savoir plus, consultez notre guide et/ou notre livre blanc sur les 10 étapes pour se mettre en conformité.

Le contenu

La page de politique de confidentialité doit être facilement accessible sur votre site web et contenir plusieurs éléments clés pour être conforme au RGPD. Voici les informations qui doivent a minima être indiquées au sein de votre politique de confidentialité (article 13 du RGPD) :

Cette liste des informations à indiquer n'est pas exhaustive. Elle doit être ajustée en fonction du type de site web, que ce soit un blog, une plateforme de e-commerce, un site vitrine ou encore de fourniture de services. Plus vous traitez un grand volume de données personnelles, plus vous devrez détailler votre politique de confidentialité. Vous devez aussi y accorder une importance particulière si vous traitez des données sensibles (par exemple, des données de santé).

Pensez à rédiger chacune des parties de votre politique de confidentialité de manière claire et simple. Les utilisateurs doivent pouvoir comprendre facilement leurs droits et les pratiques de votre entreprise en matière de gestion des données.

• Identité et coordonnées des personnes responsables des données : cette obligation inclut à la fois les coordonnées du responsable de traitement, c'est-à-dire votre entreprise en tant que personne morale ainsi que votre délégué à la protection des données (DPO), si vous en avez un.

Exemple : "Les données personnelles collectées sur ce site sont traitées par Leto SAS, société au capital de 50 000€, immatriculée au RCS de Paris sous le numéro 123 456 789, dont le siège social est situé au 10 rue de la Paix, 75002 Paris. Contact : privacy@leto.legal"

Exemple : "Notre Délégué à la Protection des Données peut être contacté à l'adresse dpo@leto.legal ou par courrier à l'adresse du siège social."

• Types de données collectées : Vous devez spécifier les types de données personnelles que vous collectez. Cela peut inclure, par exemple, des noms, des adresses email, des adresses IP, des données d'usage, etc.

Exemple : "Nous collectons les données suivantes : identité (nom, prénom), coordonnées (email, téléphone), données de connexion (adresse IP, logs de navigation), données bancaires (uniquement lors d'un achat), données de navigation (cookies analytiques)."

• But de la collecte de données : Vous devez expliquer clairement pourquoi vous collectez ces données, pour quelles finalités. Cela peut inclure, par exemple, la fourniture de services, la vente d'un produit, la communication avec les utilisateurs, l'envoi d'une newsletter, la connexion à son espace personnel, l'amélioration de vos services, etc.
• La base légale de traitement des données : vous devez également informer les utilisateurs et clients de la base juridique sur laquelle vous vous appuyez pour chaque traitement de données : le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.
• Partage des données : Vous devez indiquer avec qui vous partagez ces données. Cela peut inclure, par exemple, des prestataires externes, des partenaires commerciaux, des sous-traitants, etc. Si vous transférez vos données aux États-Unis (par exemple, dans le cadre du stockage des données sur un Cloud), vous devez également respecter certaines obligations particulières et l'indiquer dans votre politique de confidentialité.
• Durée de conservation des données : Vous devez préciser combien de temps vous conservez les données. L'un des principes phares du RGPD est qu'une entreprise doit conserver les données personnelles uniquement le temps nécessaire à la réalisation de l'objectif pour lequel elles ont été collectées.
• Droits des utilisateurs : Il est indispensable d'informer les utilisateurs de leurs droits en vertu du RGPD, notamment leurs droits d'accéder à leurs données (article 15 RGPD), de les corriger (article 16 RGPD), de demander leur suppression (article 17 du RGPD), de s'opposer à leur traitement pour une finalité précise (article 21 du RGPD) et de demander leur portabilité (article 20 du RGPD).
• Sécurité des données : Vous devez expliquer comment vous protégez les données collectées. Cela peut inclure des mesures techniques (comme l'anonymisation, la pseudonymisation) et des mesures organisationnelles (comme la sensibilisation du personnel).
• Les droits de réclamation : vous devez informer les internautes de leur possibilité d'introduire une réclamation auprès de la CNIL.

Exemple : "Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr ou par courrier à CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07."

Politique de confidentialité et cookies : les règles

La politique de confidentialité et la politique de cookies (ou bannière cookies) sont deux documents distincts mais complémentaires. Beaucoup d'entreprises les confondent ou n'en créent qu'un seul, ce qui n'est pas conforme au RGPD.

🍪 Quelle est la différence ?

La politique de confidentialité couvre l'ensemble des traitements de données personnelles de votre entreprise. La politique de cookies est plus spécifique : elle informe sur l'utilisation des cookies et traceurs sur votre site et recueille le consentement des utilisateurs.

Les cookies nécessitant un consentement préalable

Selon la directive ePrivacy et les lignes directrices de la CNIL (2020, confirmées en 2025), tous les cookies non strictement nécessaires requièrent le consentement explicite de l'utilisateur avant leur dépôt.

Cookies strictement nécessaires (pas de consentement requis) :

• Cookies de session (panier e-commerce)
• Cookies d'authentification
• Cookies de sécurité (CSRF tokens)
• Cookies de préférence de langue
• Cookies de répartition de charge (load balancing)

Cookies nécessitant un consentement (liste non exhaustive) :

• Cookies analytiques : Google Analytics, Matomo (en mode non anonymisé), Hotjar, etc.
• Cookies publicitaires : Google Ads, Facebook Pixel, LinkedIn Insight Tag, etc.
• Cookies de réseaux sociaux : boutons de partage Facebook, Twitter, YouTube
• Cookies de personnalisation : recommandations de produits, A/B testing

⚠️ Erreurs fréquentes à éviter :

❌ Cookies déposés avant le consentement : certains outils (notamment Google Analytics) déposent des cookies dès le chargement de la page, avant que l'utilisateur ait pu consentir

✅ Solution : utiliser un CMP (Consent Management Platform) comme Axeptio, Didomi, ou Cookiebot qui bloque le dépôt jusqu'au consentement

Comment articuler politique de confidentialité et cookies ?

1. Dans votre bannière cookies (pop-in) : Listez les catégories de cookies, proposez "Tout accepter", "Tout refuser", "Personnaliser", ajoutez un lien "En savoir plus" vers votre politique de confidentialité
2. Dans votre politique de confidentialité : Créez une section dédiée "Cookies et traceurs", listez tous les cookies utilisés, expliquez comment désactiver les cookies, indiquez comment retirer son consentement

🔗 Ressources complémentaires :
Guide CNIL sur les cookies
Notre guide complet "Comment choisir son outil de gestion de cookies (CMP)"

Le cas particulier du profilage

Cette politique RGPD revêt une importance particulière lorsque les traitements opérés ont pour objet le profilage. Tel peut être le cas lorsque votre organisme opère des croisements de données par l'intermédiaire de données de vos partenaires ou provenant des réseaux sociaux. Le but est généralement de pouvoir, par la suite, adresser des publicités ciblées correspondant avec précision aux besoins et intérêts des internautes. Le profilage peut ainsi permettre à différents acteurs (par exemple, Google, Facebook, Instagram, etc.) de réaliser un profilage très fin sur vos utilisateurs.

Les entreprises et les sites web utilisent le profilage pour différentes raisons. Cela peut aller de la personnalisation de l'expérience utilisateur à la publicité ciblée. Pour ce faire, elles peuvent recueillir divers types de données, notamment :

• Données comportementales : Il s'agit des informations sur la façon dont un utilisateur interagit avec un site web, y compris les pages visitées, le temps passé sur chaque page, les clics, etc. Ces données peuvent être collectées à l'aide de technologies telles que les cookies, les pixels et le suivi par balises web.
• Données démographiques : Cela peut inclure des informations comme l'âge, le sexe, la profession, l'éducation, etc.
• Données de localisation : Les sites web peuvent utiliser les adresses IP, les données de géolocalisation des appareils mobiles et d'autres technologies pour déterminer l'emplacement géographique de l'utilisateur.
• Données sur les appareils : Les sites web peuvent également recueillir des informations sur l'appareil utilisé pour accéder au site, telles que le type d'appareil, le système d'exploitation, le navigateur, etc.

Pour respecter les obligations du RGPD, la politique de confidentialité d'un site web qui réalise du profilage (défini à l'article 4 du RGPD) doit :

• Clairement informer les utilisateurs de cette pratique ;
• Expliquer quels types de données sont collectées pour le profilage ;
• Comment celles-ci sont utilisées et stockées ;
• Et quels sont les droits des personnes. Cela inclut, par exemple, le droit de l'utilisateur à s'opposer au profilage, en particulier lorsque celui-ci est utilisé à des fins de marketing direct.

Sanctions et amendes RGPD pour non-conformité

Le cadre des sanctions RGPD en 2026

Depuis 2018, la CNIL a adopté une politique de sanctions graduée mais ferme. L'absence ou la non-conformité de votre politique de confidentialité expose votre entreprise à des risques financiers et réputationnels majeurs.

📊 Les chiffres clés 2025 :

• 436 sanctions prononcées par la CNIL (+35% vs. 2024)
• Montant moyen des amendes : 180 000€ (TPE/PME) et 8,5 millions € (grandes entreprises)
• Délai moyen de contrôle : 45 jours entre le signalement et le contrôle initial
• Taux de récidive sanctionné : multiplication de l'amende par 2 à 5

Voici quelques exemples pour lesquels vous pouvez être condamné dans le cadre d'une politique de confidentialité non-conforme au RGPD :

• Absence d'information des personnes concernées ou informations confuses ;
• Défaut d'informations claires sur les droits des personnes ou refus d'y faire droit ;
• Collecte de données personnelles plus importante que ce qui est indiqué dans votre Politique de confidentialité ou traitements réalisés pour des finalités qui n'y sont pas mentionnées ;
• Etc.

FAQ : Questions fréquentes sur la politique de confidentialité

Vous avez encore des questions sur la politique de confidentialité ? Voici les réponses aux interrogations les plus fréquentes de nos utilisateurs.

1. Qu'est-ce qu'une politique de confidentialité ?

Une politique de confidentialité est un document légal obligatoire qui explique comment votre entreprise collecte, utilise, stocke et protège les données personnelles de vos utilisateurs. Elle doit être conforme au RGPD (Règlement Général sur la Protection des Données).

2. Est-ce que la politique de confidentialité est obligatoire ?

Oui, la politique de confidentialité est obligatoire dès que vous collectez des données personnelles (emails, noms, adresses IP, etc.). L'article 13 du RGPD impose cette obligation à toutes les entreprises opérant dans l'UE. L'absence de politique de confidentialité peut entraîner des amendes jusqu'à 20 millions d'euros ou 4% du CA mondial.

3. Quelles sont les mentions obligatoires d'une politique de confidentialité ?

Une politique de confidentialité RGPD doit contenir 9 mentions obligatoires : 1) L'identité et coordonnées du responsable de traitement, 2) Les types de données collectées, 3) La finalité de la collecte, 4) La base légale du traitement, 5) La durée de conservation, 6) Les droits des utilisateurs (accès, rectification, suppression), 7) Les mesures de sécurité, 8) Les destinataires des données, 9) Le droit de réclamation auprès de la CNIL.

4. Quelle est la différence entre politique de confidentialité et mentions légales ?

Les mentions légales identifient l'éditeur du site (raison sociale, adresse, SIRET, hébergeur), tandis que la politique de confidentialité explique comment sont traitées les données personnelles. Les deux sont obligatoires mais servent des objectifs différents : identification légale vs. protection des données.

5. Où placer la politique de confidentialité sur mon site web ?

La politique de confidentialité doit être facilement accessible, généralement via un lien dans le footer (pied de page) de votre site. Elle doit également être accessible avant tout formulaire de collecte de données (inscription, contact, achat). Un lien doit être présent sur chaque page.

6. Combien coûte une politique de confidentialité ?

Vous pouvez créer une politique de confidentialité gratuitement avec des modèles en ligne, mais ils nécessitent une personnalisation. Un avocat spécialisé facture entre 800€ et 2 500€. Des outils automatisés comme Leto permettent de générer une politique personnalisée et conforme pour 50-100€ par mois.

7. À quelle fréquence faut-il mettre à jour sa politique de confidentialité ?

Vous devez mettre à jour votre politique de confidentialité à chaque fois que vous modifiez vos pratiques de collecte ou traitement de données : nouveaux outils, nouvelles finalités, changement de sous-traitants, etc. Il est recommandé de la réviser au minimum une fois par an, même sans changements.

8. Politique de confidentialité et cookies : quelle différence ?

La politique de confidentialité couvre l'ensemble des traitements de données personnelles de votre entreprise. La politique de cookies (ou bannière cookies) est plus spécifique : elle informe sur l'utilisation des cookies et traceurs sur votre site et recueille le consentement des utilisateurs. Les deux documents doivent coexister.

9. Quelles sanctions si je n'ai pas de politique de confidentialité ?

L'absence de politique de confidentialité conforme au RGPD expose à des amendes administratives jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Des sanctions pénales sont aussi possibles : jusqu'à 300 000€ d'amende et 5 ans d'emprisonnement pour les infractions graves (article 226-16 du Code pénal).

10. Puis-je copier la politique de confidentialité d'un autre site ?

Non, vous ne devez jamais copier la politique de confidentialité d'un autre site. Chaque politique doit refléter vos pratiques réelles et spécifiques de traitement des données. Copier celle d'un concurrent serait inexacte, non-conforme au RGPD, et pourrait constituer une contrefaçon. Utilisez plutôt un modèle personnalisable.

Vous avez d'autres questions ?

Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !