Une politique de confidentialité est-elle obligatoire pour mon site web ?

Oui. Dès que votre site web collecte des données personnelles (formulaire de contact, analytics, newsletter, cookies), l'article 13 du RGPD vous oblige à informer les personnes concernées via une politique de confidentialité accessible et compréhensible.

Que doit contenir une politique de confidentialité conforme au RGPD ?

Au minimum : l'identité du responsable de traitement (avec SIREN), les finalités et bases juridiques de chaque traitement, les catégories de données collectées, les destinataires, les durées de conservation, les droits des personnes, les coordonnées de la CNIL pour les réclamations, et les informations sur les transferts hors UE le cas échéant.

Puis-je utiliser un modèle générique trouvé en ligne ?

Un modèle est un point de départ, mais vous devez l'adapter à votre situation réelle. La CNIL évalue la précision de la politique, pas seulement sa présence. Une politique qui mentionne des traitements que vous ne réalisez pas, ou qui omet des outils que vous utilisez réellement (Google Analytics, Mailchimp), n'est pas conforme.

Faut-il mettre à jour ma politique de confidentialité ?

Oui, à chaque modification de vos traitements : nouvel outil analytics, nouveau prestataire, ajout d'une newsletter, installation de caméras, etc. La CNIL recommande une revue au minimum annuelle.

RGPD et confidentialité

Politique de confidentialité : modèle gratuit pour les entreprises françaises

13 avril 2026

Politique de confidentialité : modèle gratuit pour les entreprises françaises

Toute entreprise française dont le site web collecte des données personnelles doit publier une politique de confidentialité. C'est une obligation directe de l'article 13 du RGPD, complétée par la loi Informatique et Libertés du 6 janvier 1978 (modifiée).

La CNIL contrôle la présence et la qualité des politiques de confidentialité lors de ses audits. Une politique absente, incomplète ou générique constitue un manquement sanctionnable.

Utilisez notre générateur

Ouvrir le générateur de politique de confidentialité gratuit →

Sélectionnez "France" comme pays. Le générateur ajoute automatiquement :

La CNIL comme autorité de contrôle compétente
Les références à la loi Informatique et Libertés
Le champ pour votre numéro SIREN
Les coordonnées de la CNIL pour les réclamations

Contenu obligatoire d'une politique de confidentialité française

1. Identité du responsable de traitement

Vous devez indiquer clairement :

Nom ou raison sociale de l'entreprise
Forme juridique (SARL, SAS, auto-entrepreneur, etc.)
Adresse du siège social
Numéro SIREN
Coordonnées (email, téléphone)
Nom du DPO ou du référent RGPD (si applicable)

2. Finalités et bases juridiques

Pour chaque traitement de données, précisez :

La finalité : pourquoi vous collectez ces données
La base juridique : sur quel fondement vous les traitez

Les bases juridiques les plus courantes pour les TPE/PME :

| Traitement | Base juridique habituelle | |---|---| | Formulaire de contact | Intérêt légitime ou consentement | | Commande / facturation | Exécution d'un contrat | | Newsletter | Consentement explicite | | Google Analytics | Consentement (via bannière cookies) | | Vidéosurveillance | Intérêt légitime | | Obligations légales (factures) | Obligation légale |

3. Catégories de données collectées

Listez précisément les données que vous collectez :

Données d'identité (nom, prénom)
Coordonnées (email, téléphone, adresse)
Données de navigation (adresse IP, cookies)
Données de paiement (traitées par votre prestataire)
Données de connexion (identifiants, logs)

4. Destinataires des données

Listez tous les tiers qui ont accès aux données :

Hébergeur (OVHcloud, Scaleway, Vercel, etc.)
Outil d'analytics (Google Analytics, Matomo)
Outil d'emailing (Brevo, Mailchimp, etc.)
Prestataire de paiement (Stripe, PayPlug)
CRM (HubSpot, Pipedrive)
Comptable / expert-comptable

Pour chaque destinataire, indiquez s'il est situé dans l'UE ou hors UE.

5. Transferts hors Union européenne

Si vous utilisez des services américains (Google, Mailchimp, AWS), vous transférez des données hors UE. Indiquez :

Les pays de destination
Les garanties mises en place (clauses contractuelles types, décision d'adéquation)

Depuis le Data Privacy Framework (DPF) de juillet 2023, les transferts vers des entreprises américaines certifiées DPF disposent d'une base légale. Vérifiez la certification de chaque prestataire.

6. Durées de conservation

Indiquez la durée de conservation pour chaque catégorie de données :

| Données | Durée recommandée | |---|---| | Formulaire de contact | 3 ans après le dernier contact | | Données clients | Durée du contrat + 5 ans (prescription) | | Factures | 10 ans (obligation comptable) | | Données prospects | 3 ans sans activité | | Cookies | 13 mois maximum (CNIL) | | Candidatures | 2 ans maximum |

7. Droits des personnes

Mentionnez explicitement chaque droit et comment l'exercer :

Droit d'accès (article 15 RGPD)
Droit de rectification (article 16)
Droit à l'effacement (article 17)
Droit à la limitation du traitement (article 18)
Droit à la portabilité (article 20)
Droit d'opposition (article 21)
Droit de retirer son consentement à tout moment

Indiquez une adresse email dédiée et le délai de réponse (1 mois maximum).

8. Réclamation auprès de la CNIL

Vous devez informer les personnes de leur droit de déposer une réclamation :

Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy, TSA 80715 75334 Paris Cedex 07 www.cnil.fr

Erreurs fréquentes

Erreur 1 : politique copiée d'un concurrent. Votre politique doit refléter vos traitements réels. Copier celle d'un site similaire est presque toujours inexact et constitue un manquement.

Erreur 2 : outils non mentionnés. Vous utilisez Google Analytics, Hotjar et Mailchimp mais votre politique n'en fait pas mention ? C'est un manquement à l'article 13 du RGPD.

Erreur 3 : langage juridique incompréhensible. La CNIL exige que la politique soit rédigée en termes clairs et simples. Un texte juridique de 20 pages que personne ne comprend ne remplit pas cette exigence.

Erreur 4 : politique jamais mise à jour. Un document rédigé en 2018 qui ne mentionne ni vos nouveaux outils ni les évolutions réglementaires n'est plus conforme.

Erreur 5 : lien cassé ou page introuvable. Le lien vers la politique de confidentialité doit être fonctionnel depuis chaque page du site. Testez-le régulièrement.

Vérifiez votre politique de confidentialité

Notre scanner analyse automatiquement la présence et le contenu de votre politique de confidentialité, ainsi que votre bannière cookies, vos mentions légales et vos trackers.

Vérifier mon site gratuitement →

Résultat en 60 secondes. Aucun compte requis.

Sources

Ceci est une analyse technique, pas un conseil juridique. Une politique de confidentialité générée automatiquement doit être revue et adaptée à votre situation spécifique.

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Scanner votre site gratuitement

Guides pour votre site web

RGPD pour TPE/PME en France : obligations et checklist complète 2026

Checklist RGPD pour les TPE et PME françaises. Obligations concrètes, sanctions CNIL, registre des traitements, DPO. Guide pratique avec exemples.

Mentions légales site web : obligations LCEN pour les entreprises françaises

Quelles mentions légales sont obligatoires sur un site web français ? LCEN, SIREN, RCS, hébergeur. Checklist complète et sanctions encourues.

Bannière cookies : règles CNIL et sanctions pour les sites français

Règles CNIL pour les bannières cookies en France. Bouton Tout refuser, dark patterns interdits, sanctions Google (150 M€), Facebook (60 M€). Checklist complète.