Politique de confidentialite : que faut-il publier ?

Mise a jour avril 2026 - Une politique de confidentialite ne doit pas être un texte generique ajoute en pied de page. Elle constitue la pierre angulaire de la conformité RGPD de votre entreprise et doit expliquer clairement comment vous collectez, utilisez, conservez et protegez les données personnelles de vos clients, prospects et internautes.

Voir aussi : Digitalisation des entreprises, Porter plainte pour abus de confiance et IA juridique.

La politique de confidentialite est un document légal qui informe les personnes dont vous traitez les données sur les conditions de ce traitement. Elle repond a l'obligation d'information prévue par les articles 13 et 14 du Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018.

En pratique, ce document doit être accessible depuis chaque page de votre site internet, lisible et comprehensible par un non-juriste. La CNIL le rappelle regulierement dans ses lignes directrices : l'information doit être « concise, transparente, comprehensible et aisee a acceder ».

La confusion est fréquente, mais les deux documents n'ont ni le même objet ni le même fondement légal.

Les deux documents sont donc complémentaires et obligatoires pour tout site professionnel. Ne pas les confondre est la première étape d'une mise en conformité réussie.

Chaque entreprise a des traitements spécifiques, mais certaines mentions sont incontournables. Voici la liste complete des rubriques a faire figurer :

1. Identite du responsable de traitement#

Il s'agit généralement de votre entreprise (raison sociale, adresse siege social, numero SIRET). Si vous avez désigné un delegue a la protection des données (DPO), ses coordonnees doivent apparaitre egalement.

2. Finalites des traitements#

Pour chaque catégorie de données collectees, vous devez préciser l'objectif poursuivi :

• gestion des demandes de contact via formulaire ;
• envoi de newsletters et communications commerciales ;
• execution d'un contrat ou prestation de service ;
• analyse d'audience et statistiques de navigation ;
• gestion des candidatures et recrutement ;
• traitement des commandes et facturation.

3. Base légale de chaque traitement#

Le RGPD impose que chaque traitement repose sur l'une des six bases légales de l'article 6 :

• consentement de la personne (ex. : cookies marketing, newsletter) ;
• execution d'un contrat (ex. : données de facturation) ;
• obligation légale (ex. : conservation des pieces comptables) ;
• intérêt legitime du responsable de traitement (ex. : sécurité du système d'information).

Préciser la base légale pour chaque finalité n'est pas optionnel. La CNIL l'a rappele a de nombreuses reprises dans ses guides pratiques.

4. Destinataires des données#

Qui a acces aux données à Votre équipe interne ? Un prestataire informatique ? Un outil de CRM hébergé à l'étranger ? Chaque catégorie de destinataires doit être mentionnee.

5. Durée de conservation#

Les données ne peuvent être conservees indefiniment. Vous devez indiquer des durées précises :

• données de contact clients : 3 ans après le dernier contact (recommandation CNIL) ;
• factures et pieces comptables : 10 ans (obligation fiscale) ;
• données de candidature : 2 mois maximum après le dernier échange (sauf accord explicite) ;
• cookies de mesure d'audience : 13 mois maximum.

6. Droits des personnes#

Toute personne dont vous traitez les données dispose de droits qu'elle peut exercer a tout moment :

• droit d'acces a ses données ;
• droit de rectification ;
• droit a l'effacement (« droit a l'oubli ») ;
• droit a la limitation du traitement ;
• droit a la portabilite ;
• droit d'opposition, notamment au profilage et a la prospection commerciale.

Précisez les modalités concrètes d'exercice : adresse e-mail dédiée, formulaire en ligne, délai de réponse (1 mois maximum).

7. Transferts hors Union europeenne#

Si vous utilisez des outils dont les serveurs sont situes hors UE (Google Analytics, Meta, etc.), vous devez informer les personnes et mentionner les garanties mises en place (clauses contractuelles types, décisions d'adequation).

Dans notre pratique quotidienne, nous constatons que la majorite des politiques de confidentialite présentés sur les sites de PME presentent les mêmes lacunes :

• texte trop generique, souvent copie-colle d'un modèle en ligne sans adaptation ;
• absence de detail sur les formulaires : aucune information au moment de la collecte ;
• aucune mention des cookies ou référence vague a un « bandeau » sans lien vers une politique dédiée ;
• durées de conservation absentes ou indiquees de maniere indeterminée (« aussi longtemps que nécessaire ») ;
• droits mal présentés : simple liste de droits sans modalites d'exercice ;
• information sur les sous-traitants manquante : le client ne sait pas qui traite ses données.

Ces defauts ne sont pas anodins. En 2025, la CNIL a prononce des sanctions totalisant plus de 70 millions d'euros, dont plusieurs concernaient spécifiquement un defaut d'information des personnes. Le risque n'est donc pas theorique.

Conseil Hayot Expertise : partez des usages réels de votre site : formulaire de contact, candidature, newsletter, analytics, cookies, CRM, paiement, prise de rendez-vous. Chaque usage correspond a un traitement qui doit être documente.

La gestion des cookies reste l'un des sujets les plus complexes pour les entreprises. La CNIL a publie des lignes directrices claires en septembre 2020, actualisees depuis, qui s'appliquent a tous les sites internet accessibles depuis la France.

Pour être conforme, vous devez mettre en place :

• un bandeau cookies visible des l'arrivee sur le site, avant tout dépôt de traceurs non essentiels ;
• un centre de préférences permettant d'accepter ou de refuser chaque catégorie de cookies individuellement ;
• une information detaillee sur la nature de chaque traceur, sa finalite et sa durée de vie ;
• la preuve du consentement (ou du refus) conservee pendant 13 mois maximum.

Depuis 2026, les autorites europeennes de protection des données renforcent leur cooperation sur ce sujet. Plusieurs décisions recentes ont confirme que le consentement doit être « libre, spécifique, eclaire et univoque ». Le simple fait de continuer a naviguer ne vaut plus consentement.

Bon a savoir : les cookies strictement nécessaires au fonctionnement du site (panier d'achat, authentification, sécurité) ne requierent pas de consentement. Les cookies de mesure d'audience « exemptes » non plus, sous conditions strictes definies par la CNIL.

La CNIL met a disposition des modèles de mentions d'information adaptables a votre situation. Nous recommandons la demarche suivante :

1. Cartographier vos traitements : lister toutes les données collectees, leur source, leur finalite et leur destinataire.
2. Identifier les bases légales : chaque traitement doit reposer sur une base valide.
3. Rediger dans un langage accessible : eviter le jargon juridique, utiliser des phrases courtes, structurer avec des titres.
4. Intégrer l'information au bon endroit : la politique doit être accessible depuis chaque page, et une information spécifique doit être affichee au moment de la collecte (formulaire de contact, inscription newsletter).
5. Reviser regulierement : a chaque nouveau service, nouvel outil ou changement de legislation, mettez a jour votre politique.

Une politique de confidentialite utile est claire, concrete et alignee sur les traitements réels de l'entreprise. En 2026, le risque n'est pas seulement juridique : une information imprécise abime aussi la confiance que vous accordent vos clients et prospects.

Les autorites de protection des données ne cessent de renforcer leur action. En France, la CNIL a multiplie les contrôles et les mises en demeure. Prendre le temps de rediger une politique serieuse n'est pas une contrainte : c'est un investissement dans la relation de confiance avec vos clients.

Fiabiliser vos mentions et votre documentation RGPD

(Sources officielles : Entreprendre.Service-Public.fr sur les mentions obligatoires, CNIL sur les modèles de mentions d'information, CNIL sur les cookies, CNIL sur le droit a l'information)