Politique de confidentialité : que faut-il publier ?

Mise à jour avril 2026 - Une politique de confidentialité ne doit pas être un texte générique ajouté en pied de page. Elle constitue la pierre angulaire de la conformité RGPD de votre entreprise et doit expliquer clairement comment vous collectez, utilisez, conservez et protégez les données personnelles de vos clients, prospects et internautes.

Voir aussi : Digitalisation des entreprises, Porter plainte pour abus de confiance et IA juridique.

La politique de confidentialité est un document légal qui informe les personnes dont vous traitez les données sur les conditions de ce traitement. Elle répond à l'obligation d'information prévue par les articles 13 et 14 du Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018.

En pratique, ce document doit être accessible depuis chaque page de votre site internet, lisible et compréhensible par un non-juriste. La CNIL le rappelle régulièrement dans ses lignes directrices : l'information doit être « concise, transparente, compréhensible et aisée à accéder ».

La confusion est fréquente, mais les deux documents n'ont ni le même objet ni le même fondement légal.

Les deux documents sont donc complémentaires et obligatoires pour tout site professionnel. Ne pas les confondre est la première étape d'une mise en conformité réussie.

Chaque entreprise a des traitements spécifiques, mais certaines mentions sont incontournables. Voici la liste complète des rubriques à faire figurer :

1. Identité du responsable de traitement#

Il s'agit généralement de votre entreprise (raison sociale, adresse siège social, numéro SIRET). Si vous avez désigné un délégué à la protection des données (DPO), ses coordonnées doivent apparaître également.

2. Finalités des traitements#

Pour chaque catégorie de données collectées, vous devez préciser l'objectif poursuivi :

• gestion des demandes de contact via formulaire ;
• envoi de newsletters et communications commerciales ;
• exécution d'un contrat ou prestation de service ;
• analyse d'audience et statistiques de navigation ;
• gestion des candidatures et recrutement ;
• traitement des commandes et facturation.

3. Base légale de chaque traitement#

Le RGPD impose que chaque traitement repose sur l'une des six bases légales de l'article 6 :

• consentement de la personne (ex. : cookies marketing, newsletter) ;
• exécution d'un contrat (ex. : données de facturation) ;
• obligation légale (ex. : conservation des pièces comptables) ;
• intérêt légitime du responsable de traitement (ex. : sécurité du système d'information).

Préciser la base légale pour chaque finalité n'est pas optionnel. La CNIL l'a rappelé à de nombreuses reprises dans ses guides pratiques.

4. Destinataires des données#

Qui a accès aux données ? Votre équipe interne ? Un prestataire informatique ? Un outil de CRM hébergé à l'étranger ? Chaque catégorie de destinataires doit être mentionnée.

5. Durée de conservation#

Les données ne peuvent être conservées indéfiniment. Vous devez indiquer des durées précises :

• données de contact clients : 3 ans après le dernier contact (recommandation CNIL) ;
• factures et pièces comptables : 10 ans (obligation fiscale) ;
• données de candidature : 2 mois maximum après le dernier échange (sauf accord explicite) ;
• cookies de mesure d'audience : 13 mois maximum.

6. Droits des personnes#

Toute personne dont vous traitez les données dispose de droits qu'elle peut exercer à tout moment :

• droit d'accès à ses données ;
• droit de rectification ;
• droit à l'effacement (« droit à l'oubli ») ;
• droit à la limitation du traitement ;
• droit à la portabilité ;
• droit d'opposition, notamment au profilage et à la prospection commerciale.

Précisez les modalités concrètes d'exercice : adresse e-mail dédiée, formulaire en ligne, délai de réponse (1 mois maximum).

7. Transferts hors Union européenne#

Si vous utilisez des outils dont les serveurs sont situés hors UE (Google Analytics, Meta, etc.), vous devez informer les personnes et mentionner les garanties mises en place (clauses contractuelles types, décisions d'adéquation).

Dans notre pratique quotidienne, nous constatons que la majorité des politiques de confidentialité présentées sur les sites de PME présentent les mêmes lacunes :

• texte trop générique, souvent copié-collé d'un modèle en ligne sans adaptation ;
• absence de détail sur les formulaires : aucune information au moment de la collecte ;
• aucune mention des cookies ou référence vague à un « bandeau » sans lien vers une politique dédiée ;
• durées de conservation absentes ou indiquées de manière indéterminée (« aussi longtemps que nécessaire ») ;
• droits mal présentés : simple liste de droits sans modalités d'exercice ;
• information sur les sous-traitants manquante : le client ne sait pas qui traite ses données.

Ces défauts ne sont pas anodins. En 2025, la CNIL a prononcé des sanctions totalisant plus de 70 millions d'euros, dont plusieurs concernaient spécifiquement un défaut d'information des personnes. Le risque n'est donc pas théorique.

Conseil Hayot Expertise : partez des usages réels de votre site : formulaire de contact, candidature, newsletter, analytics, cookies, CRM, paiement, prise de rendez-vous. Chaque usage correspond à un traitement qui doit être documenté.

La gestion des cookies reste l'un des sujets les plus complexes pour les entreprises. La CNIL a publié des lignes directrices claires en septembre 2020, actualisées depuis, qui s'appliquent à tous les sites internet accessibles depuis la France.

Pour être conforme, vous devez mettre en place :

• un bandeau cookies visible dès l'arrivée sur le site, avant tout dépôt de traceurs non essentiels ;
• un centre de préférences permettant d'accepter ou de refuser chaque catégorie de cookies individuellement ;
• une information détaillée sur la nature de chaque traceur, sa finalité et sa durée de vie ;
• la preuve du consentement (ou du refus) conservée pendant 13 mois maximum.

Depuis 2026, les autorités européennes de protection des données renforcent leur coopération sur ce sujet. Plusieurs décisions récentes ont confirmé que le consentement doit être « libre, spécifique, éclairé et univoque ». Le simple fait de continuer à naviguer ne vaut plus consentement.

Bon à savoir : les cookies strictement nécessaires au fonctionnement du site (panier d'achat, authentification, sécurité) ne requièrent pas de consentement. Les cookies de mesure d'audience « exemptés » non plus, sous conditions strictes définies par la CNIL.

La CNIL met à disposition des modèles de mentions d'information adaptables à votre situation. Nous recommandons la démarche suivante :

1. Cartographier vos traitements : lister toutes les données collectées, leur source, leur finalité et leur destinataire.
2. Identifier les bases légales : chaque traitement doit reposer sur une base valide.
3. Rédiger dans un langage accessible : éviter le jargon juridique, utiliser des phrases courtes, structurer avec des titres.
4. Intégrer l'information au bon endroit : la politique doit être accessible depuis chaque page, et une information spécifique doit être affichée au moment de la collecte (formulaire de contact, inscription newsletter).
5. Réviser régulièrement : à chaque nouveau service, nouvel outil ou changement de législation, mettez à jour votre politique.

Une politique de confidentialité utile est claire, concrète et alignée sur les traitements réels de l'entreprise. En 2026, le risque n'est pas seulement juridique : une information imprécise abîme aussi la confiance que vous accordent vos clients et prospects.

Les autorités de protection des données ne cessent de renforcer leur action. En France, la CNIL a multiplié les contrôles et les mises en demeure. Prendre le temps de rédiger une politique sérieuse n'est pas une contrainte : c'est un investissement dans la relation de confiance avec vos clients.

Fiabiliser vos mentions et votre documentation RGPD

(Sources officielles : Entreprendre.Service-Public.fr sur les mentions obligatoires, CNIL sur les modèles de mentions d'information, CNIL sur les cookies, CNIL sur le droit à l'information)