Politique de confidentialite RGPD

Modele de politique de confidentialite conforme Art. 13-14 RGPD CNIL 2026. Identite responsable, finalites, bases legales Art. 6, droits Art. 15-22, conservation, transferts hors UE Art. 46, reclamation CNIL. Pret a personnaliser.

Ce modèle de politique de confidentialité est destiné à tout responsable de traitement (entreprise, association, profession libérale, administration) souhaitant informer les personnes concernées du traitement de leurs données personnelles, conformément aux articles 13 et 14 du RGPD. Il couvre les 13 mentions obligatoires identifiées par la CNIL et intègre les références à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.

Vérifié Me Sandy Lacroix

Word + PDF personnalisable

Téléchargement immédiat

Paiement Stripe sécurisé · Facture PDF · Mise à jour à vie

Contenu du modèle

Tout ce qu'un cabinet vous facturerait.
Pour 9.99€.

Un modèle prêt à publier, vérifié par avocate, articles de loi cités, jurisprudence à jour, conformité 2026 intégrée.

Document principal

Modèle juridique complet, articles de loi intégrés

Document Word personnalisable + PDF prêt à signer. Chaque clause sourcée Légifrance, vérifiée par Me Lacroix, mise à jour à chaque évolution législative.

Avoir cartographié les traitements de données personnelles de votre organisation (registre Art. 30 RGPD)
Avoir identifié les bases légales applicables à chaque traitement (Art. 6 RGPD)
Avoir formalisé les contrats de sous-traitance avec vos prestataires (DPA — Art. 28 RGPD)
Avoir évalué la nécessité de désigner un DPO (Art. 37 RGPD)
Avoir documenté les durées de conservation par catégorie de traitement

Validation juridique

Vérifié par avocate inscrite

Maître Sandy Lacroix, Barreau de Tulle depuis 2011, valide chaque modèle et signe une attestation de conformité.

Format

Word + PDF, prêt à signer

Document Word personnalisable et PDF auto-rempli depuis votre profil. Archive ZIP avec LISEZ-MOI inclus.

MAJ légales

À vie, sans surcoût

Re-téléchargez la dernière version à chaque réforme.

Conformité 2026

Réformes intégrées

Ord. 2026-2, DSA, EAA, RGPD déjà inclus.

Paiement

Stripe + 3DS2

Paiement sécurisé, facture PDF automatique.

Comparatif

Pourquoi pas un modèle gratuit ou un avocat ?

Le bon réflexe dépend de votre situation. Trois options, trois rapports qualité-prix.

Modèle gratuit en ligne

0 €

Modèle générique, non-vérifié

Aucune vérification avocat
Lois souvent dépassées
Pas de MAJ légales
Risque clauses abusives
Téléchargement immédiat

DossierJuridique.fr

9.99€ TTC

Vérifié avocate · MAJ à vie

Validé Me Lacroix
Réformes 2026 intégrées
MAJ légales à vie gratuite
Word + PDF + auto-remplissage
Garantie remboursement 14 j

Avocat traditionnel

250–800 €

Sur-mesure, délai 1–3 semaines

Conseil personnalisé
Rédaction sur-mesure
Délai 1 à 3 semaines
Refacturé à chaque MAJ
Pertinent si litige complexe

Conformément à la loi 71-1130 art. 54, nos modèles ne constituent pas une consultation juridique. Pour une situation complexe, consultez un avocat.

Guide d'utilisation

Comment utiliser ce modèle, étape par étape

Confirmation par email
Après paiement, vous recevez un email avec votre facture et un lien direct vers votre compte.
Accès depuis « Mes templates achetés »
Votre modèle apparaît en tête de liste dans votre espace personnel, accessible à tout moment.
Deux modes au choix
Téléchargement DOCX brut (Word vide à remplir) ou PDF personnalisé via formulaire wizard.
Personnalisation rapide
Le wizard pré-remplit automatiquement les champs depuis votre profil DossierJuridique (raison sociale, SIRET, capital, adresse…).
Archive ZIP finalisée
Archive contenant votre document final accompagné d'un LISEZ-MOI avec disclaimers et normes légales applicables.

8 champs à personnaliser dans Politique de confidentialite RGPD

Dénomination de l'organisation

Indiquez la raison sociale exacte telle qu'inscrite au RCS, au répertoire SIRENE ou aux statuts associatifs. C'est le responsable de traitement au sens de l'Art. 4.7 RGPD.

Exemple : ACME SARL (et non « Acme » ou « Acme société »)

Erreurs courantes :

Utiliser un nom commercial à la place de la raison sociale
Oublier la forme juridique

Désignation d'un DPO

La désignation d'un délégué à la protection des données est obligatoire (Art. 37 RGPD) si vous êtes une autorité publique, si votre activité de base consiste en un suivi systématique à grande échelle des personnes, ou si vous traitez à grande échelle des données sensibles (Art. 9) ou relatives à des condamnations (Art. 10). En dehors de ces cas, la désignation est facultative mais recommandée par la CNIL au-dessus de 250 salariés.

Exemple : Une PME de e-commerce de 50 salariés sans suivi systématique : DPO facultatif. Un hôpital : DPO obligatoire.

Erreurs courantes :

Désigner un DPO en conflit d'intérêts (DRH, DSI, Directeur juridique d'un grand groupe)
Oublier de notifier la désignation à la CNIL

Catégories de données collectées

Listez de manière exhaustive les catégories de données que vous collectez. Le principe de minimisation (Art. 5.1.c RGPD) impose de ne collecter que les données strictement nécessaires aux finalités déclarées.

Exemple : Identité (nom, prénom, date de naissance) — Contact (email, téléphone) — Connexion (IP, logs) — Navigation (cookies) — Paiement (via prestataire tiers)

Erreurs courantes :

Lister des données que vous ne collectez pas réellement
Omettre les données techniques (IP, cookies)

Intérêts légitimes poursuivis

Si vous traitez des données sur la base de l'intérêt légitime (Art. 6.1.f RGPD), vous DEVEZ documenter cet intérêt et avoir réalisé une analyse de mise en balance (LIA — Legitimate Interest Assessment) qui démontre que vos intérêts ne sont pas supplantés par les droits et libertés des personnes concernées.

Exemple : Sécurité du système d'information et prévention de la fraude, documentée par une analyse LIA conservée en interne.

Erreurs courantes :

Invoquer l'intérêt légitime pour des traitements marketing sans LIA
Ne pas pouvoir produire la LIA en cas de contrôle CNIL

Liste des sous-traitants

Identifiez les principaux sous-traitants Art. 28 RGPD (hébergeur, prestataire d'emailing, processeur de paiement, outil CRM, etc.). Chacun doit être encadré par un DPA (Data Processing Agreement).

Exemple : Hébergement : OVH SAS (France) — Emailing : Sendinblue (France) — Paiement : Stripe (Irlande) — CRM : HubSpot (États-Unis, CCT)

Erreurs courantes :

Citer des sous-traitants sans DPA signé
Oublier les outils SaaS marketing/analytics qui sont aussi des sous-traitants

Transferts hors UE

Tout transfert de données hors de l'Espace économique européen doit être encadré (Art. 44-49 RGPD). Depuis l'arrêt Schrems II (CJUE 16/07/2020 C-311/18), les transferts vers les États-Unis requièrent les CCT 2021/914 ainsi que des mesures supplémentaires documentées (TIA — Transfer Impact Assessment).

Exemple : Si vous utilisez Google Workspace, Microsoft 365, AWS, Stripe, HubSpot ou tout outil hébergé hors UE : indiquez « oui » et précisez le mécanisme.

Erreurs courantes :

Ignorer que les filiales européennes de groupes US restent soumises au CLOUD Act
Ne pas réaliser de TIA pour les transferts post-Schrems II

Cookies et traceurs

Si votre site utilise des cookies non strictement nécessaires (mesure d'audience non exemptée, publicité, réseaux sociaux), vous devez recueillir un consentement préalable libre, spécifique, éclairé et univoque (Art. 82 LIL et délibération CNIL n° 2020-091).

Exemple : Bandeau cookies avec choix « Tout accepter » / « Tout refuser » de même niveau visuel, et accès à un paramétrage fin.

Erreurs courantes :

Cookies déposés avant consentement
Bandeau avec uniquement « Accepter » sans option « Refuser »
Cases pré-cochées

Mesures de sécurité

L'Art. 32 RGPD impose des mesures techniques et organisationnelles appropriées au risque. Décrivez en termes généraux les principales mesures sans révéler de détails exploitables par un attaquant.

Exemple : Chiffrement TLS, authentification forte, sauvegardes chiffrées quotidiennes, sensibilisation du personnel, journalisation des accès, procédure de gestion des incidents.

Erreurs courantes :

Détailler les outils précis utilisés (donne des informations à un attaquant)
Promettre une « sécurité absolue » ou « inviolable »

Délais & envoi

Tout pour réussir l'envoi de votre dossier

3 délais à respecter sous peine d'irrecevabilité

Réponse à une demande d'exercice des droits : 1 mois (prolongeable de 2 mois en cas de complexité) (Art. 12.3 RGPD) — point de départ : Date de réception de la demande de la personne concernée
Notification d'une violation de données à la CNIL : 72 heures (Art. 33 RGPD) — point de départ : Moment où le responsable a eu connaissance de la violation
Conservation des documents comptables : 10 ans (Art. L.123-22 C. com.) — point de départ : Clôture de l'exercice comptable

Continuer

Vos questions, nos réponses

Quelles informations doit obligatoirement contenir une politique de confidentialité selon l'Art. 13 RGPD ?

L'Art. 13 RGPD impose au minimum 8 catégories d'informations lorsque les données sont collectées directement auprès de la personne : (a) identité et coordonnées du responsable de traitement (et de son représentant UE le cas échéant), (b) coordonnées du DPO si désigné, (c) finalités du traitement et bases légales (Art. 6), (d) intérêts légitimes poursuivis si la base est l'Art. 6.1.f, (e) destinataires ou catégories de destinataires, (f) transferts hors UE et garanties (Art. 46), (g) durée de conservation ou critères de détermination, (h) existence des droits des personnes (Art. 15-22) et droit de réclamation auprès de la CNIL. S'y ajoutent : le caractère obligatoire ou facultatif de la fourniture des données, l'existence d'une décision automatisée et sa logique (Art. 22). Si les données sont collectées indirectement, l'Art. 14 ajoute l'obligation de mentionner la source.

Une politique de confidentialité est-elle obligatoire pour un site vitrine sans formulaire ?

Oui. Dès qu'un site collecte une donnée personnelle, même de façon indirecte, une politique de confidentialité est obligatoire (Art. 13 RGPD). Or, tout site web collecte au minimum l'adresse IP du visiteur via les logs serveur (donnée personnelle au sens de l'Art. 4.1 RGPD — CJUE Breyer C-582/14). À cela s'ajoutent les éventuels cookies de mesure d'audience, formulaires de contact, newsletter, comptes clients. La CNIL recommande un lien clair en pied de page accessible depuis toutes les pages, distinct des CGU et des mentions légales obligatoires de la Loi pour la Confiance dans l'Économie Numérique (LCEN).

La politique de confidentialité doit-elle être rédigée en langage clair ?

Oui. L'Art. 12.1 RGPD exige que les informations soient communiquées « de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». La CNIL et le CEPD (lignes directrices WP260 rev.01) recommandent : phrases courtes, vocabulaire non-juridique pour les passages destinés au grand public, structure aérée avec titres et sous-titres, tableau synthétique des traitements, FAQ. Pour les enfants (Art. 8 RGPD pour les services en ligne), une adaptation spécifique est requise. Une politique de 30 pages en jargon est non-conforme. Bonnes pratiques additionnelles : icônes standardisées (Art. 12.7 RGPD), version courte + version longue, exemples concrets.

Quand faut-il mettre à jour la politique et notifier les utilisateurs ?

Toute modification substantielle (nouveau traitement, nouvelle finalité, changement de base légale, nouveau sous-traitant majeur, nouveau transfert hors UE, modification des durées de conservation) doit faire l'objet d'une information renforcée des personnes concernées. L'Art. 13.3 RGPD impose, pour toute finalité ultérieure, une information préalable de la personne concernée. Pour un changement mineur de rédaction, une mention visible sur le site avec affichage de la date de mise à jour suffit. Si la modification implique un changement du périmètre du consentement (Art. 7 RGPD), un nouveau consentement explicite doit être recueilli, le précédent ne pouvant pas s'étendre rétroactivement. Conservez l'historique des versions de votre politique.

Quelles sanctions en cas de politique non-conforme ou absente ?

L'Art. 83.5.b RGPD sanctionne le manquement aux droits des personnes (Art. 12-22, dont l'information préalable) par une amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La CNIL a prononcé plusieurs sanctions pour politiques non-conformes : Google (50 M€, 2019, politique d'information opaque), Dedalus Biologie (1,5 M€, 2022), Discord Inc. (800 k€, 2022). S'ajoute le risque d'action en responsabilité civile par les personnes concernées au titre de l'Art. 82 RGPD, ainsi que la nullité possible des consentements recueillis sur la base d'une information non-conforme.

Faut-il désigner un DPO pour publier une politique de confidentialité ?

Non, la désignation d'un DPO et la publication d'une politique de confidentialité sont deux obligations distinctes. La politique est obligatoire pour tout responsable de traitement. Le DPO n'est obligatoire (Art. 37 RGPD) que dans trois cas : autorités et organismes publics ; suivi systématique à grande échelle des personnes (réseaux sociaux, géolocalisation continue, etc.) ; traitement à grande échelle de données sensibles (Art. 9) ou pénales (Art. 10). Hors de ces cas, la désignation reste facultative mais constitue une bonne pratique recommandée par la CNIL pour les organisations de plus de 250 salariés ou ayant une activité numérique significative.

Comment traiter une demande d'exercice des droits (accès, effacement) ?

Vous devez répondre dans un délai d'un mois à compter de la réception (Art. 12.3 RGPD), prolongeable de deux mois en cas de complexité ou de nombre élevé de demandes (avec information motivée du demandeur dans le mois initial). Vérifiez d'abord l'identité du demandeur en cas de doute raisonnable (Art. 12.6 RGPD) — sans demander systématiquement une pièce d'identité, ce qui serait excessif. La réponse est en principe gratuite, sauf demande manifestement infondée ou excessive. Documentez chaque demande et sa réponse dans un registre (principe d'accountability — Art. 5.2 RGPD).

Que faire en cas de violation de données personnelles ?

L'Art. 33 RGPD impose de notifier toute violation de données à la CNIL dans un délai de 72 heures à compter de la connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes. Si le risque est élevé, vous devez également informer les personnes concernées dans les meilleurs délais (Art. 34 RGPD). Tenez un registre interne de toutes les violations, même non notifiées, avec faits, effets et mesures prises (Art. 33.5 RGPD). La notification CNIL se fait via le téléservice dédié sur cnil.fr. Recourir à un avocat ou un DPO externe est fortement recommandé pour les violations significatives.

Téléchargez votre modèle maintenant

9.99€ TTC, paiement Stripe sécurisé, archive ZIP livrée immédiatement par email. Vérifiée par avocate, prête à publier.

Satisfait ou remboursé 14 joursSans condition (Art. L.221-18 C. conso)
MAJ légales à vieRe-téléchargeable à chaque réforme
Support 7 j/7Réponse sous 24 h
Paiement Stripe + 3DS2Données bancaires jamais stockées

Politique de confidentialite RGPD