Vous cherchez à rédiger la politique de confidentialité de votre site internet. Vous tombez sur des générateurs gratuits, des modèles repris d’un site à l’autre, des pages de cabinets d’avocats. Trois erreurs sautent aux yeux.
La première : la plupart des politiques en ligne citent encore des articles de la loi Informatique et Libertés qui n’existent plus dans cette numérotation. L’ordonnance n° 2018-1125 du 12 décembre 2018 a entièrement renuméroté la loi n° 78-17 du 6 janvier 1978 pour l’adapter au Règlement général sur la protection des données. Les anciens articles 32 et 38 à 40, constamment cités dans les politiques françaises, sont devenus les articles 48 et suivants — et leur contenu a largement été transféré aux articles 12 à 22 du RGPD. Les politiques qui n’ont pas été réécrites depuis sept ans citent un texte qui a changé.
La deuxième erreur : la mention d’un numéro CNIL ou d’une « déclaration à la CNIL ». Les formalités préalables auprès de la CNIL ont été supprimées par le Règlement général sur la protection des données, entré en application le 25 mai 2018, et par la loi n° 2018-493 du 20 juin 2018 qui a transposé le RGPD en droit français. Depuis cette date, la mise en conformité repose sur un mécanisme de responsabilité (accountability), sans déclaration préalable. Afficher « Site déclaré à la CNIL sous le numéro XXXXXX » n’a plus aucun sens depuis 2018.
La troisième erreur, la plus lourde de conséquences : intégrer la politique de confidentialité dans les conditions générales d’utilisation. La CNIL a sanctionné cette pratique en 2020 à hauteur de 2 250 000 euros (délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020, société Carrefour France). La formation restreinte a jugé que la personne concernée ne doit pas avoir à chercher activement les informations relatives au traitement de ses données parmi les conditions d’utilisation d’un site internet. L’information sur les données personnelles doit faire l’objet d’un document distinct, aisément accessible, clairement identifié.
Autre constat, complémentaire : les mêmes politiques ajoutent des clauses qui ne reposent sur aucun texte et sont parfois inopérantes. Clauses de limitation de responsabilité sur les données personnelles (réputées non écrites par l’article 82 du RGPD et l’article R. 212-1 du Code de la consommation), références à des articles abrogés de la loi 78-17, pseudo-consentement par la navigation (écarté par la Cour de justice de l’Union européenne depuis l’arrêt Planet49), clauses de modification unilatérale sans notification, liste exhaustive des textes applicables. Ce guide identifie une à une ces mentions superflues et en démontre l’inutilité — voire le risque — juridique.
Ce guide répond aux quatre questions que tout responsable de traitement se pose : est-ce obligatoire ; pour qui ; quelle sanction ; quel modèle retenir. Chaque affirmation renvoie à un texte en vigueur ou à une décision juridictionnelle identifiable.
Mentions légales et politique de confidentialité : deux documents distincts, deux obligations différentes
La confusion entre les deux documents est constante, y compris chez des rédacteurs expérimentés. Beaucoup de sites les fusionnent, les présentent comme synonymes, ou intègrent les informations RGPD dans les mentions légales (ou inversement). Cette confusion est une source de non-conformité, car les deux obligations reposent sur des textes différents, poursuivent des finalités différentes, et obéissent à des régimes de sanction différents.
Les mentions légales répondent à l’obligation d’identification de l’éditeur. Elles permettent à tout visiteur de savoir qui édite le site, qui en est responsable, où il a son siège, qui l’héberge. Le texte fondateur est l’article 1-1 de la loi pour la confiance dans l’économie numérique dans sa rédaction issue de la loi SREN du 21 mai 2024, complété par l’article 19 de la même loi pour le commerce électronique et par l’article R. 123-237 du Code de commerce pour les sociétés immatriculées. Le manquement expose à une sanction pénale (article 1-2 de la LCEN : un an d’emprisonnement et 75 000 euros d’amende, portés à 375 000 euros pour une personne morale).
La politique de confidentialité répond à l’obligation d’information des personnes dont les données sont traitées. Elle permet à toute personne qui interagit avec le site de savoir ce qui est fait de ses données — quelles données sont collectées, par qui, pour quelles finalités, pendant combien de temps, à qui elles sont transmises, quels droits elle peut exercer. Le texte fondateur est le règlement (UE) 2016/679 du 27 avril 2016 (le RGPD), en particulier ses articles 12 à 14, complété par les articles 48 et 85 de la loi du 6 janvier 1978. Le manquement expose à une sanction administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé (article 83, 5°, du RGPD).
Les deux documents sont obligatoires et cumulatifs. Aucun ne remplace l’autre. Un site conforme comporte deux liens distincts en pied de page : « Mentions légales » d’un côté, « Politique de confidentialité » de l’autre.
| Mentions légales | Politique de confidentialité | |
|---|---|---|
| Fondement | Articles 1-1 et 19 LCEN ; article R. 123-237 du Code de commerce | Articles 12 à 14 du RGPD ; articles 48 et 85 de la loi du 6 janvier 1978 |
| Finalité | Identifier l’éditeur | Informer sur le traitement des données personnelles |
| Contenu principal | Identité et coordonnées, siège, immatriculation, directeur de publication, hébergeur | Finalités des traitements, bases juridiques, destinataires, durées de conservation, droits des personnes |
| Sanction | Un an d’emprisonnement + 75 000 € (personne physique) / 375 000 € (personne morale) | Jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial consolidé |
| Autorité compétente | DGCCRF, juge pénal | CNIL |
| Format recommandé | Page distincte, accessible depuis toutes les pages | Document distinct, accessible depuis toutes les pages |
La règle à retenir : tout ce qui permet d’identifier l’éditeur du site relève des mentions légales ; tout ce qui concerne le traitement des données personnelles relève de la politique de confidentialité. Les cookies, qui relèvent d’un régime juridique distinct (article 82 de la loi du 6 janvier 1978, directive ePrivacy), font l’objet d’un développement spécifique — en pratique, ils sont souvent traités dans un document séparé « Gestion des cookies » ou « Politique cookies ». La duplication des mêmes informations dans les deux documents est inutile et source d’incohérence.
Le reste du présent guide est exclusivement consacré à la politique de confidentialité. Pour les mentions légales, se reporter à l’article dédié.
La loi Informatique et Libertés ne ressemble plus à ce qu’on lit encore dans 90 % des politiques
La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est un texte historique — le plus ancien du droit français de la protection des données, antérieur de trente-huit ans au Règlement général sur la protection des données. Mais dans sa rédaction actuelle, elle n’a plus grand-chose à voir avec celle qu’invoquent la plupart des politiques de confidentialité françaises.
Trois textes l’ont refondue en quelques mois, entre mai 2018 et mai 2019. Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 est entré en application le 25 mai 2018. Les obligations de fond du droit français ont été transférées à ce règlement, qui prime sur la loi nationale. La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a adapté le droit français pour tenir compte du RGPD — en supprimant notamment les formalités préalables de déclaration et d’autorisation, en conservant certaines spécificités nationales, et en redistribuant les pouvoirs de la CNIL. L’ordonnance n° 2018-1125 du 12 décembre 2018 a ensuite entièrement renuméroté et restructuré la loi 78-17 pour la rendre lisible avec cette nouvelle architecture. Enfin, le décret n° 2019-536 du 29 mai 2019 a précisé les modalités d’application.
Le résultat, pour qui rédige une politique de confidentialité aujourd’hui : citer « l’article 32 de la loi du 6 janvier 1978 » pour fonder l’obligation d’information est une erreur — l’article 32 ne traite plus de l’information mais du transfert de données à l’étranger. Citer « les articles 38 à 40 » pour fonder les droits d’accès, de rectification et d’opposition est une erreur — ces articles portent aujourd’hui sur d’autres matières. Citer « la déclaration à la CNIL n° XXXX » est une erreur — cette formalité n’existe plus depuis le 25 mai 2018.
Les politiques qui n’ont pas été mises à jour depuis la réforme citent donc un droit qui n’existe plus. Et ce sont souvent les plus grandes entreprises et les cabinets d’avocats les moins réactifs sur ce sujet qui donnent le mauvais exemple — on trouve encore des politiques de confidentialité de cabinets parisiens qui mentionnent l’article 34 de la loi de 1978 (devenu sans objet direct depuis le RGPD).
Les fondements textuels actuels d’une politique de confidentialité française sont, par ordre d’importance :
- les articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016 (le RGPD), qui fixent le contenu obligatoire de l’information ;
- les articles 15 à 22 du même règlement, qui fixent les droits des personnes concernées ;
- l’article 48 de la loi n° 78-17 du 6 janvier 1978, qui renvoie expressément aux articles 12 à 14 du RGPD et ajoute l’obligation d’informer sur les directives post-mortem ;
- l’article 85 de la loi n° 78-17, qui régit les directives relatives au sort des données après le décès (spécificité française) ;
- l’article 82 de la loi n° 78-17, qui régit le régime des cookies et traceurs.
Toute politique de confidentialité qui ne s’articule pas autour de ces cinq textes est soit en retard d’une décennie, soit incomplète.
Est-ce obligatoire ?
Oui. Toute personne, physique ou morale, qui traite des données à caractère personnel est tenue à une obligation d’information des personnes concernées. Cette obligation est l’une des obligations cardinales du RGPD, posée aux articles 13 (lorsque les données sont collectées directement auprès de la personne) et 14 (lorsqu’elles sont collectées indirectement). L’article 12 du règlement précise que cette information doit être fournie « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». L’article 48 de la loi Informatique et Libertés, dans sa rédaction issue de l’ordonnance du 12 décembre 2018, rappelle ces obligations et ajoute le droit à l’information sur les directives post-mortem (article 85 de la même loi).
La politique de confidentialité est la forme concrète et documentée par laquelle le responsable de traitement s’acquitte de cette obligation d’information. Aucun texte n’impose une appellation précise — « politique de confidentialité », « politique de protection des données », « charte des données personnelles », « notice d’information », « privacy policy » sont des intitulés équivalents. Mais le contenu, lui, est strictement encadré.
Cette obligation ne se limite pas aux sites de commerce électronique ou aux grandes entreprises. Elle s’applique à tout responsable de traitement — y compris un site vitrine avec un simple formulaire de contact, un blog avec un espace de commentaires, un cabinet d’avocat qui collecte des adresses email via son site, ou une association qui inscrit des adhérents en ligne. Dès lors qu’une donnée à caractère personnel est collectée — c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable (article 4, 1°, du RGPD) — la politique de confidentialité est due.
La sanction du manquement à l’obligation d’information relève de l’article 83, 5°, du RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Ce n’est pas une menace théorique : la formation restreinte de la CNIL a prononcé, en 2020, une amende de 2,25 millions d’euros contre un grand distributeur pour manquement aux articles 12 et 13 du RGPD, parmi d’autres griefs (délibération SAN-2020-008 du 18 novembre 2020).
Pour qui l’obligation s’applique
Tout responsable de traitement établi en France
Est responsable de traitement, au sens de l’article 4, 7°, du RGPD, la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel. L’éditeur d’un site internet qui collecte des données — via un formulaire, via les cookies, via des identifiants de connexion, via l’inscription à une newsletter, via un espace client — est responsable de traitement. L’obligation d’information lui incombe personnellement, indépendamment de la présence d’un sous-traitant technique (hébergeur, prestataire marketing, développeur, etc.).
Tout site internet, même vitrine, dès qu’il collecte une donnée
Une idée reçue tenace voudrait que seuls les sites e-commerce ou les plateformes à grande audience doivent une politique de confidentialité. C’est faux. L’obligation naît de la collecte de données, pas de la nature commerciale de l’activité. Un simple formulaire de contact demandant un nom et une adresse email suffit à déclencher l’obligation. Un bouton « inscription à la newsletter » aussi. Un dépôt de cookies à des fins d’analyse d’audience, également. Un commentaire sur un blog, avec enregistrement d’adresse IP, encore.
Le cas limite est celui du site purement statique, qui n’héberge aucun formulaire, aucun cookie autre que strictement techniques, aucun outil d’analyse d’audience, aucun bouton de partage social. Ces cas existent mais sont devenus marginaux — même les hébergeurs professionnels déposent désormais des cookies techniques dont l’information est recommandée par précaution.
Les responsables de traitement établis hors UE mais visant le public français
Le RGPD s’applique aux traitements de données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable de traitement sur le territoire de l’Union (article 3, 1°, du RGPD). Mais il s’applique également aux traitements effectués par un responsable de traitement qui n’est pas établi dans l’Union, lorsque ces traitements sont liés à l’offre de biens ou de services à des personnes concernées dans l’Union ou au suivi de leur comportement, pour autant que celui-ci ait lieu au sein de l’Union (article 3, 2°). Un site américain qui cible le marché français en proposant une version française et des prix en euros relève donc du RGPD et doit une politique de confidentialité conforme.
Les traitements mis en œuvre par les professions réglementées
Les avocats, médecins, experts-comptables, notaires, huissiers, architectes sont responsables de traitement au titre des données de leurs clients — même si ces traitements relèvent principalement du secret professionnel et non du RGPD stricto sensu. Mais dès lors que le professionnel a un site internet, qu’il collecte des coordonnées par formulaire de contact, qu’il gère un espace client en ligne ou qu’il utilise un outil de prise de rendez-vous, la politique de confidentialité devient obligatoire. La spécificité du secret professionnel n’exonère pas de l’obligation d’information : elle la structure simplement différemment pour les données couvertes par ce secret.
Les associations, collectivités, établissements publics
L’obligation est rigoureusement la même. Les associations qui inscrivent des adhérents via un site, les collectivités qui proposent des services en ligne aux usagers, les établissements publics qui traitent des données sur leur site relèvent toutes du RGPD, avec des spécificités prévues par la loi n° 78-17 (notamment les articles 31 et suivants pour les traitements publics particuliers).
Ce qui est obligatoire dans la politique de confidentialité
L’article 13 du RGPD fixe la liste des informations obligatoires lorsque les données sont collectées directement auprès de la personne. L’article 14 fixe une liste légèrement différente pour la collecte indirecte. En pratique, la plupart des sites collectent à la fois directement (formulaires) et indirectement (cookies tiers, enrichissement par des fournisseurs de données). La politique de confidentialité doit couvrir les deux hypothèses.
L’identité et les coordonnées du responsable de traitement
L’article 13, 1, a), du RGPD impose d’indiquer l’identité et les coordonnées du responsable de traitement et, le cas échéant, de son représentant. Cette identification doit être précise et sans ambiguïté. La CNIL a sanctionné des responsables de traitement qui désignaient de manière inexacte l’entité responsable au sein d’un groupe (délibération SAN-2020-008 précitée) : la responsabilité des traitements mis en œuvre à travers un site est d’abord celle de l’entité qui détermine la politique de traitement, non nécessairement celle qui exploite le site au quotidien.
Pour une société, doivent figurer la dénomination sociale, la forme juridique, le numéro RCS ou SIREN, l’adresse du siège social, et une adresse de contact — idéalement une adresse courriel dédiée à l’exercice des droits (de type dpo@société.fr ou rgpd@société.fr).
Les coordonnées du délégué à la protection des données, s’il en existe
L’article 13, 1, b), du RGPD impose d’indiquer les coordonnées du délégué à la protection des données (data protection officer, DPO), lorsque sa désignation est obligatoire ou lorsque le responsable de traitement a fait le choix d’en désigner un. La désignation d’un DPO est obligatoire lorsque le traitement est effectué par une autorité publique, lorsque les activités de base du responsable de traitement consistent en un suivi régulier et systématique à grande échelle de personnes, ou lorsque les activités de base consistent en un traitement à grande échelle de données sensibles (article 37, 1, du RGPD). Pour les autres, la désignation est facultative, mais fortement recommandée pour les structures qui manipulent des données à grande échelle.
Les finalités et la base juridique de chaque traitement
L’article 13, 1, c), du RGPD impose d’indiquer les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement. C’est sur ce point que la plupart des politiques sont insuffisantes.
La base juridique doit être précisée pour chaque traitement, pas en bloc. La CNIL a été parfaitement claire sur ce point dans la délibération SAN-2020-008 du 18 novembre 2020 : lorsque plusieurs traitements sont mis en œuvre, se contenter de lister les bases légales existantes sans rattacher chacune à un traitement précis ne suffit pas. La personne concernée doit pouvoir, pour chaque finalité, identifier la base juridique qui la légitime — ce qui a une importance concrète, car la base juridique détermine l’étendue des droits. Le droit à la portabilité (article 20 du RGPD), par exemple, n’existe que pour les traitements fondés sur le consentement ou l’exécution d’un contrat. Le droit au retrait du consentement n’existe que pour les traitements fondés sur le consentement.
L’article 6 du RGPD énumère six bases juridiques possibles :
- le consentement de la personne concernée ;
- l’exécution d’un contrat auquel la personne est partie ou l’exécution de mesures précontractuelles prises à sa demande ;
- le respect d’une obligation légale à laquelle le responsable de traitement est soumis ;
- la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
- l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
- les intérêts légitimes poursuivis par le responsable de traitement ou par un tiers, sous réserve de la balance avec les intérêts et libertés de la personne concernée.
Chaque finalité de traitement doit être rattachée à l’une de ces bases, et cette précision doit figurer dans la politique de confidentialité.
Les destinataires et les catégories de destinataires
L’article 13, 1, e), du RGPD impose d’indiquer les destinataires ou les catégories de destinataires des données. Cela couvre à la fois les destinataires internes au groupe (filiales, maisons mères) et les destinataires externes (sous-traitants techniques, prestataires marketing, partenaires commerciaux, autorités administratives en cas d’obligation légale).
Les sous-traitants doivent être identifiés. Il n’est pas nécessaire de les nommer individuellement dans la politique — mais il est prudent de les énumérer lorsqu’ils sont en nombre limité et récurrent, ou à défaut de décrire précisément les catégories (hébergeur, prestataire d’envoi de courriels, outil d’analyse d’audience, plateforme CRM, etc.).
Les transferts internationaux de données
Lorsque le responsable de traitement transfère des données vers un pays tiers ou vers une organisation internationale, l’article 13, 1, f), du RGPD impose de mentionner le fait du transfert, la référence aux garanties appropriées ou adaptées (décision d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes, etc.), et les moyens d’obtenir une copie de ces garanties ou l’endroit où elles ont été mises à disposition.
Cette mention est devenue centrale depuis l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020 (aff. C-311/18, Data Protection Commissioner c/ Facebook Ireland Ltd et Maximillian Schrems, dit arrêt Schrems II), qui a invalidé le Privacy Shield encadrant les transferts de données entre l’Union européenne et les États-Unis. Depuis cet arrêt, les transferts vers les États-Unis supposent des garanties complémentaires — clauses contractuelles types, mesures techniques d’anonymisation ou de chiffrement, ou, depuis le 10 juillet 2023, l’EU-US Data Privacy Framework qui a fait l’objet d’une nouvelle décision d’adéquation de la Commission européenne. La politique de confidentialité doit indiquer précisément sous quel régime les données transférées sont protégées.
La CNIL a sanctionné des responsables de traitement pour information insuffisante sur les transferts internationaux (délibération SAN-2020-008 précitée) : se contenter de mentionner que des transferts ont lieu, sans préciser le régime juridique applicable, n’est pas conforme.
Les durées de conservation
L’article 13, 2, a), du RGPD impose d’indiquer la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée. Cette information doit être par finalité, pas globale. Les données clients d’une relation commerciale ne se conservent pas pour la même durée que les données de prospection, les données comptables légales, ou les données de navigation.
À titre indicatif, la CNIL recommande dans ses référentiels les durées suivantes :
- données de prospection de clients inactifs : trois ans à compter du dernier contact (recommandation reprise de l’ancienne norme simplifiée n° 48 et confirmée par la formation restreinte dans la délibération SAN-2020-008) ;
- données de comptabilité : dix ans à compter de la clôture de l’exercice (article L. 123-22 du Code de commerce) ;
- données fiscales : six ans à compter du dernier fait générateur (article L. 102 B du Livre des procédures fiscales) ;
- factures et pièces justificatives : dix ans (articles L. 123-22 du Code de commerce et L. 102 B du LPF) ;
- données de gestion de la paie : cinq ans (article L. 3243-4 du Code du travail) ;
- données relatives aux contrats civils ou commerciaux : cinq ans (article 2224 du Code civil).
Les durées doivent être précises et tenir compte des obligations légales qui imposent une conservation minimum comme de l’interdiction de conserver au-delà du nécessaire (article 5, 1, e), du RGPD). La CNIL a sanctionné une grande entreprise pour avoir conservé les données de clients inactifs depuis cinq à dix ans, alors qu’elle-même avait fixé une durée cible de trois ans (délibération SAN-2020-008).
Les droits des personnes concernées
Les articles 15 à 22 du RGPD confèrent aux personnes concernées un ensemble de droits qui doivent être détaillés dans la politique de confidentialité :
- le droit d’accès (article 15) : obtenir du responsable de traitement la confirmation que des données sont traitées et, dans l’affirmative, la communication d’une copie ;
- le droit de rectification (article 16) : obtenir sans délai la rectification de données inexactes ou incomplètes ;
- le droit à l’effacement ou « droit à l’oubli » (article 17) : obtenir l’effacement des données dans les cas qu’il énumère ;
- le droit à la limitation du traitement (article 18) : obtenir que le traitement soit suspendu dans certains cas ;
- le droit à la portabilité (article 20) : recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement ;
- le droit d’opposition (article 21) : s’opposer, à tout moment et pour des raisons tenant à sa situation particulière, à un traitement fondé sur l’intérêt légitime ou sur une mission d’intérêt public ; s’opposer sans condition à un traitement à des fins de prospection ;
- le droit de ne pas faire l’objet d’une décision exclusivement automatisée (article 22) : y compris le profilage, produisant des effets juridiques ou affectant significativement la personne.
À ces droits s’ajoutent, lorsque le traitement est fondé sur le consentement, le droit de retirer à tout moment ce consentement (article 7, 3, du RGPD) et, pour les résidents français, le droit de définir des directives relatives au sort des données après le décès (article 85 de la loi du 6 janvier 1978).
La politique doit indiquer comment ces droits peuvent être exercés — canal de contact, délai de réponse (un mois en principe, prolongeable de deux mois en cas de complexité, article 12, 3, du RGPD), conditions d’identification — ainsi que le droit d’introduire une réclamation auprès de la CNIL, dont les coordonnées doivent figurer (article 13, 2, d), du RGPD).
L’existence ou non d’une obligation de fournir les données
Lorsque les données sont collectées par un formulaire, l’article 13, 2, e), du RGPD impose d’indiquer si la fourniture des données a un caractère réglementaire ou contractuel, ou conditionne la conclusion d’un contrat, et si la personne concernée est tenue de les fournir, ainsi que les conséquences éventuelles de la non-fourniture. En pratique, ce point se traduit par un marquage visuel distinguant les champs obligatoires (astérisque, mention « champ obligatoire ») des champs facultatifs, avec une explication succincte dans la politique ou au-dessus du formulaire.
Les directives post-mortem — spécificité française
L’article 85 de la loi du 6 janvier 1978 prévoit que toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. L’article 48 de la même loi fait de l’information sur ces directives une composante obligatoire du droit à l’information. Elle est donc due, au même titre que l’information sur les droits listés par le RGPD. Cette spécificité française est systématiquement oubliée par les modèles importés ou traduits de l’anglais.
La directive post-mortem peut être générale (enregistrée auprès d’un tiers de confiance numérique certifié par la CNIL) ou particulière (enregistrée auprès d’un responsable de traitement pour un traitement donné). En l’absence de directives, les héritiers peuvent exercer les droits reconnus par le chapitre II du titre II de la loi dans la mesure nécessaire à l’organisation et au règlement de la succession, et à la prise en compte par le responsable de traitement du décès (article 85, II). L’article 85, III, impose à tout prestataire d’un service de communication au public en ligne d’informer l’utilisateur du sort des données qui le concernent à son décès et de lui permettre de choisir de communiquer ou non ses données à un tiers qu’il désigne.
Les cookies : information dans la politique ou dans une page dédiée
Les cookies et autres traceurs relèvent d’un régime juridique spécifique, posé par l’article 82 de la loi du 6 janvier 1978 (transposition de la directive 2002/58/CE modifiée par la directive 2009/136/CE, dite directive ePrivacy). Ce régime impose sa propre information, distincte des mentions relatives aux autres traitements. La politique de confidentialité doit soit intégrer cette information, soit renvoyer vers une page dédiée « Gestion des cookies » — la seconde option est recommandée pour la lisibilité.
L’information attendue dans la politique (ou dans la page cookies dédiée) porte sur : les catégories de traceurs déposés (mesure d’audience, publicité, personnalisation, partage social), la finalité de chaque catégorie, la durée de vie des cookies, l’identité des éditeurs tiers le cas échéant (Google Analytics, Meta Pixel, etc.), et le lien vers l’interface permettant à l’utilisateur d’accepter, de refuser et de paramétrer son choix.
Le régime précis du recueil du consentement aux cookies — jurisprudence CJUE Planet49, arrêt du Conseil d’État du 6 juin 2018, délibérations CNIL du 17 septembre 2020 — fait l’objet d’un développement dans l’article consacré aux mentions légales. La règle à retenir pour la politique de confidentialité : l’information sur les cookies fait partie intégrante des mentions dues au titre de l’article 13 du RGPD dès lors qu’un cookie conduit au traitement de données à caractère personnel. C’est systématiquement le cas en présence de cookies publicitaires, d’analyse d’audience avec identifiant utilisateur, ou de cookies de personnalisation.
Forme : où afficher la politique et comment la présenter
Un document distinct des conditions générales
La politique de confidentialité doit faire l’objet d’un document distinct, clairement identifié, accessible depuis toutes les pages du site par un lien permanent en pied de page. La noyer dans les conditions générales d’utilisation ou les conditions générales de vente est une non-conformité caractérisée.
C’est sur ce point que la formation restreinte de la CNIL, dans la délibération SAN-2020-008 du 18 novembre 2020, a été la plus incisive. La Commission a rappelé la position du G29 (aujourd’hui Comité européen de la protection des données) dans les lignes directrices sur la transparence adoptées en avril 2018 : « la personne concernée ne doit pas avoir à chercher activement les informations couvertes par ces articles parmi d’autres informations telles que les conditions d’utilisation d’un site internet ». En l’espèce, les mentions d’information étaient regroupées dans l’article 3 des CGU du site et l’article 10 des CGU du programme fidélité — ce qui obligeait l’utilisateur à parcourir plus de soixante-dix paragraphes avant d’y accéder. La sanction a retenu un manquement aux articles 12 et 13 du RGPD pour ce motif, parmi d’autres.
La règle pratique qui en découle : deux liens distincts en pied de page, « Conditions générales » et « Politique de confidentialité », chacun pointant vers un document autonome.
Un accès aisé depuis toutes les pages
L’accès à la politique doit être possible depuis chaque page du site, et pas seulement depuis la page d’accueil. Le lien « Politique de confidentialité » en pied de page du modèle commun à l’ensemble des pages est la configuration attendue. Les mentions qui figurent uniquement sur une page dédiée, sans lien permanent, exposent à la sanction pour défaut d’accessibilité.
Au moment de la collecte des données — formulaire de contact, inscription à la newsletter, création de compte —, un lien direct vers la politique doit également figurer à côté du formulaire, avec une mention courte rappelant les finalités essentielles du traitement (« Les informations que vous communiquez sont utilisées pour répondre à votre demande. Pour en savoir plus sur le traitement de vos données, consultez notre politique de confidentialité. »).
Information en plusieurs niveaux : possible, mais pas au détriment du fond
La CNIL admet la présentation de l’information en plusieurs niveaux — un niveau de synthèse immédiatement accessible, un niveau détaillé complet disponible en un clic. C’est la position du G29 dans les lignes directrices précitées, reprise par la CNIL dans la délibération SAN-2020-008. Mais à deux conditions :
D’une part, le premier niveau doit contenir les informations essentielles : identité du responsable de traitement, finalités principales, description des droits des personnes. Un premier niveau qui ne comporte que des généralités — « nous respectons votre vie privée » — n’est pas conforme.
D’autre part, le deuxième niveau doit être complet, aisément accessible, et présenter l’ensemble des mentions exigées par les articles 13 et 14 du RGPD. La formation restreinte de la CNIL a rappelé qu’une information en plusieurs niveaux mal conçue peut aggraver le défaut d’accessibilité — en dispersant l’information entre plusieurs documents et en rendant plus difficile la recherche par la personne concernée.
Termes clairs, simples, sans jargon
L’article 12 du RGPD exige que l’information soit fournie « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Le considérant 39 du RGPD précise que les personnes physiques devraient être informées « des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits ».
La CNIL, dans la délibération SAN-2020-008, a reproché à la société sanctionnée l’utilisation de formules vagues et générales — « ces traitements incluent notamment », « pour l’une ou plusieurs des raisons suivantes », « vos données sont susceptibles d’être utilisées », « vous disposez également d’un droit (…) qui trouveront à s’appliquer dans certains cas ». Ces formulations sont présentes dans des dizaines de milliers de politiques de confidentialité en ligne aujourd’hui. Elles ne sont pas conformes.
La règle : des phrases courtes, un style direct, des exemples concrets, l’évitement systématique des formules d’incertitude ou de généralité qui empêchent la personne concernée de comprendre précisément ce qui est traité, par qui, pour quelles finalités.
Sanctions encourues
Sanctions administratives — CNIL
L’article 83 du RGPD organise deux niveaux de sanctions administratives. L’article 83, 4°, prévoit un plafond de 10 millions d’euros ou, pour une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, pour les manquements à certaines obligations (principales : obligations du responsable de traitement et du sous-traitant, article 24 et suivants ; obligations de sécurité, article 32 ; notification des violations, articles 33 et 34 ; etc.). L’article 83, 5°, prévoit un plafond de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, pour les manquements aux principes fondamentaux (article 5), aux bases juridiques (article 6), aux conditions du consentement (article 7), aux droits des personnes (articles 12 à 22), aux règles de transfert international (articles 44 à 49) et aux décisions définitives de l’autorité de contrôle. Le montant le plus élevé entre la somme forfaitaire et le pourcentage du chiffre d’affaires est retenu.
Le chiffre d’affaires retenu pour calculer le plafond n’est pas nécessairement celui de la seule entité sanctionnée. La formation restreinte de la CNIL, dans la délibération SAN-2020-008, a jugé que la notion d’entreprise, au sens du considérant 150 du RGPD, doit être comprise comme dans le droit européen de la concurrence — c’est-à-dire comme l’unité économique qui engage des activités commerciales, même si cette unité est constituée de plusieurs personnes morales distinctes (notamment : arrêt CJUE du 12 juillet 1984, Hydrotherm, aff. 170/83). L’assiette de l’amende peut donc être calculée sur le chiffre d’affaires consolidé du groupe, y compris les filiales qui ont bénéficié du traitement litigieux.
Les sanctions prononcées sur le terrain de la politique de confidentialité elle-même sont nombreuses et significatives. Sans prétendre à l’exhaustivité :
- Google a été sanctionné le 21 janvier 2019 à hauteur de 50 millions d’euros pour manquements aux obligations de transparence et de base légale du traitement (délibération SAN-2019-001) — une information sur les traitements jugée insuffisamment claire, dispersée entre plusieurs documents, et un défaut de base légale valable pour la personnalisation publicitaire ;
- Carrefour France a été sanctionné le 18 novembre 2020 à hauteur de 2,25 millions d’euros notamment pour politique de confidentialité noyée dans les conditions d’utilisation, information insuffisante sur la base légale des traitements et sur les transferts internationaux, et durées de conservation excessives (délibération SAN-2020-008) — sanction emblématique, qui précise les standards attendus d’une politique conforme.
S’y ajoutent les sanctions relatives aux règles cookies (article 82 de la loi du 6 janvier 1978), qui ne se confondent pas avec le régime de la politique de confidentialité mais y sont étroitement liées — Google 150 millions d’euros en décembre 2021, Facebook 60 millions d’euros à la même date. Ces sanctions sont développées dans l’article consacré aux mentions légales, auquel se reporter.
La CNIL a, depuis 2019, fait de la transparence de l’information et du respect des droits des personnes ses axes prioritaires de contrôle.
Sanctions civiles et atteinte à la réputation
Au-delà de la sanction administrative, le manquement à l’obligation d’information expose à la responsabilité civile envers les personnes concernées qui peuvent établir un préjudice — perte de contrôle sur leurs données, préjudice moral, préjudice matériel en cas de dommage résultant du traitement. L’article 82 du RGPD pose expressément le droit à indemnisation. Toute clause ayant pour objet ou pour effet d’exclure ou de limiter cette responsabilité est inopérante : les clauses de non-responsabilité sur les données personnelles sont réputées non écrites par la combinaison de l’article 82 du RGPD et de l’article R. 212-1, 6°, du Code de la consommation (dans les relations avec les consommateurs).
Conséquences pénales annexes
L’article 226-16 du Code pénal punit de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 24 du RGPD. L’article 226-17 punit des mêmes peines le fait de procéder ou de faire procéder à un traitement sans mettre en œuvre les mesures de sécurité prescrites par l’article 32 du RGPD. L’article 226-18 punit de cinq ans d’emprisonnement et de 300 000 euros d’amende la collecte de données par un moyen frauduleux, déloyal ou illicite.
Ces sanctions pénales sont rarement mises en œuvre — la CNIL privilégie la voie administrative — mais elles existent et peuvent être déclenchées par une plainte d’une personne concernée auprès du procureur de la République.
Modèle de politique de confidentialité conforme
La politique doit être adaptée au cas concret — nature de l’activité, données collectées, finalités poursuivies, destinataires, sous-traitants, transferts internationaux éventuels. La structure suivante récapitule les mentions obligatoires en application des articles 12 à 14 du RGPD et des articles 48 et 85 de la loi du 6 janvier 1978.
Structure recommandée
Préambule
La présente politique de confidentialité décrit comment [dénomination de l’éditeur] traite les données à caractère personnel collectées via le site [URL], dans le respect du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée.
Identité et coordonnées du responsable de traitement
[Dénomination sociale — Forme juridique] [Adresse du siège social] [Numéro SIREN / RCS] Courriel de contact protection des données : [adresse dédiée]
Délégué à la protection des données (à adapter si désignation)
Un délégué à la protection des données a été désigné et peut être contacté à l’adresse suivante : [adresse].
(Ou, en l’absence de désignation : Aucun délégué à la protection des données n’a été désigné, la désignation n’étant pas obligatoire au titre de l’article 37 du RGPD.)
Finalités des traitements et base juridique
| Finalité | Base juridique | Durée de conservation |
|---|---|---|
| Réponse aux demandes de contact | Exécution de mesures précontractuelles à la demande de la personne concernée (article 6, 1, b, RGPD) | 3 ans à compter du dernier contact |
| Gestion de la relation client | Exécution du contrat (article 6, 1, b, RGPD) | Durée du contrat + 5 ans |
| Prospection commerciale électronique | Consentement (article 6, 1, a, RGPD) | Jusqu’au retrait du consentement ou 3 ans d’inactivité |
| Obligations comptables et fiscales | Obligation légale (article 6, 1, c, RGPD) | 10 ans |
| Mesure d’audience du site | Intérêt légitime (article 6, 1, f, RGPD) ou consentement (selon le traceur) | 13 mois |
(Ce tableau est illustratif — à adapter à chaque traitement effectivement mis en œuvre.)
Catégories de données collectées
Les données collectées peuvent comprendre, selon les interactions avec le site : identité (nom, prénom), coordonnées (adresse postale, adresse électronique, numéro de téléphone), données professionnelles (fonction, société), données de connexion (adresse IP, date et heure de connexion, identifiants techniques), données de navigation (pages consultées, durée de consultation).
Destinataires des données
Les données sont destinées aux services internes de [dénomination] chargés de la gestion des demandes et de la relation client, ainsi qu’à ses sous-traitants techniques — notamment :
- [dénomination de l’hébergeur] pour l’hébergement du site ;
- [dénomination du prestataire] pour l’envoi de courriels ;
- [dénomination de l’outil d’analyse d’audience] pour la mesure d’audience ;
- [autres sous-traitants, le cas échéant].
Les données ne sont transmises à aucun tiers à des fins commerciales sans le consentement exprès de la personne concernée.
Transferts internationaux (à adapter)
[Si des transferts ont lieu vers des pays hors UE :] Certaines données peuvent être transférées à des sous-traitants établis dans des pays situés en dehors de l’Union européenne. Ces transferts sont encadrés par [préciser : décision d’adéquation de la Commission européenne (pays) / clauses contractuelles types / règles d’entreprise contraignantes / EU-US Data Privacy Framework]. Une copie de ces garanties peut être obtenue en adressant une demande à [adresse].
[Sinon :] Aucune donnée n’est transférée en dehors de l’Union européenne.
Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur les données à caractère personnel vous concernant :
- droit d’accès : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie ;
- droit de rectification : obtenir la correction de données inexactes ou incomplètes ;
- droit à l’effacement : obtenir l’effacement de données dans les cas prévus par l’article 17 du RGPD ;
- droit à la limitation du traitement dans les cas prévus par l’article 18 du RGPD ;
- droit à la portabilité des données pour les traitements fondés sur le consentement ou l’exécution d’un contrat ;
- droit d’opposition : s’opposer au traitement pour des raisons tenant à votre situation particulière, ou sans condition pour un traitement à des fins de prospection ;
- droit de ne pas faire l’objet d’une décision exclusivement automatisée produisant des effets juridiques ou vous affectant significativement ;
- droit de retirer à tout moment votre consentement, lorsque le traitement est fondé sur ce consentement, sans affecter la licéité des traitements antérieurs ;
- droit de définir des directives relatives au sort de vos données à caractère personnel après votre décès, en application de l’article 85 de la loi du 6 janvier 1978.
Ces droits peuvent être exercés en adressant une demande à [adresse dédiée], accompagnée d’un justificatif d’identité en cas de doute raisonnable sur l’identité du demandeur.
Une réponse vous sera apportée dans un délai d’un mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité (article 12, 3, du RGPD).
Droit d’introduire une réclamation
Vous disposez du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via le site www.cnil.fr.
Cookies et traceurs
Le site utilise des cookies et traceurs dont le détail (finalités, durée, possibilité de paramétrage) est exposé dans la politique cookies accessible à [URL de la page cookies]. Conformément à l’article 82 de la loi du 6 janvier 1978, les traceurs non strictement nécessaires à la fourniture du service ne sont déposés qu’après recueil du consentement de l’utilisateur.
Modifications de la présente politique
La présente politique peut être mise à jour pour tenir compte de l’évolution de la réglementation ou des traitements mis en œuvre. Toute modification substantielle fait l’objet d’une information spécifique.
Variante pour un simple site vitrine de profession libérale (avocat)
Pour un avocat dont le site se limite à présenter l’activité et propose un simple formulaire de contact, la politique peut être plus concise : identification du responsable de traitement (l’avocat), finalités limitées (réponse aux demandes de contact et gestion des relations avec les prospects ou clients), base juridique (intérêt légitime ou mesures précontractuelles), destinataires limités (l’avocat et son hébergeur), durée de conservation (3 ans à compter du dernier contact pour les prospects, durée du dossier plus durée de prescription pour les clients), droits des personnes, coordonnées de la CNIL. La spécificité du secret professionnel de l’avocat (article 66-5 de la loi n° 71-1130 du 31 décembre 1971) doit être mentionnée pour les données relatives aux dossiers — ces données ne sont communiquées à aucun tiers en dehors des exceptions prévues par la loi.
Le superflu : ce que les gens ajoutent par erreur ou par excès de précaution
L’inflation clausière observée sur les mentions légales des sites institutionnels se retrouve intégralement dans les politiques de confidentialité — avec, souvent, des conséquences plus sérieuses, car certaines clauses ajoutées sont non seulement inutiles mais contraires au RGPD. Passage en revue.
Le numéro CNIL ou la « déclaration à la CNIL »
« Site déclaré à la CNIL sous le numéro XXXXXX. » Cette mention, qu’on trouve encore sur des centaines de milliers de sites français, fait référence à un régime supprimé depuis le 25 mai 2018. Les formalités préalables de déclaration et d’autorisation prévues par l’ancienne version de la loi 78-17 ont été abrogées par le RGPD et par la loi n° 2018-493 du 20 juin 2018. Depuis cette date, la conformité repose sur un mécanisme de responsabilité (accountability) et sur la tenue d’un registre interne des traitements (article 30 du RGPD), sans déclaration préalable. Un ancien numéro CNIL affiché n’est pas dangereux en lui-même, mais il signale un site dont la politique n’a pas été revue depuis sept ans. C’est un signal rouge pour la CNIL en cas de contrôle.
Les références à des articles abrogés ou renumérotés de la loi 78-17
« Conformément aux articles 32 à 40 de la loi du 6 janvier 1978, vous disposez des droits suivants… » Ces articles, dans leur ancienne numérotation, portaient sur l’information, les droits d’accès, de rectification, d’opposition et à l’oubli. Ils ont été renumérotés par l’ordonnance n° 2018-1125 du 12 décembre 2018 — et leur contenu a largement été transféré aux articles 12 à 22 du RGPD. L’article 32 actuel traite d’un tout autre sujet (transferts internationaux). L’article 38 actuel traite des traitements de données à des fins archivistiques. Les citations à l’ancienne sont des citations à un texte abrogé — le droit cité n’existe plus dans cette numérotation.
La règle pratique : les droits des personnes se fondent sur les articles 15 à 22 du RGPD, et le renvoi à la loi 78-17 ne se justifie que pour l’information sur les directives post-mortem (article 85) et pour les cookies (article 82).
Les clauses de limitation de responsabilité sur les données personnelles
« [Dénomination] ne pourra être tenue pour responsable des dommages directs ou indirects liés au traitement des données. » Cette clause est inopérante. L’article 82 du RGPD pose expressément le droit à indemnisation de toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement. Le considérant 146 du RGPD précise que le responsable de traitement doit réparer tout dommage qu’une personne peut subir du fait d’un traitement effectué en violation du règlement. Aucune clause unilatérale ne peut écarter cette responsabilité légale. Dans les relations avec les consommateurs, la clause est en outre présumée abusive au titre de l’article R. 212-1, 6°, du Code de la consommation.
Le consentement par la navigation ou par l’utilisation du site
« En continuant à naviguer sur ce site, vous consentez au traitement de vos données. » Cette clause, qu’on trouve fréquemment en en-tête de politique ou sur des bandeaux cookies, est contraire au RGPD. L’article 4, 11°, du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». La Cour de justice de l’Union européenne, dans l’arrêt Planet49 du 1er octobre 2019 (aff. C-673/17), a confirmé qu’une case pré-cochée ne constitue pas un consentement valable — a fortiori, le simple fait de continuer à naviguer sur un site ne peut pas valoir consentement. Cette clause est juridiquement nulle et techniquement trompeuse.
La liste exhaustive des textes applicables
« La présente politique est établie en application du règlement (UE) 2016/679 du 27 avril 2016, de la loi n° 78-17 du 6 janvier 1978 modifiée, de la directive 2002/58/CE du 12 juillet 2002, de la directive 2009/136/CE du 25 novembre 2009, du décret n° 2019-536 du 29 mai 2019… » Aucun texte n’impose cette énumération. L’essentiel pour la personne concernée est de pouvoir identifier précisément ses droits et les modalités de leur exercice — la liste des textes fondateurs est à la charge du lecteur s’il souhaite la consulter. Une politique qui commence par une page de références normatives impressionne le rédacteur mais ne renseigne en rien la personne concernée.
La clause de modification unilatérale sans notification
« La présente politique peut être modifiée à tout moment par [dénomination], sans préavis et sans notification aux utilisateurs. Il vous appartient de consulter régulièrement la politique. » Cette clause contredit les principes fondamentaux du RGPD. Dès lors qu’une modification est substantielle — nouvelle finalité, nouveau destinataire, nouveau transfert international — la personne concernée doit en être informée (article 14, 4°, du RGPD par analogie ; considérant 60 du RGPD). Pour les traitements fondés sur le consentement, une modification substantielle impose un nouveau recueil de consentement. La clause d’autodispense de notification est donc inopérante et peut être retenue contre le responsable de traitement comme révélateur d’une absence de conformité générale.
Les formules vagues et générales
« Vos données peuvent être utilisées pour l’une ou plusieurs des raisons suivantes… », « Ces traitements incluent notamment… », « Nous pouvons éventuellement collecter certaines données… », « Vos données sont susceptibles d’être utilisées dans certains cas… » Ces formulations, courantes dans les modèles en ligne, ne sont pas conformes. La formation restreinte de la CNIL les a expressément écartées dans la délibération SAN-2020-008 du 18 novembre 2020, rappelant que l’information doit être précise et permettre à la personne concernée de comprendre exactement ce qui est traité et pour quelles finalités. Les formulations d’incertitude ou de généralité sont révélatrices d’une insuffisance de réflexion interne sur les traitements — et sont à ce titre dangereuses pour le responsable de traitement, au-delà de leur non-conformité.
La mention des cookies dans une politique distincte, puis répétée dans la politique de confidentialité
Un classique de la redondance : une page « Politique de confidentialité » qui contient une longue section sur les cookies, et une page « Politique cookies » qui reprend exactement les mêmes informations. La duplication n’est pas obligatoire — elle complexifie la mise à jour et crée un risque d’incohérence entre les deux documents. La règle pratique : une seule source d’information complète sur les cookies, accessible par un lien depuis la politique de confidentialité. La politique de confidentialité peut se limiter à un paragraphe de renvoi.
« Tous droits réservés » et mentions de propriété intellectuelle
Héritage des politiques importées de l’anglais, ces mentions n’ont rien à faire dans une politique de confidentialité. La politique vise à informer les personnes concernées sur le traitement de leurs données — pas à revendiquer des droits sur le contenu du site. La propriété intellectuelle relève des mentions légales ou d’un document dédié, pas de la politique de confidentialité.
Les engagements de moyens sans portée juridique
« Nous nous engageons à protéger vos données personnelles avec la plus grande rigueur. » « La sécurité de vos données est notre priorité absolue. » Ces déclarations de principe sont inutiles juridiquement — l’obligation de sécurité résulte de l’article 32 du RGPD, qu’aucune formule incantatoire ne renforce. Elles peuvent même être retenues contre le responsable de traitement en cas de manquement, dès lors qu’elles créent chez l’utilisateur une attente légitime de sécurité renforcée que la pratique ne respecte pas.
Questions fréquentes
Une politique de confidentialité est-elle obligatoire pour un simple site vitrine ?
Oui, dès lors que le site collecte la moindre donnée à caractère personnel. Un formulaire de contact suffit. Un outil de mesure d’audience qui dépose un cookie aussi. L’obligation résulte des articles 12 à 14 du RGPD, qui ne distinguent pas selon l’ampleur ou la nature du traitement. Seul un site purement statique, sans formulaire, sans cookie autre que strictement techniques et sans outil d’analyse, pourrait prétendre s’en dispenser — ces cas sont aujourd’hui rares.
Quelle différence entre politique de confidentialité, politique de protection des données et charte RGPD ?
Aucune, sur le plan juridique. Ces trois dénominations désignent le même document, par lequel le responsable de traitement s’acquitte de son obligation d’information prévue aux articles 12 à 14 du RGPD. Le choix entre ces intitulés est une question de style éditorial. « Politique de confidentialité » est l’usage le plus répandu ; « politique de protection des données à caractère personnel » est le plus précis juridiquement ; « charte RGPD » ou « notice d’information » sont acceptables également.
Peut-on intégrer la politique de confidentialité dans les CGU ou les CGV ?
Non. La formation restreinte de la CNIL, dans la délibération SAN-2020-008 du 18 novembre 2020, a expressément jugé que la personne concernée ne doit pas avoir à chercher les informations relatives au traitement de ses données dans un document destiné à encadrer d’autres relations (conditions d’utilisation, conditions de vente). La politique de confidentialité doit faire l’objet d’un document distinct, accessible par un lien dédié en pied de page.
La politique doit-elle être acceptée par l’utilisateur ?
Non. La politique de confidentialité est une information, pas un contrat. Elle ne fait pas l’objet d’une acceptation formelle — contrairement aux conditions générales d’utilisation ou aux conditions générales de vente, qui peuvent être soumises à acceptation. Exiger une case « J’ai lu et j’accepte la politique de confidentialité » est une confusion juridique : la politique informe, elle ne contraint pas. Le seul cas où un acte positif est requis est celui du consentement à un traitement spécifique (par exemple, inscription à une newsletter, dépôt de cookies non nécessaires) — et ce consentement porte sur le traitement lui-même, pas sur la politique.
Faut-il désigner un délégué à la protection des données (DPO) ?
La désignation est obligatoire dans trois cas seulement (article 37, 1, du RGPD) : traitement par une autorité publique ou un organisme public, activités de base consistant en un suivi régulier et systématique à grande échelle, activités de base consistant en un traitement à grande échelle de données sensibles. Pour les PME classiques, la désignation est facultative. Elle peut néanmoins être recommandée comme gage de sérieux lorsque les traitements sont substantiels. Le DPO peut être interne ou externe, à temps plein ou à temps partagé entre plusieurs structures.
Comment traiter les transferts de données vers les États-Unis ?
Depuis l’arrêt CJUE du 16 juillet 2020 (aff. C-311/18, Schrems II), les transferts vers les États-Unis ne peuvent reposer sur le seul Privacy Shield (invalidé par cet arrêt). Trois options subsistent aujourd’hui :
- depuis le 10 juillet 2023, une nouvelle décision d’adéquation de la Commission européenne a été adoptée sous l’intitulé EU-US Data Privacy Framework, applicable aux entreprises américaines certifiées ; ce cadre est contesté et pourrait à terme être invalidé comme son prédécesseur, mais il offre une base juridique actuelle ;
- les clauses contractuelles types adoptées par la Commission européenne le 4 juin 2021, assorties de mesures techniques complémentaires de nature à garantir un niveau de protection équivalent (chiffrement, anonymisation, pseudonymisation selon les cas) ;
- les règles d’entreprise contraignantes (binding corporate rules), pour les transferts intragroupe.
La politique de confidentialité doit identifier précisément le régime applicable — une mention générique « les données peuvent être transférées hors UE » n’est pas conforme.
Combien de temps conserver les données ?
La règle de principe, posée par l’article 5, 1, e), du RGPD, est que les données ne doivent pas être conservées au-delà du nécessaire au regard des finalités pour lesquelles elles sont traitées. Cette durée doit être déterminée par finalité, en tenant compte des obligations légales (conservation comptable, fiscale, sociale) et de la durée de prescription applicable. À titre indicatif :
- prospection commerciale : 3 ans à compter du dernier contact (recommandation CNIL) ;
- relation client active : durée du contrat + durée de prescription (5 ans en matière civile et commerciale) ;
- comptabilité : 10 ans (article L. 123-22 du Code de commerce) ;
- fiscal : 6 ans (article L. 102 B du Livre des procédures fiscales) ;
- paie : 5 ans (article L. 3243-4 du Code du travail) ;
- données de navigation et mesure d’audience : 13 mois (recommandation CNIL).
Ces durées doivent figurer dans la politique et être respectées en pratique. La CNIL a sanctionné plusieurs responsables de traitement pour des durées excessives ou pour non-respect des durées affichées (délibération SAN-2020-008).
Un blog personnel avec commentaires a-t-il besoin d’une politique de confidentialité ?
Oui. L’ouverture d’un espace de commentaires suppose la collecte d’adresses email et d’adresses IP — soit des données à caractère personnel. Le RGPD s’applique. L’exception prévue à l’article 2, 2, c), du RGPD, pour les traitements « dans le cadre d’une activité strictement personnelle ou domestique », est interprétée très strictement par la CJUE (arrêt du 6 novembre 2003, aff. C-101/01, Lindqvist) et ne couvre pas un blog ouvert au public. Une politique de confidentialité est donc due, même pour un blog personnel gratuit dès lors qu’il accueille des commentaires.
Que faire si on se rend compte que la politique actuelle cite encore l’ancienne numérotation de la loi 78-17 ?
La mettre à jour sans délai. Citer un texte abrogé ou une numérotation caduque n’entraîne pas automatiquement une sanction, mais c’est un révélateur d’une politique non revue depuis la réforme de 2018 — et donc d’un risque élevé d’inconformité sur d’autres points (absence de base juridique par traitement, information insuffisante sur les transferts, durées de conservation non actualisées). Toute révision de la politique doit s’accompagner d’une actualisation parallèle du registre des traitements (article 30 du RGPD) et, le cas échéant, des analyses d’impact (article 35).
Faut-il traduire la politique de confidentialité en anglais ?
Pour un site édité depuis la France et s’adressant au public français, la version française est obligatoire (loi n° 94-665 du 4 août 1994, dite loi Toubon, article 2). Une version anglaise peut être proposée à titre complémentaire, mais la version française fait foi en cas de divergence. Pour un site destiné explicitement à un public international, une version dans chaque langue principale est recommandée — avec la même précision substantielle dans chacune.
Que risque-t-on en pratique ?
La sanction principale est administrative (CNIL) et peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé. Sur le terrain propre à la politique de confidentialité, la CNIL a prononcé en 2020 une amende de 2,25 millions d’euros contre Carrefour France (délibération SAN-2020-008) pour politique de confidentialité noyée dans les conditions d’utilisation et information insuffisante ; en 2019, une amende de 50 millions d’euros contre Google pour défaut de transparence (délibération SAN-2019-001). Mais ces plafonds ne doivent pas masquer que la plupart des sanctions se situent entre 20 000 euros et quelques centaines de milliers d’euros pour des PME qui ne respectent pas les obligations d’information. La première étape de la CNIL est généralement la mise en demeure, permettant au responsable de traitement de se mettre en conformité avant sanction pécuniaire. Un site qui corrige rapidement sa politique à la suite d’une mise en demeure sort généralement de la procédure sans amende.
La règle pratique que j’observe : la conformité sur la politique de confidentialité est l’un des rares domaines où un investissement initial modeste (rédaction sérieuse d’une politique adaptée) prévient un risque disproportionné (amende pouvant aller jusqu’à plusieurs millions d’euros en cas de contrôle sur des manquements caractérisés). C’est donc l’une des mises en conformité dont le rapport coût / risque est le plus favorable.
Valentin Simonnet est avocat au Barreau de Paris. Il intervient en contentieux des affaires et en droit pénal des affaires.
