Politique de Confidentialité RGPD France

La politique de confidentialité est, en droit français, le document par lequel un responsable de traitement informe les personnes concernées sur l'usage de leurs données personnelles, imposé par les articles 13 et 14 du RGPD.

Le RGPD impose au responsable du traitement (toute personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement - art. 4.7) de fournir aux personnes concernées les informations listées aux articles 13 (données collectées directement) et 14 (données obtenues auprès de tiers) avant ou au moment de la collecte, de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (art. 12.1). La CNIL peut prononcer des amendes administratives jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (art. 83.5 du RGPD) pour les violations des obligations d'information, notamment l'absence de politique de confidentialité, une politique incomplète ou rédigée en termes obscurs.

La Politique de Confidentialité RGPD répond à plusieurs exigences fondamentales du droit français de la protection des données. L'article 13 du RGPD liste les informations devant figurer dans la politique : identité et coordonnées du responsable du traitement et de son représentant éventuel, coordonnées du délégué à la protection des données (DPO) s'il est désigné, finalités et bases légales des traitements (les six bases légales de l'article 6 : consentement, exécution d'un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d'intérêt public, intérêts légitimes), destinataires ou catégories de destinataires des données, transferts de données hors UE et garanties applicables, durée de conservation, droits des personnes (accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement), droit de réclamation auprès de la CNIL. Pour les données sensibles (art. 9 RGPD : santé, biométrie, opinions politiques, convictions religieuses, origine ethnique, orientation sexuelle, condamnations pénales), des conditions supplémentaires de traitement s'appliquent.

Le droit français apporte des spécificités propres au RGPD de base. La Loi Informatique et Libertés n°78-17 maintient des régimes spécifiques pour : les données de santé (traitement possible sous conditions via le Système national des données de santé - SNDS - géré par la DREES), les données biométriques nécessaires au contrôle d'accès dans les lieux de travail (autorisation CNIL préalable nécessaire), les traitements des administrations publiques, le régime des cookies et traceurs (délibération CNIL du 17 septembre 2020 n°2020-091 sur les cookies), et l'accès aux données personnelles par les services répressifs. La CNIL publie des recommandations sectorielles (santé, RH, e-commerce, IA) et des référentiels qui constituent des guides pratiques pour la conformité RGPD.

La Politique de Confidentialité RGPD se distingue des Mentions Légales de Site Web (LCEN art. 6-III) qui portent sur l'identification de l'éditeur, et de la Politique Cookies qui couvre spécifiquement les traceurs numériques. Ces trois documents forment le triptyque juridique obligatoire de tout site internet français, complété par les CGV selon l'activité. Voir aussi la Politique Cookies (Consentement) et les Mentions Légales de Site Web pour constituer un dispositif juridique cohérent.

La Politique de Confidentialité RGPD en France est obligatoire dès lors qu'une organisation collecte et traite des données personnelles de personnes résidant dans l'UE, quelle que soit la taille de l'organisation ou sa localisation géographique.

Tout site internet collectant des données personnelles. Dès qu'un site internet collecte des données personnelles (formulaire de contact avec nom et e-mail, formulaire d'inscription, newsletter, commande en ligne, cookies de tracking), une Politique de Confidentialité RGPD conforme est obligatoire et doit être accessible depuis toutes les pages du site (lien en pied de page). La CNIL a signalé en 2023 avoir envoyé plus de 1 000 mises en demeure à des sites internet français pour absence de politique de confidentialité ou politique non conforme au RGPD. L'absence de politique expose à une amende administrative et à une publication de la sanction (naming and shaming).

Applications mobiles collectant des données. Toute application mobile (iOS ou Android) qui collecte des données personnelles (localisation, contacts, photos, données comportementales, identifiants publicitaires) doit afficher une Politique de Confidentialité RGPD accessible depuis la fiche de l'application sur l'App Store ou le Google Play Store, et depuis l'intérieur de l'application. Apple et Google exigent une URL de politique de confidentialité valide pour la publication de toute application collectant des données. La CNIL a publié en 2022 des recommandations spécifiques sur les applications mobiles.

Services e-commerce et boutiques en ligne. Les e-commerçants qui collectent des données de commande, de livraison, de paiement et de navigation doivent disposer d'une Politique de Confidentialité RGPD distincte des CGV, mentionnant les bases légales du traitement (exécution du contrat, obligations légales de facturation, intérêts légitimes pour la lutte contre la fraude), les destinataires des données (transporteurs, prestataires de paiement, CRM), les durées de conservation et les droits des clients. La CNIL a sanctionné plusieurs e-commerçants en 2023-2024 pour absence de base légale documentée ou durée de conservation excessive.

Entreprises B2B collectant des données de contacts professionnels. Les entreprises qui collectent des coordonnées de contacts professionnels (nom, prénom, e-mail professionnel, téléphone, poste) pour leur prospection commerciale ou leur CRM doivent disposer d'une Politique de Confidentialité RGPD même si ces données sont des données professionnelles. La CNIL a précisé dans ses lignes directrices sur la prospection commerciale que les données de contacts professionnels sont des données personnelles soumises au RGPD (délibération CNIL n°2022-047 du 7 avril 2022). La base légale de la prospection B2B par e-mail est l'intérêt légitime (art. 6.1.f RGPD) ; la base légale pour les consommateurs est le consentement préalable (art. 6.1.a RGPD et art. L34-5 du Code des postes et des communications électroniques).

Organisations soumises à une obligation de désigner un DPO. Le RGPD impose la désignation d'un délégué à la protection des données (DPO - Data Protection Officer) dans trois cas : autorités et organismes publics, organismes dont les activités de base consistent en des opérations de traitement à grande échelle nécessitant un suivi régulier et systématique de personnes concernées, organismes dont les activités de base consistent en des traitements à grande échelle de données sensibles (art. 9 RGPD). La Politique de Confidentialité doit alors mentionner les coordonnées de contact du DPO. La CNIL tient un registre des DPO désignés.

Mise en conformité suite à un audit ou une mise en demeure CNIL. Les organisations ayant reçu une mise en demeure de la CNIL ou faisant l'objet d'un contrôle doivent mettre à jour leur Politique de Confidentialité RGPD dans le délai imparti (généralement 1 à 3 mois selon la gravité). La CNIL conduit des contrôles sur place, en ligne et sur pièces. Les secteurs prioritaires de contrôle CNIL 2025 incluent l'intelligence artificielle et les données d'entraînement, les applications mobiles, les cookies, la cybersécurité et la prospection commerciale.

La Politique de Confidentialité RGPD en France doit impérativement contenir les informations listées aux articles 13 et 14 du Règlement UE 2016/679 pour être conforme. L'absence d'un seul des éléments obligatoires peut être sanctionnée par la CNIL.

Identité et coordonnées du responsable du traitement (RGPD art. 13.1.a). Dénomination sociale complète, numéro SIREN, adresse du siège social, adresse e-mail de contact pour les questions relatives à la protection des données. Si le responsable du traitement est établi hors de l'UE et traite des données de personnes résidant dans l'UE, coordonnées du représentant désigné dans l'UE (RGPD art. 27). Pour les groupes de sociétés : identification précise de l'entité responsable du traitement pour chaque activité couverte par la politique.

Délégué à la Protection des Données (DPO) (RGPD art. 13.1.b et 37 à 39). Coordonnées de contact du DPO (nom ou titre, adresse e-mail dédiée, adresse postale) si désigné obligatoirement ou volontairement. Notification de la désignation du DPO à la CNIL via le registre des DPO (obligatoire). Le DPO doit avoir l'expertise requise (art. 37.5 RGPD) ; il peut être un salarié interne ou un prestataire externe. Les entreprises de moins de 250 salariés qui traitent des données sensibles ou effectuent un traitement systématique à grande échelle doivent désigner un DPO. La CNIL recommande que le DPO soit mentionné dans la Politique de Confidentialité avec une adresse e-mail dédiée ([email protected]).

Finalités et bases légales de chaque traitement (RGPD art. 13.1.c). Tableau ou liste structurée indiquant pour chaque traitement : la finalité (gestion des commandes, envoi de newsletter, analyse d'audience, prospection commerciale, gestion RH, sécurité du système d'information, etc.), la base légale parmi les six prévues à l'article 6 du RGPD (consentement art. 6.1.a, exécution d'un contrat art. 6.1.b, obligation légale art. 6.1.c, sauvegarde des intérêts vitaux art. 6.1.d, mission d'intérêt public art. 6.1.e, intérêts légitimes art. 6.1.f avec précision de l'intérêt légitime poursuivi), les catégories de données traitées. Pour les données sensibles (art. 9) : base légale supplémentaire parmi celles listées à l'article 9.2. Pour les traitements fondés sur le consentement : mécanisme de recueil du consentement et de gestion du retrait. Le modèle disponible sur forms-legal.com propose un tableau de traitements pré-rempli pour les activités commerciales courantes conformes à la doctrine CNIL.

Destinataires ou catégories de destinataires (RGPD art. 13.1.e). Identification de tous les destinataires (internes et externes) des données personnelles : services internes (marketing, comptabilité, RH, juridique), sous-traitants (hébergeur, prestataire de paiement, CRM, outil d'e-mailing, service client externalisé, transporteur, cabinet comptable), partenaires commerciaux (si partage de données), autorités publiques (URSSAF, DGFiP, France Travail, tribunaux, forces de l'ordre). Pour chaque sous-traitant : vérification que le sous-traitant offre des garanties suffisantes (art. 28.1 RGPD) et signature d'un accord de traitement des données (DPA).

Transferts de données hors de l'UE (RGPD art. 13.1.f). Mention des transferts vers des pays tiers et des garanties appropriées : décision d'adéquation de la Commission européenne (ex : Data Privacy Framework UE-États-Unis adopté le 10 juillet 2023 ; Japon, Canada, Israël, etc.), clauses contractuelles types (CCT, versions publiées le 4 juin 2021), règles d'entreprise contraignantes (BCR), accord ad hoc approuvé par la CNIL. Suite à l'arrêt Schrems II de la CJUE du 16 juillet 2020 et aux recommandations 01/2020 du Comité européen de la protection des données (CEPD), un transfert impact assessment (TIA) est recommandé pour les transferts vers les États-Unis, la Chine et d'autres pays sans décision d'adéquation. La CNIL a sanctionné en 2022 plusieurs organisations françaises pour des transferts illicites vers les États-Unis (Google Analytics notamment).

Durées de conservation (RGPD art. 13.2.a). Durées de conservation par catégorie de données et de traitement, ou critères permettant de les déterminer. Durées légales minimales ou maximales à respecter en France : données de prospection commerciale (3 ans à compter du dernier contact actif - CNIL délibération 2020) ; données de clients et de facturation (10 ans pour les documents comptables - Code de commerce art. L123-22 ; 3 ans pour les données de facturation au titre de la prescription consumériste) ; données de navigation et de cookies (13 mois maximum - délibération CNIL n°2020-091) ; données RH (5 ans après la fin du contrat de travail pour les éléments de paie, délai de prescription des actions prud'homales). La CNIL recommande un tableau de gestion des durées de conservation comme élément du registre des traitements (art. 30 RGPD).

Droits des personnes concernées (RGPD art. 13.2.b et 15 à 22). Description exhaustive des droits des personnes concernées et des modalités de leur exercice : droit d'accès (art. 15), droit de rectification (art. 16), droit à l'effacement ou « droit à l'oubli » (art. 17), droit à la limitation du traitement (art. 18), droit à la portabilité des données (art. 20, applicable aux traitements fondés sur le consentement ou le contrat), droit d'opposition (art. 21), droit de ne pas faire l'objet d'une décision entièrement automatisée (art. 22). Procédure d'exercice des droits : adresse e-mail ou formulaire dédié, délai de réponse (1 mois prorogeable de 2 mois, art. 12.3 RGPD), documents d'identité éventuellement requis. Droit de déposer une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés, 3 Place de Fontenoy - TSA 80715, 75334 Paris Cedex 07 ; cnil.fr).

Rédiger une Politique de Confidentialité RGPD conforme pour la France nécessite d'inventorier d'abord l'ensemble des traitements de données personnelles effectués, puis de compléter chaque section du modèle.

Étape 1 - Cartographie des traitements (registre art. 30 RGPD). Avant de rédiger la Politique, établissez le registre des traitements de données personnelles (obligatoire pour les organisations de plus de 250 salariés et recommandé pour toutes). Pour chaque traitement : finalité, base légale, catégories de données, catégories de personnes concernées, destinataires, durée de conservation, mesures de sécurité, transferts hors UE. La CNIL propose un modèle de registre des traitements sur son site (cnil.fr/fr/RGPD-de-quoi-parle-t-on).

Étape 2 - Identification du responsable du traitement et du DPO. Saisissez la dénomination sociale, le SIREN, l'adresse du siège et les coordonnées de contact pour les questions RGPD. Si vous avez désigné un DPO : indiquez son nom ou son titre et son adresse e-mail dédiée. Notifiez la désignation du DPO à la CNIL via le registre des DPO en ligne (notifications.cnil.fr).

Étape 3 - Rédaction du tableau des traitements. Pour chaque catégorie de traitement applicable à votre activité (gestion des commandes, envoi de newsletter, analyse d'audience, prospection commerciale, gestion RH, sécurité informatique), complétez : la finalité du traitement, la base légale précise parmi les six de l'article 6 RGPD avec l'explication de l'intérêt légitime si c'est la base retenue, les catégories de données collectées, la durée de conservation. La CNIL publie des recommandations sectorielles qui précisent les bases légales recommandées et les durées de conservation par type d'activité (e-commerce, santé, RH).

Étape 4 - Identification et documentation des sous-traitants. Listez tous les prestataires qui traitent des données personnelles pour votre compte (sous-traitants au sens du RGPD) : hébergeur (OVHcloud, AWS France, Scaleway), outil d'e-mailing (Mailchimp, Brevo/SendinBlue, Sarbacane), CRM (Salesforce, HubSpot), outil de paiement (Stripe, PayPal, Adyen), outil d'analyse (Google Analytics, Matomo, Piano Analytics). Pour chaque sous-traitant : signez un accord de traitement des données (DPA) et vérifiez les garanties RGPD. Pour les transferts vers les États-Unis : vérifiez si le sous-traitant est certifié Data Privacy Framework sur la liste officielle (dataprivacyframework.gov).

Étape 5 - Transferts hors UE. Pour chaque sous-traitant dont les serveurs ou le traitement sont localisés hors de l'UE (États-Unis, Inde, Philippines, etc.), documentez le mécanisme de transfert applicable. Pour les États-Unis : vérifiez la certification DPF du sous-traitant. Pour les autres pays : vérifiez si une décision d'adéquation de la Commission UE s'applique. À défaut : utilisez les clauses contractuelles types (CCT) du 4 juin 2021 avec, si nécessaire, un transfert impact assessment (TIA) si la loi du pays de destination est susceptible d'interférer.

Étape 6 - Durées de conservation. Pour chaque catégorie de données, indiquez la durée de conservation active (pendant la relation) et la durée d'archivage intermédiaire (au titre des obligations légales). Basez-vous sur le tableau de conservation CNIL et les dispositions légales applicables à votre secteur. Supprimez ou anonymisez les données à l'expiration de leur durée de conservation ; documentez cette procédure.

Étape 7 - Procédure d'exercice des droits. Définissez un processus clair pour répondre aux demandes d'exercice des droits dans le délai légal d'1 mois (prorogeable de 2 mois en cas de complexité). Créez une adresse e-mail dédiée ([email protected] ou [email protected]). Définissez la procédure de vérification d'identité pour les demandes d'accès. Documentez les réponses apportées aux demandes dans votre registre interne.

Étape 8 - Publication et mise à jour. Publiez la Politique de Confidentialité sur votre site internet avec un lien en pied de page accessible depuis toutes les pages. Mettez à jour la politique à chaque changement significatif de vos pratiques de traitement ou à chaque modification légale majeure (nouvelles recommandations CNIL, nouvelles règlementations). Conservez les versions précédentes de la politique pour les audits éventuels. La CNIL recommande de dater chaque version de la politique et d'informer les utilisateurs des modifications importantes.

La Politique de Confidentialité RGPD en France est soumise à un cadre légal strict dont le non-respect peut entraîner des sanctions très lourdes de la CNIL et des tribunaux.

Obligations d'information (RGPD art. 12 à 14). L'article 12 du RGPD impose que les informations soient fournies de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les articles 13 (données collectées directement) et 14 (données obtenues auprès de tiers) listent de manière exhaustive les informations à communiquer avant ou au moment de la collecte. L'absence d'une de ces informations constitue une violation de l'obligation de transparence, sanctionnée par l'article 83.5 du RGPD (amende jusqu'à 20 millions d'euros ou 4 % du CA mondial). La CNIL a prononcé des amendes significatives pour manquement à l'obligation d'information : 225 000 euros contre Groupe Canal+ en 2023, 600 000 euros contre Carrefour Banque en 2023.

Base légale obligatoire pour chaque traitement (RGPD art. 6 et 9). Chaque traitement de données personnelles doit être fondé sur l'une des six bases légales de l'article 6 du RGPD. L'absence de base légale documentée pour un traitement est une violation grave exposant à des amendes jusqu'à 20 millions d'euros ou 4 % du CA mondial (art. 83.5). Le consentement (art. 6.1.a) doit être libre, spécifique, éclairé et univoque ; les cases pré-cochées ou le silence ne valent pas consentement. L'intérêt légitime (art. 6.1.f) doit être documenté par une mise en balance (balancing test) entre les intérêts du responsable et les droits des personnes concernées. Pour les cookies de tracking : base légale = consentement obligatoire (délibération CNIL 2020-091).

Délai de réponse aux demandes d'exercice des droits (RGPD art. 12.3). Le responsable du traitement doit répondre aux demandes d'exercice des droits dans un délai d'1 mois à compter de la réception de la demande. Ce délai peut être prorogé de 2 mois en cas de complexité ou de grand nombre de demandes, sous réserve d'en informer la personne concernée dans le mois suivant la demande. Le défaut de réponse ou la réponse tardive est une violation du RGPD. La CNIL a sanctionné en 2024 plusieurs organisations pour non-réponse aux demandes d'exercice des droits.

Cookies et traceurs (délibération CNIL n°2020-091 du 17 septembre 2020 et recommandation CNIL du 17 septembre 2020). Les cookies ou traceurs qui ne sont pas strictement nécessaires au service demandé doivent être soumis au consentement préalable de l'utilisateur (art. 5.3 de la Directive ePrivacy 2002/58/CE, transposée à l'article 82 de la Loi Informatique et Libertés). La délibération CNIL 2020-091 précise les exigences du consentement : bouton refuser aussi facilement accessible que le bouton accepter, granularité suffisante, pas de « cookie wall » (sauf exceptions). La durée maximale de vie des cookies soumis à consentement est de 13 mois. Un bandeau de gestion des cookies conforme est obligatoire, distinct de la Politique de Confidentialité principale mais qui y renvoie.

Registre des traitements (RGPD art. 30). Toute organisation de 250 salariés ou plus est tenue de tenir un registre des activités de traitement. Les organisations de moins de 250 salariés en sont dispensées sauf si leurs traitements sont susceptibles de comporter un risque pour les droits et libertés, s'ils ne sont pas occasionnels, ou s'ils portent sur des catégories spéciales de données (art. 9) ou des données relatives à des condamnations pénales (art. 10). La CNIL recommande à toutes les organisations de tenir un registre, même facultatif. L'absence de registre est un manquement susceptible de sanction lors d'un contrôle CNIL. La Politique de Confidentialité est la version publique du registre des traitements ; elle doit être cohérente avec le registre interne.

Les erreurs les plus fréquentes dans les Politiques de Confidentialité RGPD françaises exposent les organisations à des mises en demeure et des amendes de la CNIL.

Erreur 1 - Politique copiée depuis un site américain ou non traduite en français. Une Politique de Confidentialité rédigée en anglais ou copiée depuis un site américain sans adaptation au RGPD et à la loi Informatique et Libertés n°78-17 n'est pas conforme. La Loi Toubon n°94-665 du 4 août 1994 impose le français pour tout document destiné aux consommateurs en France. La politique doit être rédigée en termes clairs et simples (RGPD art. 12.1) et adaptée au public cible (mentions spécifiques si des enfants de moins de 15 ans sont concernés).

Erreur 2 - Bases légales incorrectes ou absentes. Utiliser le consentement comme base légale pour tous les traitements (y compris les traitements pour lesquels il n'est pas requis, comme la gestion des commandes fondée sur l'exécution du contrat) est une erreur fréquente qui fragilise le traitement en cas de retrait du consentement. À l'inverse, certaines organisations omettent de recueillir le consentement pour les cookies analytiques et publicitaires, alors que c'est la seule base légale valide. La CNIL a sanctionné plusieurs organisations pour absence de base légale documentée ou base légale inappropriée.

Erreur 3 - Durées de conservation absentes ou formule vague. Des formules comme « nous conservons vos données aussi longtemps que nécessaire » sans durée précise ne satisfont pas aux exigences du RGPD (art. 13.2.a). La CNIL exige des durées précises ou des critères objectifs permettant de les déterminer. Consultez les recommandations CNIL sectorielles et les tableaux de prescription légale pour définir des durées conformes.

Erreur 4 - Absence de mention des transferts hors UE. De nombreuses Politiques de Confidentialité omettent de mentionner les transferts de données vers des sous-traitants établis aux États-Unis (Google Analytics, Mailchimp, HubSpot, Stripe) ou dans d'autres pays tiers, pourtant obligatoire depuis l'arrêt Schrems II (CJUE 16 juillet 2020) et les recommandations CEPD 01/2020. La CNIL a prononcé plusieurs sanctions pour transferts illicites vers les États-Unis en 2022 (Google Analytics), 2023 et 2024.

Erreur 5 - Politique de Confidentialité et Politique Cookies fusionnées sans bandeau de consentement séparé. La Politique de Confidentialité RGPD et la Politique Cookies (gestion du consentement aux traceurs) sont deux documents distincts aux fonctions différentes. La Politique Cookies doit être accompagnée d'un bandeau de consentement conforme à la délibération CNIL 2020-091. La fusion des deux documents sans bandeau de consentement opérationnel ne satisfait pas aux exigences du RGPD et de la loi Informatique et Libertés pour les cookies.

Erreur 6 - Absence de procédure d'exercice des droits ou procédure dissuasive. Certaines Politiques de Confidentialité ne mentionnent pas les droits des personnes concernées ou les rendent difficiles à exercer (adresse postale uniquement, délais excessifs, exigences de pièces d'identité disproportionnées). La CNIL exige que les droits soient exercés facilement et que les demandes reçoivent une réponse dans le délai d'1 mois. La procédure d'exercice des droits doit être mentionnée clairement dans la Politique.