Modèle politique de confidentialité gratuit 2026 (RGPD-conforme + Word + HTML)
La politique de confidentialité est obligatoire sur tout site web français qui collecte la moindre donnée personnelle (formulaire de contact, newsletter, commentaires, achat, etc.). C'est une obligation explicite du RGPD article 13.
Cet article te donne :
- Un modèle complet de politique de confidentialité conforme RGPD 2026, à copier-coller et personnaliser
- Les 8 sections obligatoires avec exemples concrets pour chacune
- Les variables à remplir selon ton activité (e-commerce, SaaS, blog, etc.)
- Une checklist finale pour vérifier que rien ne manque
Temps total pour adapter le modèle à ton site : 30 à 60 minutes.
Pourquoi tu en as obligatoirement besoin (et le risque sinon)
Selon le RGPD article 13, tu DOIS informer les personnes :
- De l'identité et des coordonnées du responsable du traitement
- Des coordonnées du DPO si tu en as un
- Des finalités pour lesquelles tu collectes les données
- Des bases légales du traitement (consentement, contrat, intérêt légitime…)
- Des destinataires des données (tes sous-traitants, par exemple)
- De la durée de conservation des données
- Des droits des personnes (accès, rectification, effacement, etc.)
- De leur droit de porter plainte auprès de la CNIL
Tout ça doit être présenté de manière concise, transparente, compréhensible et facilement accessible. La page politique de confidentialité est l'endroit standard pour ça.
Risque en cas d'absence ou d'incomplétude :
- Plainte CNIL → amende administrative (5 000€ pour TPE, jusqu'à 20M€ pour grandes entreprises)
- Action en justice civile possible (rare mais existant)
- Perte de confiance des visiteurs (impact business)
Les 8 sections obligatoires (avec exemples)
Identité du responsable de traitement
Qui es-tu juridiquement ? Cette section identifie l'entité responsable des données.
Doit contenir :
- Nom légal de l'entreprise (raison sociale)
- Forme juridique (SAS, SARL, EURL, auto-entrepreneur, association...)
- Adresse du siège social
- SIREN/SIRET
- Email de contact
- Numéro de téléphone (recommandé)
Données collectées et finalités
Quelles données tu collectes (catégories) et POUR QUOI tu les utilises (finalités).
Doit contenir :
- Liste des catégories de données (nom, prénom, email, IP, cookies, comportement de navigation, données de paiement…)
- Finalité associée à chaque catégorie
- Caractère obligatoire ou optionnel de la collecte
Bases légales du traitement
Sur quel fondement juridique tu peux traiter ces données. Le RGPD identifie 6 bases légales possibles.
Doit contenir, pour chaque traitement :
- Consentement (si tu as demandé l'accord explicite)
- Exécution d'un contrat (si la collecte est nécessaire pour livrer un service)
- Obligation légale (si une loi t'oblige à conserver)
- Intérêt légitime (si nécessaire à ton fonctionnement, sans préjudice excessif pour la personne)
- Sauvegarde des intérêts vitaux (rare)
- Mission d'intérêt public (rare, principalement secteur public)
Destinataires des données
Qui d'autre que toi a accès aux données (sous-traitants, prestataires, partenaires).
Doit contenir :
- Hébergeur du site (ex : OVH, AWS, Hetzner)
- Outil de paiement (Stripe, PayPal)
- Outil d'emailing (Brevo, Mailchimp, Sendgrid)
- Outil CRM (HubSpot, Pipedrive, Brevo)
- Outils analytics (Plausible, Google Analytics, Matomo)
- Tout autre outil tiers qui traite des données pour toi
Durée de conservation
Combien de temps tu conserves chaque type de données. La CNIL exige une durée précise (pas de "à vie").
Durées typiques :
- Données client (commandes, factures) : 10 ans (obligation comptable)
- Données de prospect non-converti : 3 ans après dernière interaction
- Newsletter : jusqu'au désabonnement + 3 ans
- Données de connexion (logs serveur) : 1 an maximum
- Cookies : 13 mois maximum (selon la CNIL)
Transferts hors UE
Si certaines données partent en dehors de l'Union européenne (ex : services US comme Mailchimp, Hubspot, Google).
Doit mentionner :
- Pays de destination
- Garanties mises en place (Clauses Contractuelles Types, Privacy Shield obsolète, Data Privacy Framework EU-US 2023)
- Possibilité pour la personne d'obtenir une copie des garanties
Droits des personnes
Quels droits ont tes utilisateurs et comment les exercer.
Doit lister les 7 droits RGPD :
- Accès : obtenir la confirmation que des données les concernant sont traitées + une copie
- Rectification : faire corriger des données inexactes
- Effacement ("droit à l'oubli") : faire supprimer des données
- Limitation du traitement : "geler" l'utilisation des données
- Portabilité : récupérer ses données dans un format structuré
- Opposition : s'opposer à un traitement
- Retrait du consentement à tout moment (si la base légale est le consentement)
Réclamations & contact CNIL
Si l'utilisateur n'est pas satisfait de ta réponse, il peut saisir la CNIL.
Doit mentionner :
- Coordonnées de la CNIL : 3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07
- Site web : www.cnil.fr
- Téléphone : 01 53 73 22 22
Le modèle complet à copier-coller
Voici un modèle complet de politique de confidentialité prêt à utiliser. Remplace les variables [ENTRE CROCHETS] par tes informations.
📄 Modèle gratuit — Version Word + HTML
Télécharge le modèle en version Word (à éditer) ou HTML (à intégrer directement dans ton site)
VeriSite vérifiera automatiquement que ta politique est bien linkée et complète.
POLITIQUE DE CONFIDENTIALITÉ
Dernière mise à jour : [DATE]
1. Responsable du traitement
Le responsable du traitement des données collectées sur le site [URL DE TON SITE] est :
- Raison sociale : [NOM DE TON ENTREPRISE]
- Forme juridique : [SAS / SARL / EURL / Auto-entrepreneur / etc.]
- SIREN : [TON SIREN]
- Adresse : [ADRESSE COMPLÈTE]
- Email : [EMAIL DE CONTACT]
- Téléphone : [OPTIONNEL]
2. Données collectées et finalités
Nous collectons les données suivantes :
- Formulaire de contact : nom, prénom, email, message — pour répondre à ta demande (base légale : intérêt légitime).
- Inscription newsletter : email — pour t'envoyer nos actualités (base légale : consentement explicite).
- Compte client : nom, email, mot de passe haché — pour gérer ton compte (base légale : exécution du contrat).
- Commande : nom, prénom, adresse, email, téléphone, données de paiement — pour traiter et livrer ta commande (base légale : exécution du contrat + obligation légale comptable).
- Cookies de mesure d'audience : données de navigation anonymisées — pour améliorer notre site (base légale : consentement via bandeau cookies).
- Logs serveur : adresse IP, navigateur, pages visitées — pour la sécurité et le débogage (base légale : intérêt légitime).
3. Destinataires des données
Tes données peuvent être partagées avec les sous-traitants suivants, qui agissent en notre nom :
- Hébergeur : [NOM HÉBERGEUR] ([ex : OVH]) — hébergement du site
- Email : [ex : Brevo, Mailchimp] — envoi des emails transactionnels et marketing
- Paiement : [ex : Stripe, PayPal] — traitement des paiements
- Analytics : [ex : Plausible, Google Analytics] — mesure d'audience
- CRM : [ex : HubSpot, Brevo] — gestion de la relation client
Chaque sous-traitant est lié par un accord de traitement de données (DPA) conforme à l'article 28 du RGPD.
4. Durée de conservation
- Données de prospects (formulaire contact) : 3 ans après notre dernière interaction
- Données de clients : 10 ans (obligation comptable)
- Newsletter : jusqu'au désabonnement, puis 3 ans en archive
- Logs serveur : 1 an maximum
- Cookies : 13 mois maximum
5. Transferts hors UE
[Si tu n'as pas de transfert hors UE, écris : "Toutes les données sont hébergées et traitées au sein de l'Union européenne."]
[Si tu as des transferts USA/UK/etc., écris : "Certaines données peuvent être transférées en dehors de l'UE, notamment vers les États-Unis pour les services suivants : [liste]. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne, conformément à l'article 46 du RGPD."]
6. Tes droits
Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants sur tes données :
- Droit d'accès : obtenir la confirmation que des données te concernant sont traitées et une copie de ces données
- Droit de rectification : demander la correction de données inexactes
- Droit à l'effacement : demander la suppression de tes données dans certains cas
- Droit à la limitation du traitement : demander un gel temporaire
- Droit à la portabilité : récupérer tes données dans un format structuré et lisible par machine
- Droit d'opposition : t'opposer à certains traitements
- Droit de retirer ton consentement à tout moment (si la base légale est le consentement)
Pour exercer ces droits, contacte-nous à : [EMAIL DE CONTACT RGPD, ex : dpo@tonsite.fr ou contact@tonsite.fr]. Nous répondons dans un délai maximum d'1 mois à compter de ta demande (extensible à 3 mois pour les demandes complexes).
7. Cookies
Notre site utilise des cookies pour les finalités suivantes :
- Cookies strictement nécessaires : panier, session de connexion, préférence de langue (sans consentement requis)
- Cookies de mesure d'audience : [ex : Plausible Analytics] (avec consentement)
- Cookies marketing : [ex : Google Ads, Meta Pixel] (avec consentement explicite)
Tu peux à tout moment modifier tes préférences en cliquant sur "Gérer mes cookies" dans le pied de page du site.
8. Réclamation
Si tu estimes que le traitement de tes données ne respecte pas la réglementation, tu peux déposer une réclamation auprès de la CNIL :
- Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Site web : www.cnil.fr
- Téléphone : 01 53 73 22 22
9. Modification de la présente politique
Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. La version la plus récente sera toujours disponible sur cette page. La date de dernière mise à jour est indiquée en début de document.
Personnaliser le modèle selon ton activité
Si tu es un blog/site vitrine sans collecte de données
Tu peux supprimer les sections "Compte client", "Commande" et garder uniquement : Formulaire de contact + Newsletter + Cookies + Logs serveur. Le modèle reste valide.
Si tu es un e-commerce
Garde tout, et ajoute une section spécifique sur :
- Les données de paiement (qu'elles ne sont jamais stockées chez toi mais transmises chiffrées au prestataire)
- Les données de livraison (transmises au transporteur)
- La durée de conservation comptable de 10 ans
Si tu es un SaaS / une application web
Ajoute :
- Une section sur l'utilisation de l'app (logs d'utilisation, métriques d'usage anonymisées ou non)
- La durée de conservation des données après suppression du compte (souvent 30 jours en backup)
- Le droit à la portabilité (export des données utilisateur)
Si tu utilises des outils US (Mailchimp, HubSpot, Google Analytics)
Ajoute la mention sur les transferts hors UE avec les Clauses Contractuelles Types. Considère d'utiliser des alternatives européennes : Plausible au lieu de GA, Brevo au lieu de Mailchimp.
Checklist finale avant publication
Avant de publier ta politique de confidentialité, vérifie :
- ☐ Le nom de ton entreprise et SIREN sont corrects
- ☐ La liste des sous-traitants est exhaustive (vérifie tous les outils que tu utilises)
- ☐ Les durées de conservation sont chiffrées et précises
- ☐ Les transferts hors UE sont bien mentionnés (s'il y en a)
- ☐ L'email de contact RGPD fonctionne et est lu rapidement
- ☐ La page est linkée depuis le footer de toutes les pages du site
- ☐ La page est aussi linkée depuis chaque formulaire de collecte (contact, newsletter, register)
- ☐ La date de dernière mise à jour est correcte
- ☐ Tu as un suivi en cas de modification (re-vérifier tous les 6 mois minimum)
Comment vérifier ton site automatiquement
Faire l'audit manuel ci-dessus prend ~30-60 minutes pour la rédaction et 10-15 minutes pour la vérification. Tu peux aussi vérifier automatiquement avec un scanner externe.
VeriSite est un SaaS français qui scanne ton site en 30 secondes et te dit :
- Si ta page de politique de confidentialité est présente et accessible
- Si elle contient les sections clés (mentions, droits, CNIL...)
- Si elle est correctement linkée depuis tes formulaires
- Quels sous-traitants devraient apparaître (basé sur les trackers détectés)
- Tous les autres problèmes RGPD, RGAA, LCEN et sécurité
Le scan est gratuit, sans inscription.
Vérifier ta politique de confidentialité en 30 secondes
VeriSite scanne automatiquement ton site et te dit si ta politique est complète, accessible et bien linkée.
Lancer un scan gratuit →FAQ rapide
Combien de temps pour rédiger une politique de confidentialité ?
Avec ce modèle : 30 à 60 minutes pour personnaliser. Sans modèle : 4-8 heures de recherche + rédaction. Avec un avocat : ~500-1500€.
Faut-il faire valider la politique par un avocat ?
Pas obligatoire. Le modèle ci-dessus couvre 95% des cas (TPE, PME, blogs, e-commerces, SaaS). Si tu traites des données sensibles (santé, mineurs, données biométriques) ou si tu fais beaucoup de transferts internationaux, fais valider par un avocat (1-3h de prestation).
Politique de confidentialité ≠ mentions légales ≠ CGV ?
Ce sont 3 documents différents et obligatoires :
- Mentions légales (LCEN) : qui édite le site, qui l'héberge → voir notre guide LCEN
- Politique de confidentialité (RGPD) : comment les données sont traitées (cet article)
- CGV/CGU : conditions de vente ou d'utilisation du service (uniquement si tu vends ou si ton service a des conditions d'usage)
Doit-elle être traduite si j'ai des visiteurs étrangers ?
Pas obligatoire. La langue du site définit la langue de la politique. Si ton site est en français, la politique est en français — même si tu as des visiteurs étrangers occasionnels. Si tu vises explicitement un marché étranger (site en anglais ou bilingue), il faut la traduire.
Que se passe-t-il si je modifie ma politique ?
Tu dois informer les utilisateurs concernés des modifications substantielles. Pour la newsletter : envoie un email type "notre politique a été mise à jour". Pour les utilisateurs avec compte : affiche un bandeau au prochain login. La date de dernière mise à jour doit toujours être visible en début de document.