Vous cherchez des documents RGPD gratuits prêts à télécharger et à adapter ? Cette page rassemble nos quinze modèles essentiels, du registre des traitements à la procédure de violation, chacun conçu pour être opérationnel immédiatement et conforme aux attentes de la CNIL. Ce sont les mêmes pièces qu’un DPO produirait en premier lors d’une mise en conformité : commencez par celles qui correspondent à votre situation, remplissez-les, et surtout maintenez-les à jour.
Points clés
- Ces modèles couvrent le socle documentaire exigé par le RGPD : registre, AIPD, sous-traitance, information, sécurité.
- Un modèle est un point de départ, pas une conformité : il doit être rempli avec vos données réelles et actualisé.
- L’art. 5(2) impose de démontrer la conformité : conservez les versions datées de chaque document.
- Les modèles gratuits suffisent à une TPE ; au-delà, un outil qui les maintient vivants devient nécessaire.
- Chaque modèle renvoie à un guide détaillé pour le remplir correctement.
Les documents fondamentaux
Ces trois pièces forment le noyau de tout dispositif RGPD. Aucune organisation traitant des données personnelles ne peut s’en dispenser.
Le registre des traitements (art. 30). La pièce maîtresse. Il recense chaque traitement, sa finalité, sa base légale, les catégories de données et de personnes, les destinataires et la durée de conservation. Notre modèle de registre des traitements reprend la structure recommandée par la CNIL et se remplit en suivant le guide associé.
L’analyse d’impact (AIPD). Obligatoire pour les traitements susceptibles d’engendrer un risque élevé (art. 35). Notre modèle d’AIPD guide l’évaluation des risques et des mesures, en complément du logiciel PIA de la CNIL.
Le contrat de sous-traitance (DPA, art. 28). Tout recours à un sous-traitant (hébergeur, prestataire SaaS, agence) doit être encadré par un accord conforme à l’art. 28. Notre modèle de DPA reprend les clauses obligatoires.
Les documents d’information et de transparence
Le RGPD impose d’informer les personnes de manière claire et accessible (art. 12 à 14). Trois modèles couvrent cette obligation.
La politique de confidentialité. Le document de référence qui explique aux personnes ce que vous faites de leurs données. À adapter à chaque site ou service.
La politique de cookies. Obligatoire dès que votre site dépose des traceurs soumis à consentement. Notre modèle de politique de cookies s’articule avec le bandeau de consentement.
Les mentions légales. Exigées pour tout site professionnel. Notre modèle de mentions légales couvre les obligations de la LCEN et du RGPD.
Les documents de gestion et de sécurité
Ces modèles organisent le fonctionnement quotidien de la conformité et la réaction aux incidents.
La procédure de violation de données. En cas de fuite, vous disposez de 72 heures pour notifier la CNIL (art. 33). Notre modèle de procédure de violation et notre modèle de registre des violations permettent de réagir sans improviser.
La procédure de gestion des droits des personnes. Pour traiter les demandes d’accès, d’effacement ou d’opposition dans le délai d’un mois. Voir notre modèle de procédure de droits.
La charte informatique. Encadre l’usage des outils numériques par les salariés. Notre modèle de charte informatique intègre les exigences RGPD et de sécurité.
Les clauses RGPD pour vos CGV. Pour sécuriser vos relations contractuelles côté données. Voir notre modèle de clause RGPD dans les CGV.
Comment utiliser ces modèles
Un modèle mal utilisé donne une fausse sécurité. Quatre règles.
- Remplissez avec vos données réelles. Un registre pré-rempli d’exemples génériques n’a aucune valeur probante. Chaque champ doit refléter vos traitements effectifs.
- Datez et versionnez. L’art. 5(2) impose de démontrer la conformité : conservez chaque version avec sa date de validation.
- Mettez à jour à chaque changement. Nouveau traitement, nouveau sous-traitant, nouvelle finalité : le document doit suivre. Un registre figé devient faux en quelques mois.
- Reliez les documents entre eux. Un traitement du registre pointe vers son AIPD, son DPA, sa durée de conservation. C’est cette cohérence qui fait tenir un dispositif en contrôle.
Ces quinze modèles suffisent à construire une conformité de départ solide pour une TPE. Mais un document Word ou Excel reste statique : il ne relance personne et ne trace aucune modification. Dès qu’une organisation dépasse une dizaine de traitements ou gère des demandes récurrentes, un outil qui maintient ces documents vivants devient nécessaire — c’est la différence entre le logiciel RGPD gratuit et payant. Legiscope transforme précisément ces modèles statiques en dispositif traçable et à jour. Pour une méthode de mise en conformité complète, suivez notre checklist RGPD.
Par quel document commencer selon votre profil
L’ordre de production dépend de votre situation. Une TPE de services sans site marchand commencera par le registre, la politique de confidentialité et les mentions légales. Un e-commerce ajoutera d’emblée la politique de cookies et la clause RGPD des CGV, parce que le consentement aux traceurs et la relation client sont ses premiers points d’exposition. Une structure qui emploie des salariés priorisera la charte informatique et la procédure de gestion des droits. Une organisation traitant des données sensibles — santé, données sociales, biométrie — devra produire une AIPD avant même de déployer le traitement concerné, et se doter sans attendre d’une procédure de violation, car le risque d’incident y est plus grave.
Un principe guide cette priorisation : commencez par les documents qui couvrent vos traitements les plus risqués, pas par les plus faciles à rédiger. Un registre parfait ne compense pas l’absence d’AIPD sur un traitement sensible. C’est l’exposition au risque, et non le confort de rédaction, qui doit dicter l’ordre.
FAQ
Les documents RGPD gratuits sont-ils juridiquement valables ?
Oui, à condition d’être correctement remplis et adaptés à votre situation réelle. Un modèle fournit la structure et les clauses attendues ; c’est le contenu que vous y mettez qui fait sa valeur. Un modèle laissé générique ou non actualisé n’a aucune valeur probante.
Quel document RGPD faut-il créer en premier ?
Le registre des traitements. C’est la pièce à partir de laquelle tout le reste se déduit : bases légales, durées de conservation, sous-traitants, AIPD nécessaires. Sans registre, impossible de savoir quels autres documents produire.
Ces modèles suffisent-ils pour être conforme au RGPD ?
Ils constituent le socle documentaire, mais la conformité ne se résume pas à des documents : elle suppose de les remplir avec vos données, de les maintenir à jour et de démontrer qu’ils le sont. Pour une TPE aux traitements simples, les modèles suffisent ; au-delà, un outil de maintien devient nécessaire.
Faut-il un logiciel en plus des modèles gratuits ?
Pas immédiatement. Tant que le volume de traitements et de demandes reste faible, les modèles gérés à la main suffisent. La bascule vers un logiciel se justifie quand il faut tracer les modifications, relancer sur les délais et prouver l’accountability lors d’un contrôle.
Conclusion
Ces quinze documents RGPD gratuits couvrent l’essentiel du socle documentaire attendu : registre, AIPD, sous-traitance, information, sécurité et gestion des incidents. Ils suffisent à une TPE pour construire une conformité de départ crédible, à une condition — être remplis avec des données réelles, datés et maintenus à jour. Un modèle n’est jamais la conformité elle-même, seulement son point de départ. Commencez par le registre des traitements, reliez-y les autres pièces, et ne laissez aucun document figé : c’est cette cohérence vivante, et non le nombre de modèles, qui tient face à un contrôle.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial