Faut-il une clause RGPD dans vos CGV ou CGU ? Oui — mais pas pour la raison qu’on croit. La clause « données personnelles » des CGV ne remplace ni la politique de confidentialité (l’information des articles 13 et 14 RGPD doit être fournie de manière distincte et accessible), ni le DPA quand vous traitez des données pour le compte de vos clients. Son rôle : qualifier les rôles des parties (qui est responsable de traitement, qui est sous-traitant), articuler les documents entre eux, et sécuriser contractuellement les engagements de chacun. Une clause mal rédigée fait l’inverse : la CNIL a rappelé qu’un consentement « noyé » dans l’acceptation des CGV n’est pas valide (article 7(2) RGPD : la demande de consentement doit être présentée sous une forme qui la distingue clairement des autres questions), et la CJUE l’a jugé dès l’arrêt Planet49 (C-673/17, 1er octobre 2019).
Voici trois modèles complets selon votre situation : e-commerce B2C, SaaS B2B, prestations de services. Pour les documents compagnons, voir notre modèle de politique de confidentialité et notre modèle de DPA.
Les trois configurations à distinguer d’abord
- E-commerce B2C : vous traitez les données de vos clients pour vos propres besoins (commande, livraison, facturation, prospection) → vous êtes responsable de traitement. La clause informe et renvoie à la politique de confidentialité.
- SaaS / hébergement B2B : votre client injecte dans votre plateforme les données de SES clients ou salariés → vous êtes sous-traitant au sens de l’article 28 pour ces données (et responsable pour les données de compte). La clause qualifie les rôles et renvoie au DPA annexé.
- Prestations de services (agence, conseil, maintenance) : selon les missions, vous êtes sous-traitant, responsable, ou les deux. La clause doit trancher mission par mission.
Modèle 1 — Clause RGPD pour CGV e-commerce (B2C)
Article [X] — Données personnelles
[Société], en qualité de responsable de traitement, collecte et traite les données personnelles du Client nécessaires au traitement de sa commande, à la livraison, à la facturation, à la gestion de la relation client et à la lutte contre la fraude. Ces traitements reposent sur l’exécution du contrat (article 6(1)(b) du RGPD) et, pour la conservation des factures, sur nos obligations légales (article L123-22 du code de commerce).
Avec l’accord du Client recueilli séparément, ou dans les conditions de l’article L34-5 du code des postes et des communications électroniques pour les produits et services analogues, [Société] peut adresser au Client des offres commerciales. Le Client peut s’y opposer à tout moment, sans frais, via le lien de désinscription ou à [email].
Les données sont conservées pendant les durées décrites dans notre Politique de confidentialité, accessible à l’adresse [URL], qui détaille l’ensemble des informations prévues aux articles 13 et 14 du RGPD : destinataires, transferts éventuels hors Union européenne et garanties associées, droits des personnes (accès, rectification, effacement, limitation, opposition, portabilité), coordonnées du [DPO : email] et droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr).
L’acceptation des présentes CGV ne vaut pas consentement aux traitements fondés sur le consentement, lequel est recueilli par un acte positif distinct.
Modèle 2 — Clause RGPD pour CGU/CGV SaaS (B2B)
Article [X] — Protection des données personnelles
[X].1 Données traitées pour le compte du Client. Dans le cadre de l’utilisation du Service, le Client agit en qualité de responsable de traitement et [Société] en qualité de sous-traitant au sens de l’article 28 du RGPD pour les données personnelles que le Client intègre dans le Service (« Données Client »). Ces traitements sont régis par l’Accord de sous-traitance (DPA) figurant en Annexe [1], qui fait partie intégrante du contrat et prévaut sur les présentes en cas de contradiction concernant les Données Client. Le Client garantit disposer d’une base légale valable et avoir fourni l’information requise aux personnes concernées.
[X].2 Données de compte. [Société] traite en qualité de responsable de traitement les données relatives aux utilisateurs du Client (identité, coordonnées professionnelles, journaux de connexion, données de facturation) pour l’administration du Service, la sécurité, la facturation et l’amélioration du Service. Ces traitements sont décrits dans la Politique de confidentialité [URL].
[X].3 Localisation et sous-traitance ultérieure. Les Données Client sont hébergées dans [l’Union européenne]. La liste des sous-traitants ultérieurs et le mécanisme d’information des changements figurent au DPA. Tout transfert hors UE est encadré conformément au chapitre V du RGPD.
[X].4 Réversibilité. Au terme du contrat, [Société] restitue les Données Client dans un format standard exploitable puis les supprime dans un délai de [30/60] jours, conformément au DPA.
Modèle 3 — Clause pour contrats de prestations de services
Article [X] — Données personnelles
Lorsque l’exécution des prestations conduit le Prestataire à traiter des données personnelles pour le compte du Client et sur ses instructions, le Prestataire agit en qualité de sous-traitant : les parties concluent l’accord de sous-traitance annexé, conformément à l’article 28 du RGPD. Lorsque le Prestataire détermine lui-même les finalités et moyens d’un traitement (notamment la gestion de sa relation contractuelle, de sa facturation et de ses obligations légales), il agit en qualité de responsable de traitement. Chaque partie s’engage à respecter la réglementation applicable pour les traitements relevant de sa responsabilité et à coopérer de bonne foi en cas de demande d’une personne concernée ou d’une autorité de contrôle portant sur les prestations.
Comment adapter ces modèles
Qualifiez les rôles avant de rédiger. Toute la clause découle de la question responsable/sous-traitant — utilisez les critères des lignes directrices EDPB 07/2020 : qui décide des finalités et des moyens essentiels ? Un éditeur SaaS qui réutilise les Données Client pour entraîner ses modèles sort de la sous-traitance et devient responsable — avec base légale à trouver et information à fournir. Sur la qualification, voir notre guide du responsable de traitement.
Ne dupliquez pas la politique de confidentialité dans les CGV. L’information complète des articles 13 et 14 vit dans la politique de confidentialité, versionnée et modifiable sans re-signer les CGV. La clause renvoie ; elle ne recopie pas — une politique recopiée dans des CGV de 2023 jamais mises à jour devient une information fausse.
E-commerce : traitez la prospection proprement. L’opt-in est la règle pour la prospection électronique B2C (article L34-5 CPCE), avec l’exception des produits et services analogues fournis par la même entreprise. La case pré-cochée est invalide (Planet49). Détaillez le dispositif dans vos parcours, pas seulement dans la clause — voir nos guides RGPD e-commerce et marketing email/SMS.
SaaS : soignez la hiérarchie des documents. CGU → DPA annexé → politique de confidentialité pour les données de compte. Précisez la clause de prévalence : en cas de contradiction sur les Données Client, le DPA gagne. Vos clients (et leurs DPO) vérifieront ce point — un DPA introuvable ou contradictoire avec les CGU fait échouer des ventes. Les éditeurs qui gèrent leur conformité avec Legiscope documentent ces rôles directement dans leur registre, ce qui rend l’exercice de qualification quasi mécanique.
Erreurs courantes
- « En acceptant les CGV, vous consentez au traitement de vos données » : invalide deux fois — le consentement doit être distinct (article 7(2)), et la plupart de vos traitements reposent en réalité sur le contrat ou l’obligation légale, pas sur le consentement. Choisir la mauvaise base légale fragilise tout l’édifice.
- Clause qui promet l’impossible (« vos données ne sont jamais transmises à des tiers ») alors que vous utilisez hébergeur, PSP et outil d’emailing : information trompeuse, sanctionnable au titre de la loyauté (article 5(1)(a)).
- Absence de DPA en SaaS B2B : la clause CGU seule ne satisfait pas l’article 28(3) ; il faut l’accord complet avec ses annexes — les manquements coûtent jusqu’à 10 M€ ou 2 % du CA (article 83(4)).
- Clause figée dans un PDF de 2019 : mentions d’anciens mécanismes de transfert invalidés (Privacy Shield) — signal immédiat de non-conformité pour tout acheteur averti.
- Oublier les CGU côté utilisateurs finaux : si vos utilisateurs B2C créent des comptes, l’information RGPD doit être fournie au moment de la collecte (article 13(1)), pas seulement dans un document contractuel accepté une fois.
FAQ
La clause RGPD dans les CGV est-elle obligatoire ?
Aucun texte n’impose une « clause RGPD » en tant que telle dans les CGV. Ce qui est obligatoire : l’information des personnes (articles 13-14, via la politique de confidentialité), le DPA en cas de sous-traitance (article 28(3)), et la loyauté de l’ensemble. La clause est l’outil d’articulation contractuelle de ces obligations — indispensable en pratique, surtout en B2B.
Peut-on faire accepter la politique de confidentialité avec les CGV ?
La politique de confidentialité n’a pas à être « acceptée » : c’est une information, pas un contrat. La faire cocher avec les CGV entretient la confusion avec le consentement. Bonne pratique : case d’acceptation pour les CGV, simple lien visible pour la politique de confidentialité, et cases distinctes pour les consentements réels (prospection, cookies).
En SaaS, qui est responsable si mon client utilise la plateforme illégalement ?
Le client, responsable de traitement, répond de la licéité de ses traitements (bases légales, information des personnes). Mais le sous-traitant a ses propres obligations directes (sécurité, registre, notification au client, articles 28 et 32) et engage sa responsabilité s’il traite hors instructions — il devient alors responsable de traitement de fait (article 28(10)). D’où l’intérêt de la clause de garantie du modèle 2.
Faut-il mentionner la CNIL dans la clause ?
Le droit d’introduire une réclamation auprès d’une autorité de contrôle fait partie de l’information obligatoire (article 13(2)(d)) : mentionnez-le dans la politique de confidentialité au minimum, et par renvoi dans la clause. La formule standard : « droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr) ».
Conclusion
Trois modèles pour trois situations : information et renvoi en B2C, qualification des rôles et DPA annexé en SaaS, clause de répartition en prestation de services. Les principes constants : jamais de consentement noyé dans l’acceptation des CGV, jamais de duplication de la politique de confidentialité, toujours une hiérarchie claire entre CGV, DPA et politique. Auditez vos CGV actuelles contre ces trois règles — dans la plupart des cas, la clause existante date d’avant 2020 et contredit vos pratiques réelles.
À lire aussi : un logiciel RGPD pour l’e-commerce.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial