La politique de confidentialité RGPD est le document par lequel le responsable de traitement remplit son obligation d’information envers les personnes concernées. Ce n’est pas un exercice de style : les Art. 13 et 14 RGPD listent exhaustivement les mentions obligatoires, et la CNIL sanctionne régulièrement leur absence ou leur insuffisance. La société Amazon Europe a été condamnée à 746 millions d’euros par la CNPD luxembourgeoise (décision du 15 juillet 2021) pour, entre autres, un défaut d’information des personnes. Ce guide détaille les mentions obligatoires, propose une structure type et identifie les erreurs courantes.
Points Clés
- Les Art. 13 et 14 RGPD imposent respectivement 13 et 14 mentions obligatoires selon que les données sont collectées directement ou indirectement.
- L’Art. 12(1) RGPD exige une information rédigée en termes « clairs et simples », dans un langage facilement compréhensible.
- La politique de confidentialité est distincte des CGV et des mentions légales : chaque document a un objet juridique différent.
- L’absence d’information ou une information incomplète constitue une violation autonome, sanctionnable indépendamment de tout autre manquement.
Les mentions obligatoires de l’Art. 13 RGPD
Lorsque les données sont collectées directement auprès de la personne concernée (formulaire, création de compte, achat), l’Art. 13 RGPD impose de fournir les informations suivantes au moment de la collecte :
- Identité et coordonnées du responsable de traitement (Art. 13(1)(a)) : nom de l’entité juridique, adresse, email de contact.
- Coordonnées du DPO (Art. 13(1)(b)) : si un DPO a été désigné.
- Finalités et base juridique (Art. 13(1)©) : chaque finalité doit être associée à la base juridique correspondante de l’Art. 6(1).
- Intérêts légitimes (Art. 13(1)(d)) : lorsque la base juridique est l’intérêt légitime (Art. 6(1)(f)), les intérêts poursuivis doivent être explicités.
- Destinataires (Art. 13(1)(e)) : catégories de destinataires ou destinataires identifiés.
- Transferts hors UE (Art. 13(1)(f)) : existence de transferts internationaux, garanties appropriées (Art. 46) et moyens d’en obtenir copie.
- Durée de conservation (Art. 13(2)(a)) : durée prévue ou critères de détermination pour chaque catégorie de données.
- Droits des personnes (Art. 13(2)(b)) : droit d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition.
- Droit de retrait du consentement (Art. 13(2)©) : lorsque le traitement est fondé sur le consentement, la possibilité de le retirer à tout moment.
- Droit de réclamation (Art. 13(2)(d)) : droit d’introduire une réclamation auprès de la CNIL.
- Caractère obligatoire ou non (Art. 13(2)(e)) : préciser si la fourniture des données est une obligation légale ou contractuelle et les conséquences de la non-fourniture.
- Décisions automatisées (Art. 13(2)(f)) : existence de profilage ou de décisions automatisées au sens de l’Art. 22, avec la logique sous-jacente et les conséquences.
- Traitement ultérieur (Art. 13(3)) : si les données sont destinées à un traitement ultérieur pour une finalité différente, information supplémentaire avant ce traitement.
Les mentions additionnelles de l’Art. 14 RGPD
Lorsque les données ne sont pas collectées directement auprès de la personne (achat de bases, enrichissement par un tiers, collecte indirecte), l’Art. 14 RGPD ajoute deux obligations :
- Catégories de données (Art. 14(1)(d)) : les catégories de données concernées doivent être listées.
- Source des données (Art. 14(2)(f)) : la source d’où proviennent les données et, le cas échéant, si elles proviennent de sources accessibles au public.
Le délai d’information est fixé à un mois maximum après l’obtention des données (Art. 14(3)(a)), ou au plus tard lors de la première communication à la personne ou à un tiers.
Structure type d’une politique de confidentialité
Une politique de confidentialité RGPD efficace suit une structure logique qui couvre l’ensemble des mentions obligatoires :
1. Introduction : identité du responsable de traitement, objet du document, engagement de protection des données.
2. Données collectées et finalités : tableau croisant les catégories de données, les finalités, les bases juridiques et les durées de conservation. Ce format tabulaire répond simultanément à plusieurs obligations et facilite la lecture.
3. Destinataires des données : sous-traitants (avec catégories), partenaires, autorités publiques. Mentionner les garanties pour les transferts hors UE le cas échéant.
4. Durées de conservation : par catégorie de données, avec le critère de détermination ou la durée légale applicable.
5. Droits des personnes : liste des droits (accès, rectification, effacement, limitation, portabilité, opposition), modalités d’exercice (email, formulaire), délai de réponse (un mois).
6. Sécurité : mesures techniques et organisationnelles mises en oeuvre, sans entrer dans un niveau de détail qui compromettrait la sécurité.
7. Cookies et traceurs : renvoi vers la politique cookies le cas échéant, ou intégration dans la politique de confidentialité.
8. Contact et réclamation : coordonnées du DPO, droit de réclamation auprès de la CNIL.
L’exigence de clarté : Art. 12 RGPD
L’Art. 12(1) RGPD impose que l’information soit fournie « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Cette exigence est renforcée lorsque le traitement s’adresse à des enfants.
Concrètement, cela implique :
- Pas de jargon juridique sans explication
- Des phrases courtes et un vocabulaire courant
- Un format structuré avec titres et sous-titres
- Une accessibilité : la politique doit être accessible en un maximum de deux clics depuis n’importe quelle page du site
La CNIL a sanctionné Google de 150 millions d’euros (Délibération n°SAN-2021-024, 31 décembre 2021) en relevant que l’information sur les cookies était « excessivement technique et peu accessible ».
Erreurs courantes à éviter
Politique générique copier-coller : une politique de confidentialité doit refléter les traitements réels de l’organisation. Les modèles standard non adaptés sont une source fréquente de non-conformité.
Finalités vagues : « amélioration de nos services » ou « besoins internes » ne constituent pas des finalités déterminées au sens de l’Art. 5(1)(b).
Absence de mise à jour : la politique doit être actualisée à chaque nouveau traitement significatif. Indiquer une date de dernière mise à jour (lastmod) est une bonne pratique.
Confusion avec les CGV : la politique de confidentialité RGPD porte sur le traitement des données personnelles. Les CGV régissent la relation contractuelle. Les mentions légales identifient l’éditeur du site. Ces trois documents sont distincts et complémentaires.
Omission du droit de réclamation : oublier de mentionner le droit d’introduire une réclamation auprès de la CNIL (Art. 13(2)(d)) est une omission fréquente et facilement détectable lors d’un contrôle.
Information enterrée : placer la politique de confidentialité à plus de deux clics de profondeur ou ne l’afficher que dans les CGV viole l’exigence d’accessibilité de l’Art. 12(1). La CNIL recommande un lien direct depuis le pied de page du site et depuis chaque formulaire de collecte.
Cas pratiques et décisions de la CNIL
CNIL vs Google LLC (Délibération n°SAN-2021-024, 31 décembre 2021, 150 millions d’euros) : la CNIL a relevé que l’information relative aux cookies était dispersée dans plusieurs documents, nécessitait plusieurs clics et utilisait un langage technique peu accessible. La politique de confidentialité ne permettait pas aux utilisateurs de comprendre l’ampleur des traitements liés à la publicité ciblée.
CNIL vs Doctissimo (Délibération n°SAN-2023-006, 11 mai 2023, 380 000 euros) : parmi les manquements relevés, la politique de confidentialité du site ne mentionnait pas l’ensemble des destinataires des données, les durées de conservation étaient imprécises et la base juridique de certains traitements n’était pas indiquée.
Ces décisions illustrent que la CNIL vérifie systématiquement la conformité de la politique de confidentialité lors de ses contrôles, et que les insuffisances dans ce document constituent un motif de sanction autonome.
FAQ
Quelle est la différence entre politique de confidentialité, CGV et mentions légales ?
La politique de confidentialité RGPD informe sur le traitement des données personnelles (Art. 13-14 RGPD). Les CGV régissent les conditions commerciales entre le professionnel et ses clients (Code de la consommation). Les mentions légales identifient l’éditeur du site (loi pour la confiance dans l’économie numérique, Art. 6 LCEN). Les trois documents sont juridiquement distincts et doivent être accessibles séparément.
La politique de confidentialité doit-elle être traduite ?
Si le site ou le service cible des utilisateurs dans plusieurs pays, l’Art. 12(1) RGPD impose que l’information soit « compréhensible ». En pratique, si vous ciblez activement des utilisateurs francophones, germanophones ou hispanophones, la politique doit être disponible dans la langue du public ciblé.
À quelle fréquence mettre à jour la politique de confidentialité ?
Aucune fréquence n’est fixée par le RGPD. La politique doit être mise à jour à chaque modification significative des traitements : nouveau sous-traitant, nouvelle finalité, nouveau transfert hors UE, modification des durées de conservation. La CNIL recommande une revue au minimum annuelle dans le cadre de la mise en conformité RGPD.
Que risque-t-on en cas de politique de confidentialité absente ou incomplète ?
Le défaut d’information constitue une violation des Art. 13 et 14 RGPD, sanctionnable jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (Art. 83(5)(b)). La CNIL prononce régulièrement des mises en demeure et des sanctions pour information insuffisante, y compris contre des PME.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
