Guide pratique
La politique de confidentialité, pas un copier-coller.
C'est souvent la première page qu'un visiteur — ou un contrôleur CNIL — va lire pour juger de votre sérieux. Voici ce qu'une politique de confidentialité doit obligatoirement contenir, et pourquoi elle ne peut pas être un modèle générique récupéré en ligne.
Ce que doit contenir une politique de confidentialité RGPD.
Il n'existe pas de formulaire type imposé par le RGPD, mais l'information due aux personnes concernées doit a minima couvrir les points suivants.
Identité du responsable de traitement
Qui décide des finalités et des moyens du traitement, et comment le contacter.
Finalités du traitement
Pourquoi les données sont collectées : gestion de compte, facturation, prospection, recrutement...
Base légale
Consentement, exécution d'un contrat, obligation légale ou intérêt légitime (art. 6 RGPD) pour chaque finalité.
Destinataires des données
Qui a accès aux données en interne, et les prestataires externes qui les traitent pour votre compte.
Durée de conservation
Les données ne doivent pas être conservées plus longtemps que nécessaire au regard de la finalité (art. 5 RGPD).
Droits des personnes et exercice
Accès, rectification, effacement, limitation, portabilité, opposition (art. 12 à 23 RGPD), et la marche à suivre concrète pour les exercer. Voir notre page dédiée aux droits des personnes.
DPO et ses coordonnées
Si un délégué à la protection des données est désigné, ses coordonnées doivent être communiquées.
Transferts hors UE
Le cas échéant, les garanties encadrant un transfert de données en dehors de l'Union européenne (art. 44 à 49 RGPD). Voir notre page sur les transferts de données hors UE.
S'y ajoute, dans tous les cas, le droit d'introduire une réclamation auprès de la CNIL — une mention qui doit apparaître explicitement dans le document.
Un modèle générique ne décrit pas vos traitements réels.
Une politique de confidentialité n'est pas un document type à remplir : elle doit refléter précisément les traitements que vous opérez réellement — vos finalités, vos bases légales, vos destinataires, vos durées de conservation. Un modèle trouvé en ligne et copié tel quel décrira souvent des traitements que vous ne réalisez pas, ou omettra ceux que vous réalisez effectivement, ce qui expose à un manquement à l'obligation d'information en cas de contrôle.
Le point de départ le plus fiable est votre registre des traitements : chaque traitement qui y figure — avec sa finalité, sa base légale, ses destinataires et sa durée de conservation — doit se retrouver, reformulé en langage accessible, dans votre politique de confidentialité. C'est ce lien direct entre le registre interne et le document public qui garantit la cohérence, et donc la conformité.
Une rédaction sur-mesure, pas un modèle à télécharger.
VIGIL ne propose pas de modèle générique téléchargeable : l'IA juridique de VIGIL s'appuie sur votre registre des traitements pour rédiger une politique de confidentialité qui correspond à ce que votre organisation fait réellement des données, et un juriste de magistère (Sorbonne, Assas) ou normalien (ENS) reste disponible pour valider les points sensibles ou les traitements les plus délicats.
Cette approche évite l'écueil du document générique : votre politique de confidentialité reste alignée avec votre registre des traitements dans la durée, y compris lorsque vous ajoutez un nouvel outil ou un nouveau prestataire.
Votre politique de confidentialité reflète-t-elle vraiment vos traitements ?
VIGIL vous aide à la rédiger ou la mettre à jour à partir de votre registre des traitements réel. Voir nos formules d'accompagnement.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.