RGPD : comment rédiger sa politique de confidentialité

Quand est-elle obligatoire ?

Dès que votre site collecte la moindre donnée personnelle : formulaire de contact, newsletter, compte utilisateur, cookies analytics, boutons de partage réseaux sociaux... En pratique, quasiment tous les sites sont concernés.

Les informations à inclure

L'article 13 du RGPD impose de communiquer :

• L'identité du responsable de traitement : nom, adresse, contact
• Les données collectées : quelles données, pourquoi, sur quelle base légale
• Les destinataires : qui accède aux données (sous-traitants, partenaires)
• La durée de conservation : combien de temps vous gardez les données
• Les droits des utilisateurs : accès, rectification, suppression, portabilité, opposition
• Les transferts hors UE : si applicable (ex: hébergement US)
• Les cookies : liste complète avec finalité et durée

Les 6 bases légales du RGPD

Pour chaque traitement, vous devez identifier la base légale :

1. Consentement : l'utilisateur a donné son accord explicite
2. Contrat : nécessaire à l'exécution d'un contrat (ex: livraison)
3. Obligation légale : imposée par la loi (ex: facturation)
4. Intérêt vital : protection de la vie
5. Mission publique : service public
6. Intérêt légitime : le plus utilisé, mais le plus contesté

Les erreurs à éviter

• Texte trop vague : « nous collectons des données pour améliorer nos services » ne suffit pas
• Consentement pré-coché : illégal depuis l'arrêt Planet49 (CJUE, 2019)
• Pas de mise à jour : chaque nouvel outil (analytics, chat, pixel) doit être déclaré
• Cookie wall : conditionner l'accès au site à l'acceptation des cookies est interdit (CNIL, 2020)