Le guide pour rédiger une politique de confidentialité RGPD

Alexis Dessaints
This is some text inside of a div block.
January 14, 2026

Table des matières

Comment rédiger une politique de confidentialité RGPD ?

Rédiger une politique de confidentialité RGPD est une étape clé dans la conformité de son organisme. En effet, s’il est vrai que le site internet est la vitrine auprès du grand public de ce que vous proposez, il est aussi correct de considérer qu’il s’agit de la première marche vers une analyse de votre conformité au RGPD par les autorités de contrôle, mais aussi par vos futurs clients.

C’est pour cette raison que DPO Consulting souhaite vous donner les clés pour effectuer cet exercice.

Que contient une politique de confidentialité ?

Pour répondre à cette question, il faut se reporter à l’article 13 du Règlement Général sur la Protection des Données (RGPD) qui liste l’intégralité des informations qui doivent être fournies au moment de la collecte de données personnelles. Ainsi, on y retrouve les éléments suivants :

  • L’identité et les coordonnées du responsable de traitement et, le cas échéant, du représentant du responsable du traitement ;
  • Les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • Si applicable, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
  • Les destinataires ou les catégories de destinataires des données à caractère personnel ;
  • L’existence de transfert de données personnelles en dehors de l’Union Européenne, le cas échéant les mécanismes de transferts utilisés ;
  • La durée de conservation applicable aux traitements ;
  • Si un traitement est fondé sur le consentement, la capacité pour la personne concernée de le retirer ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Le caractère obligatoire des données collectées et les conséquences en cas de non-fourniture ;
  • L’existence d’une prise de décision automatisée le cas échéant.

Ces éléments vont représenter les différentes sections à compléter dans votre politique de confidentialité et va donc en constituer le plan. Avant d’aller dans le détail de chacune des questions, il convient tout d’abord de parler du travail initial qu’il est nécessaire de réaliser : la collecte des informations.

Quelles sont les informations à collecter et comment le faire ?

Comme vous avez pu le voir dans la section précédente, nous avons besoin d’un certain nombre d’information afin d’être en capacité de rédiger une politique de confidentialité conforme avec le RGPD.

Ainsi, nous vous recommandons vivement de procéder à un encadrement du scope d’application de la politique : Souhaitez-vous que cette politique ne soit applicable qu’aux traitements des données collectées sur le site internet ? Le cas échéant, est-ce qu’elle s’applique aussi sur la prospection commerciale ? Jusqu’à la signature d’un contrat ? Est-ce que la politique s’applique aussi à une application que j’ai développée ? Est-ce qu’elle s’étend au processus de recrutement également ? etc.

Une fois le scope décidé, vous allez devoir auditer les départements responsables de ces traitements de données. L’objectif premier des ces audits sera de lister les traitements et ensuite de collecter l’intégralité des éléments de l’article 13 du RGPD. Vous trouverez ci-dessous un exemple :

Traitement n°1 : Gestion de la prospection commerciale

Base légale : consentement
Destinataires : Service interne marketing, Prestataire d’envoi des emails de prospection
Transfert de données : Oui, le prestataire est localisé aux Etats-Unis
Durée de conservation : 5 ans
Données collectées : nom, prénom, adresse email

Cet audit pourra être l’occasion de vérifier la conformité des départements. Une fois que cet exercice a été réalisé auprès de tous les départements, vous êtes enfin prêt à rédiger votre politique de confidentialité RGPD pour votre site internet.

Quelles informations mettre dans la politique de confidentialité RGPD ?

Nous vous proposons ici de faire un focus, par section, des différents éléments à compléter.

L’identité du responsable de traitement

Il suffit ici d’utiliser un wording similaire à celui des mentions légales afin de dire que « la société X, enregistrée au RCS sous le numéro XX, dont le représentant légal est XX, est considérée comme responsable pour tous les traitements listés dans cette politique de confidentialité ».

Les coordonnées du DPO

Le DPO doit être joignable facilement par les personnes concernées afin de pouvoir poser des questions sur l’utilisation de leurs données personnelles et notamment pouvoir recevoir les demandes d’exercice de droits. Une adresse email dédiée et une adresse postale seront suffisante. Il faut donc exclure l’adresse de contact générique dans la mesure où seul le DPO, ou la personne en charge à défaut de nomination, devra avoir accès à ces demandes.

Les finalités de traitement

Les personnes concernées doivent comprendre dans quels objectifs leurs données personnelles vont être traitées. Ces traitements peuvent être les suivants :

  • Gestion de la prospection commerciale,
  • Envoi de la newsletter,
  • Gestion du recrutement,
  • Gestion des clients,
  • Etc.

Cette liste doit être exhaustive et doit refléter l’état des lieux effectués lors des entretiens d’audits ainsi que le scope initialement établi.

La base légale des traitements

Nous vous recommandons de rendre public la base légale pour chacun des traitements listés. Les bases légales sont disponibles à l’article 6 du RGPD.

Les destinataires des données personnelles

Le RGPD spécifie que nous pouvons soit lister les destinataires soit lister les catégories. Chaque solution à ces avantages et ses inconvénients, il conviendra donc de faire un choix. Ces informations devraient également apparaitre dans les entretiens réalisés. Point important, il n’est pas nécessaire de répertorier les destinataires par traitement, une liste globale suffira.

L’existence de transfert en dehors de l’Union Européenne

Dans la majeure partie des cas, il va exister des transferts au sens du chapitre V du RGPD. Si tel est le cas, vous n’avez pas l’obligation d’indiquer quels traitements de données personnelles sont concernés. Pour autant, il sera obligatoire d’indiquer clairement que des transferts sont effectués, et également les garanties qui ont été mis en place pour les sécuriser. Ces garanties sont disponibles aux articles 45 à 49 du RGPD.

Dans le cas où aucun transfert ne serait effectué, alors il conviendra de l’indiquer également. Nous vous recommandons cependant d’ajouter un wording afin de tout de même préciser la méthodologie qui sera mis en place si jamais vous décidiez d’en implémenter. Par exemple se reposer sur les décisions d’adéquation, et, à défaut, mettre en place les clauses contractuelles types de la Commission Européenne.

Les durées de conservation applicables

Les politiques de confidentialité de DPO Consulting font apparaitre les durées de conservation applicable pour chacun des traitements. Il est donc important de s’assurer, avant la publication de cette dernière, que les durées de conservation en place et collectées lors des audits sont conformes avec la législation applicable. Si vous constatez que des durées de conservation ne sont pas en place, ou qu’elles sont excessives, alors il sera nécessaire d’effectuer des actions correctives afin de se conformer avec le cadre légal.

La capacité de retirer son consentement

Dans le cas où certains de vos traitements se reposeraient sur le consentement des personnes concernées, alors il faudra ici indiquer comment ces dernières peuvent le retirer. Pour faire simple, nous vous invitons à spécifier dans cette section que le consentement peut être retiré à tout moment et sans justification nécessaire en contactant le DPO ou en cliquant sur le gestionnaire des consentements s’il existe.

Le droit d’introduire une réclamation auprès de l’autorité de contrôle

Il conviendra ici de déterminer la localisation de votre établissement principal afin d’identifier l’autorité de contrôle compétente. Une fois cette analyse effectuée, vous devez mettre en avant le fait que les personnes concernées peuvent à tout moment contacter l’autorité de contrôle (par exemple la CNIL) pour notamment effectuer une réclamation. Puis, il faudra ajouter les coordonnées de l’autorité concernée.

Si vous ne parvenez pas à identifier votre autorité de contrôle, vous pouvez inviter les personnes concernées à exercer leurs droits vers l’autorité de leur pays de résidence.

Le caractère obligatoire des données personnelles

Cette section couvre une situation spécifique où la fourniture des données personnelles serait obligatoire du fait d’un cadre réglementaire ou contractuel ou si cette fourniture va conditionner la conclusion du contrat. Si tel est le cas, vous devez préciser quelles seraient les conséquences en cas de non-fourniture, par exemple l’impossibilité de contractualiser.

L’existence d’une prise de décision automatisée

Si un des vos traitements fait recours à une prise de décision automatisée, alors il est impératif d’en informer les personnes concernées. Cette information doit être couplée à la capacité, pour ces dernières, de demander une intervention humaine pour réexaminer la demande.

Les informations complémentaires non contenu dans l’article 13 du RGPD

Afin de fournir une information complète, il est recommandé d’ajouter une section dédiée à énumérer les catégories de données personnelles qui auront vocation à être traitées (données d’identification, données de localisation, etc.).

En complément, une politique de confidentialité créée par DPO Consulting va faire apparaitre un paragraphe affirmant les engagements du responsable de traitement sur la sécurité des données personnelles confiées tout en donnant quelques exemples de mesures concrètes (pseudonymisation des données, back-up, etc.).

Enfin, il conviendra de permettre aux utilisateurs du site internet d’avoir accès à une présentation de tous les droits dont ils disposent et ce qu’ils recouvrent.

Conclusion

La rédaction d’une politique de confidentialité pour le site internet et conforme au RGPD est un exercice qui peut s’avérer compliqué si le scope qui est initialement défini est large, et/ou si le nombre de traitements de données personnelles est important.

Ainsi, nous espérons que ce guide vous permettra de la rédiger facilement. Nous nous tenons bien évidemment à votre disposition si vous souhaitez que nous la rédigions pour vous ou si vous souhaitez que nous fassions une relecture de votre travail. N’hésitez donc pas à prendre rendez-vous ici : https://www.dpo-consulting.com/fr-fr/contact.

À lire également

See all

Pseudonymisation et RGPD : les conditions réelles pour sortir (ou non) du champ des données personnelles

Des données personnelles pseudonymisées peuvent-elles perdre leur caractère identifiant et de ce fait mettre fin aux exigences du RGPD ?

Read more

La mise en place d’un fast-track : accélérer les autorisations d’essais cliniques dès 2026

À partir du premier trimestre 2026, un nouveau dispositif national d’autorisation fast-track sera mis en œuvre, afin de renforcer l’attractivité du territoire et offrir aux patients un accès plus rapide et sécurisé aux innovations thérapeutiques.

Read more

RGPD et performance commerciale : pourquoi la conformité devient un levier de croissance

Trop souvent perçu comme un cadre contraignant, le RGPD (Règlement Général sur la Protection des Données) est en réalité une formidable opportunité stratégique.

Read more
Restez au courant des dernières actualités en matière de protection des données et de conformité au RGPD.
Votre adresse e-mail sera utilisée pour vous envoyer notre newsletter ainsi que des informations concernant l'activité et l'actualité de DPO Consulting. Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription figurant dans les e-mails. Pour en savoir plus sur vos droits, consultez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
À propos de nous
Notre expertise
Logiciel RGPD (myDPO)
Nous contacter
contact@dpo-consulting.com
+33 (0) 1 55 06 16 86
50, Avenue des Champs-Élysées, 75008, Paris, France
DPO ExternaliséDPO International Assistance DPOReprésentant UEReprésentant UKFormation en protection des données
Conformité des études cliniquesAudit de conformité RGPDAnalyse d'Impact sur la Vie Privée (AIPD)Transformation digitaleConformité multi-réglementaireUK GDPR, UK DPA, & DUAA
Conformité en cybersécurité
RSSI ExternaliséAudit de conformité en cybersécuritéGestion de projet IT
Conformité à l'AI Act
Audit de conformité à l'AI ActFormation à l'AI Act
DPO Consulting © 2025 Tous droits réservés |
Conditions d'utilisation
|
Politique de confidentialité
|
Politique en matière de cookies
|
Mentions légales
Créons un expérience comme remarquable en tant que votre entreprise
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
Pages principales
Pages du CMS
Utilité
Modèles
hi@byq.studio
@byqstudio
+1 600 600 000
White stylized letter B logo on a black circular background.
Hey there 🙌🏽 This is Grained Agency Webflow Template by BYQ studio
Read more
Minimize
Template details

Included in Grained

Grained Agency Webflow Template comes with everything you need

15+ pages

25+ sections

20+ Styles & Symbols

Figma file included

To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.

Buy template $79

Grained Comes With Even More Power

Overview of all the features included in Grained Agency Template

Premium, custom, simply great

Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.

Optimised for speed

We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.

Responsive

Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.

Reusable animations

Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.

Modular

Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.

100% customisable

On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.

CMS

Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.

Ecommerce

Grained Template comes with eCommerce set up, so you can start selling your services straight away.

Figma included

To give you 100% control over the design, together with Webflow project, you also get the Figma file.

Buy template $79