layout: page
title: Politique de confidentialité — RGPD, Loi Informatique et Libertés, CNIL
description: Politique de confidentialité conforme RGPD et LIL — articles 13/14 RGPD, bases légales, droits des personnes, transferts hors UE, sanctions CNIL, mineurs, DPO.
permalink: /handbook/fr/consumer/politique-confidentialite/
lastVerified: 2026-05-11
sources:
  - url: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
    title: Règlement (UE) 2016/679 (RGPD)
    accessed: 2026-05-11
  - url: https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/
    title: Loi n° 78-17 du 6 janvier 1978 (LIL) modifiée
    accessed: 2026-05-11
  - url: https://www.cnil.fr/
    title: Commission Nationale de l'Informatique et des Libertés (CNIL)
    accessed: 2026-05-11
  - url: https://curia.europa.eu/juris/document/document.jsf?docid=228677
    title: CJUE, 16 juill. 2020, Schrems II, C-311/18
    accessed: 2026-05-11
  - url: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0914
    title: Décision (UE) 2021/914 — Clauses contractuelles types (CCT)
    accessed: 2026-05-11
  - url: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32023D1795
    title: Décision d'exécution (UE) 2023/1795 — Data Privacy Framework UE-USA
    accessed: 2026-05-11
  - url: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689
    title: Règlement (UE) 2024/1689 (AI Act)
    accessed: 2026-05-11
  - url: https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006070987/LEGISCTA000006163627/
    title: Code des postes et communications électroniques — art. L. 34-5
    accessed: 2026-05-11
confidence: high

La politique de confidentialité est le document d’information principal qu’un responsable de traitement met à disposition des personnes concernées pour satisfaire les obligations de transparence imposées par le Règlement général sur la protection des données (Règlement (UE) 2016/679, ci-après RGPD) et par la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après LIL), telle que modifiée par la loi n° 2018-493 du 20 juin 2018 et l’ordonnance n° 2018-1125 du 12 décembre 2018. Elle se distingue du registre des activités de traitement (article 30 RGPD, interne), de l’analyse d’impact (article 35 RGPD, technique) et de la politique cookies (qui obéit à l’article 82 LIL et à la délibération CNIL n° 2020-091, traitée sur la page dédiée).

Cette page constitue le squelette rédactionnel d’une politique applicable à un service en ligne grand public. Elle doit être adaptée à chaque traitement réel — les modèles génériques ne dispensent jamais de l’analyse des finalités et bases légales propres au responsable.

Cadre juridique applicable

Le cadre juridique français combine deux strates indissociables. Au niveau européen, le RGPD est un règlement directement applicable depuis le 25 mai 2018 dans tous les États membres. Il établit un socle harmonisé : définitions (article 4), principes (article 5), bases légales (article 6), droits des personnes (articles 12 à 22), obligations du responsable (articles 24 à 31) et du sous-traitant (article 28), sécurité (article 32), notification de violations (articles 33-34), analyse d’impact (article 35), désignation d’un DPO (article 37), transferts internationaux (articles 44 à 50), coopération entre autorités (articles 60 à 67), sanctions (articles 77 à 84). Au niveau français, la LIL conserve un rôle pour les marges nationales laissées par le RGPD — âge du consentement numérique (article 45 LIL : 15 ans), traitements de données pénales (article 46 LIL), traitements à des fins journalistiques (article 80), traitements de l’État (article 31) — et pour les pouvoirs d’investigation et de sanction de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle française au sens de l’article 51 RGPD (articles 8 et suivants LIL).

Le Comité européen de la protection des données (CEPD ou EDPB) émet des lignes directrices qui, sans être contraignantes au sens strict, font autorité dans l’interprétation du RGPD. Ses recommandations sur le consentement, l’intérêt légitime, la transparence, les transferts internationaux et les violations de données structurent la pratique européenne.

Mentions obligatoires (articles 13 et 14 RGPD)

Les articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD énumèrent les informations qui doivent être fournies à la personne concernée. La politique de confidentialité agrège ces mentions dans un format permanent et accessible. Sont obligatoires :

L’information doit être donnée « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (article 12(1) RGPD). Le format à plusieurs niveaux (couches d’information) est recommandé par la CNIL et par les lignes directrices du CEPD WP260 sur la transparence : aperçu en première couche, détails techniques en seconde.

Bases légales du traitement (article 6 RGPD)

Tout traitement doit reposer sur l’une des six bases légales énumérées limitativement à l’article 6(1) RGPD :

Pour les catégories particulières de données (article 9 RGPD : origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, biométriques aux fins d’identification, données de santé, vie ou orientation sexuelle), l’article 6 n’est pas suffisant : il faut cumulativement l’une des bases du paragraphe 2 de l’article 9 (consentement explicite, obligation en matière de droit du travail, intérêt vital, traitement par une fondation, données rendues manifestement publiques, action en justice, intérêt public important fondé sur le droit, médecine préventive et professionnelle, intérêt public en matière de santé publique, archivage / recherche / statistiques).

Les données pénales (article 10 RGPD complété par l’article 46 LIL) ne peuvent être traitées que par les juridictions et autorités publiques compétentes ou sous le contrôle d’une autorité publique, sauf exceptions strictement encadrées.

Droits des personnes concernées (articles 15 à 22)

Le RGPD énumère sept droits exerçables par la personne concernée :

Le délai de réponse est d’un mois à compter de la réception de la demande (article 12(3) RGPD), extensible de deux mois en cas de demande complexe ou nombreuse, avec information de la personne. La réponse est gratuite, sauf demande manifestement infondée ou excessive.

Mineurs et consentement numérique

L’article 8 RGPD fixe un seuil par défaut de 16 ans pour le consentement valable d’un mineur aux services de la société de l’information directement offerts, mais permet aux États membres de l’abaisser jusqu’à 13 ans. La France a retenu, par l’article 45 de la LIL, l’âge de 15 ans. En-dessous de 15 ans, le traitement n’est licite que si le consentement est donné conjointement par l’enfant et par le titulaire de l’autorité parentale. Le responsable doit déployer des efforts raisonnables pour vérifier le consentement parental, compte tenu des moyens technologiques disponibles.

Le CEPD précise dans ses lignes directrices que la vérification de l’âge ne peut être disproportionnée et doit respecter le principe de minimisation : éviter le stockage de pièces d’identité ou la création de bases biométriques en l’absence de proportionnalité.

Délégué à la protection des données (DPO)

L’article 37 RGPD impose la désignation d’un DPO dans trois cas :

La désignation est facultative dans les autres cas mais souvent recommandée. Le DPO doit pouvoir agir en indépendance, disposer de ressources, accéder aux traitements, rendre compte au plus haut niveau de la direction (article 38), et exercer les missions énumérées à l’article 39 (information, conseil, contrôle de conformité, coopération avec la CNIL, point de contact). Ses coordonnées sont publiées dans la politique de confidentialité et communiquées à la CNIL.

Transferts hors Union européenne

Les transferts vers un pays tiers ou une organisation internationale sont soumis à un régime spécifique (chapitre V du RGPD) :

L’arrêt fondateur CJUE, 16 juillet 2020, Schrems II, C-311/18 a invalidé le Privacy Shield UE-USA et confirmé la validité des CCT, en exigeant des responsables une évaluation d’impact des transferts (Transfer Impact Assessment) tenant compte du droit du pays destinataire — notamment les capacités de surveillance gouvernementale — et la mise en place de mesures supplémentaires (chiffrement, pseudonymisation, mesures contractuelles) lorsque les CCT ne suffisent pas à elles seules. Le CEPD a publié des recommandations 01/2020 sur les mesures supplémentaires.

Le Data Privacy Framework de 2023 réintroduit pour les États-Unis un mécanisme d’adéquation, restreint aux organismes auto-certifiés. Une nouvelle invalidation contentieuse n’est pas exclue à terme.

Marketing direct et communications Ă©lectroniques

L’article L. 34-5 du Code des postes et communications électroniques régit la prospection directe par courriel et SMS. Le principe est l’opt-in : consentement préalable exprès. Exception unique pour la prospection sur des produits ou services analogues à ceux déjà fournis par le même responsable, à des personnes ayant déjà acquis un bien ou service auprès du responsable (article L. 34-5, alinéa 4) — fonctionnement en opt-out avec faculté de désinscription gratuite à chaque message. La prospection téléphonique non automatisée et la prospection postale relèvent du régime de l’opposition (Bloctel pour le téléphone, article L. 223-1 C. conso). Le RGPD complète ce régime par l’article 21(2) : droit absolu d’opposition à la prospection.

Décisions emblématiques et sanctions CNIL

Les articles 83 et 84 du RGPD plafonnent les amendes administratives Ă  :

L’article 20 LIL complète par des sanctions correctrices : avertissement, mise en demeure, rappel à l’ordre, injonction, limitation ou suspension des traitements, retrait de certification, publication. Les amendes administratives sont prononcées par la formation restreinte de la CNIL.

Les décisions marquantes :

Délibérations CNIL structurantes

Articulation avec l’AI Act

Le Règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1ᵉʳ août 2024 avec une application progressive jusqu’en 2027, ne remplace pas le RGPD mais s’y articule. Pour les systèmes d’IA qui traitent des données personnelles, le responsable cumule les obligations du RGPD (base légale, transparence, AIPD article 35) et celles de l’AI Act (classification du risque, documentation technique, journalisation, supervision humaine pour les systèmes à haut risque). Le considérant 9 de l’AI Act confirme la primauté du RGPD en cas de chevauchement sur le traitement des données personnelles. La politique de confidentialité doit, lorsque pertinent, signaler l’utilisation de systèmes d’IA, les finalités, la logique sous-jacente, et l’existence d’une supervision humaine.

Squelette de politique de confidentialité

  1. Préambule — identité du responsable, coordonnées, DPO.
  2. Périmètre — services concernés, version, date d’entrée en vigueur.
  3. Données collectées — catégories (identification, navigation, transactionnelles, sensibles s’il y a lieu).
  4. Finalités — liste explicite avec base légale en regard.
  5. Destinataires — sous-traitants, partenaires, autorités.
  6. Transferts hors UE — garanties.
  7. Durée de conservation — par finalité.
  8. Droits des personnes — modalités d’exercice, délai, recours CNIL.
  9. Sécurité — mesures techniques et organisationnelles.
  10. Cookies et traceurs — renvoi à la politique cookies.
  11. Mineurs — règles spécifiques < 15 ans.
  12. Profilage / IA — le cas échéant.
  13. Modifications — historique des versions.
  14. Contact — DPO ou point de contact, recours CNIL.

Renvois

Bibliographie

Avertissement : Le contenu de cette page est informatif et ne constitue pas un avis juridique. Dernière vérification le 11 mai 2026. Consultez un avocat inscrit à un barreau français pour toute décision contraignante.