Politique de confidentialité : comment la rédiger pour son site internet

Vous avez un formulaire de contact, une newsletter, ou simplement un site qui collecte des données de visiteurs ? Vous devez probablement publier une politique de confidentialité. C’est l’un des documents RGPD les plus mal compris : beaucoup de freelances copient-collent celle d’un concurrent, sans savoir ce qu’elle doit réellement contenir — ni si elle protège vraiment leur activité.

Cet article vous explique qui doit avoir une politique de confidentialité sur son site internet, ce qu’elle doit contenir, et comment la rédiger sans jargon juridique inutile.

Politique de confidentialité : obligatoire ou pas ?

La réponse est simple : si votre site collecte la moindre donnée personnelle, vous devez avoir une politique de confidentialité.

Cela concerne concrètement :

• un formulaire de contact (même basique : nom, email, message)
• une inscription à une newsletter
• des cookies de mesure d’audience (Google Analytics, Matomo non anonymisé, etc.)
• un système de réservation, de devis ou de prise de rendez-vous en ligne
• tout module de commentaires ou de connexion utilisateur

Comme expliqué dans l’article sur ce que vous êtes vraiment obligé de faire en tant que freelance face au RGPD, informer les personnes dont vous collectez les données est l’obligation la plus fondamentale du règlement. La politique de confidentialité est le document qui formalise cette information.

À l’inverse, un site purement vitrine, sans formulaire, sans cookie et sans aucune collecte, n’a techniquement pas besoin de ce document. Mais ce cas est rare en pratique — la plupart des sites professionnels ont au minimum un formulaire de contact.

Politique de confidentialité et mentions légales : deux documents différents

Erreur fréquente : confondre les deux.

• Les mentions légales identifient l’éditeur du site (identité, statut juridique, hébergeur). Elles sont obligatoires pour tout site professionnel, indépendamment du RGPD.
• La politique de confidentialité explique comment les données personnelles des visiteurs sont traitées. Elle découle directement du RGPD.

Un site peut avoir des mentions légales sans politique de confidentialité (s’il ne collecte rien), mais jamais l’inverse en pratique : si vous traitez des données, vous avez besoin des deux documents, et ils doivent être accessibles séparément, même s’ils sont parfois regroupés sur une même page.

Ce que doit contenir une politique de confidentialité

Une politique de confidentialité conforme doit répondre à six questions, dans un langage compréhensible — pas dans un jargon copié d’un site américain.

1. Qui collecte les données

Identité du responsable de traitement : votre nom ou raison sociale, votre statut (micro-entrepreneur, société), et un moyen de contact dédié (email ou formulaire).

2. Quelles données sont collectées

Listez concrètement ce que vous récupérez : nom, email, téléphone, adresse IP, données de navigation via cookies. Pas besoin de surcharger — listez ce qui correspond réellement à vos formulaires et outils.

3. Pourquoi ces données sont collectées

Pour chaque traitement, précisez la finalité : répondre à une demande de contact, envoyer une newsletter, établir un devis, mesurer l’audience du site. Une finalité par usage, pas une formule vague du type « améliorer nos services ».

4. Sur quelle base légale

Comme détaillé dans l’article sur les obligations RGPD du freelance, chaque traitement doit reposer sur une base légale : contrat, intérêt légitime, ou consentement. Mentionnez-la pour chaque finalité listée au point précédent.

5. Combien de temps les données sont conservées

Une durée de conservation par type de donnée. Exemple : les données d’un prospect non converti peuvent être conservées 3 ans après le dernier contact ; les données d’un client, pendant la durée de la relation contractuelle puis les durées légales de conservation comptable.

6. Quels sont les droits des visiteurs

Droit d’accès, de rectification, de suppression, d’opposition — et la manière de les exercer (email de contact, délai de réponse d’un mois). Mentionnez aussi le droit de réclamation auprès de la CNIL.

Les sous-traitants à mentionner

Si vous utilisez des outils tiers qui traitent les données de vos visiteurs pour votre compte — un CRM, une plateforme d’emailing, un outil d’analytics, un hébergeur de formulaires — vous devez les mentionner. En pratique, une liste simple suffit :

• Outil utilisé (ex. : Brevo, Mailchimp, Google Analytics)
• Finalité (ex. : envoi de newsletter, mesure d’audience)
• Lieu d’hébergement des données si pertinent (Europe ou hors UE)

C’est aussi l’occasion de vérifier que ces outils sont eux-mêmes conformes, comme évoqué dans l’article sur les obligations RGPD : préférez des prestataires européens ou couverts par des mécanismes de transfert reconnus.

Erreurs fréquentes à éviter

Copier la politique d’un autre site. Chaque politique doit refléter vos traitements réels. Une politique copiée mentionne souvent des outils que vous n’utilisez pas, ou omet des traitements que vous avez bel et bien mis en place.

Une politique trop longue et trop générique. Un document de dix pages en jargon juridique n’est pas plus protecteur qu’une page claire et précise. La CNIL valorise la transparence réelle, pas le volume.

Oublier de la mettre à jour. Si vous ajoutez un nouvel outil (un nouveau CRM, une nouvelle plateforme d’emailing), la politique doit suivre. Un document figé depuis la création du site est souvent obsolète.

La rendre inaccessible. Elle doit être accessible en un clic depuis n’importe quelle page du site, généralement via le pied de page, à côté des mentions légales.

Comment la mettre en place concrètement

1. Listez vos traitements réels : formulaires, newsletter, cookies, outils tiers utilisés.
2. Rédigez les six sections décrites plus haut, en restant factuel et concret.
3. Publiez-la sur une page dédiée, accessible depuis le pied de page de votre site.
4. Reliez-la depuis vos formulaires : une simple phrase (« En soumettant ce formulaire, vous acceptez notre politique de confidentialité ») avec un lien suffit.
5. Mettez-la à jour à chaque changement d’outil ou de traitement.

Cette démarche rejoint l’ensemble des obligations RGPD du freelance : ce n’est pas un projet complexe, mais un document qui doit refléter fidèlement votre activité réelle.

Une politique de confidentialité claire, c’est aussi un argument de confiance

Au-delà de l’obligation légale, une politique de confidentialité bien rédigée rassure vos visiteurs et vos clients. Elle montre que vous prenez leurs données au sérieux — un signal de professionnalisme qui peut peser dans la décision d’un prospect hésitant entre vous et un concurrent.

Vous voulez savoir où vous en êtes réellement ? Le RGPD Score est un outil gratuit qui évalue votre niveau de conformité en quelques minutes, y compris sur votre politique de confidentialité, et vous indique les points prioritaires à traiter.

Faire mon RGPD Score gratuitement →

Vous préférez être accompagné pour rédiger l’ensemble de vos documents RGPD ? Le Kit RGPD du Freelance vous guide étape par étape, modèles inclus, sans jargon juridique.

Découvrir le Kit RGPD du Freelance →