Une politique de confidentialité qui reflète votre site, et pas un modèle générique

La plupart des politiques de confidentialité se ressemblent : des copier-coller génériques qui évoquent « l'utilisation de cookies pour améliorer votre expérience » sans lister un seul traceur, sans nommer un seul tiers, sans préciser une seule durée de conservation. C'est précisément ce que la CNIL sanctionne.

L'article 13 du RGPD impose à tout site qui collecte des données personnelles de fournir une information complète, transparente et accessible. Les données collectées via les cookies en font partie, et c'est la section que la quasi-totalité des sites bâclent.

Cet article détaille ce que doit contenir votre politique de confidentialité, propose 5 modèles adaptés selon le type de site, précise les points vérifiés par la CNIL lors d'un contrôle, et montre comment Cookiebot maintient automatiquement vos déclarations à jour.

En bref

• La politique de confidentialité est obligatoire dès lors qu'un site collecte des données personnelles (article 13 du RGPD). Son absence expose à des amendes pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires mondial.
• La section cookies est celle que la plupart des sites négligent : traceurs non listés, tiers non identifiés, durées de conservation absentes.
• 9 mentions sont obligatoires : identité du responsable, types de données, finalités, base légale, durée de conservation, droits des utilisateurs, mesures de sécurité, destinataires, droit de réclamation auprès de la CNIL.
• La politique de confidentialité doit être distincte des CGV/CGU et des mentions légales.
• Cookiebot scanne votre site chaque mois et met automatiquement à jour la liste des cookies et traceurs déclarés, pour que votre politique reflète la réalité.

Votre politique de confidentialité est-elle à jour ?

Lancez un scan gratuit pour identifier tous les cookies et traceurs actifs sur votre site et découvrir ce qui manque dans vos déclarations.

Scanner mon site gratuitement

Qu'est-ce qu'une politique de confidentialité et pourquoi est-elle obligatoire ?

Une politique de confidentialité est un document qui informe les utilisateurs de la manière dont un site web collecte, utilise, conserve et protège leurs données personnelles. Ce n'est pas un document marketing : c'est une obligation légale.

L'article 13 du RGPD impose cette information à tout responsable de traitement qui collecte des données personnelles directement auprès de la personne concernée. La CNIL précise que cette politique doit être distincte des conditions générales de vente (CGV) et des conditions générales d'utilisation (CGU).

Le titre de la page doit être clair (« Politique de confidentialité », « Vie privée » ou « Données personnelles ») et la page doit être accessible depuis l'ensemble du site, généralement via un lien en pied de page.

Le non-respect de l'obligation d'information est sanctionné par le RGPD (amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial) et par le droit pénal français (1 500 € pour les entrepreneurs individuels, 7 500 € pour les sociétés, par infraction constatée).

Ce que votre politique de confidentialité doit dire sur les cookies et traceurs

C'est la section que la plupart des sites ratent. La politique de confidentialité ne peut pas se limiter à un vague « nous utilisons des cookies ». Elle doit refléter précisément les traceurs réellement actifs sur le site.

Voici ce que la section cookies de votre politique doit inclure :

La liste des cookies et traceurs actifs, classés par catégorie : strictement nécessaires, analytics, préférences, marketing. Chaque cookie doit être identifié par son nom, sa finalité, sa durée de vie et le tiers qui le dépose.

L'identité des tiers déposant des cookies. Si votre site utilise Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar ou tout autre service tiers, ces acteurs doivent être nommés explicitement.

Les bases légales applicables : consentement pour les cookies non essentiels, intérêt légitime ou exemption CNIL pour les cookies strictement nécessaires et certains outils de mesure d'audience.

Les durées de conservation. Chaque type de cookie doit être associé à une durée précise. La CNIL vérifie systématiquement ce point lors de ses contrôles.

Le renvoi vers le bandeau de consentement. La politique doit expliquer comment l'utilisateur peut donner, refuser ou retirer son consentement, et pointer vers le module de gestion des cookies.

Le problème de fond : la plupart des propriétaires de sites ne connaissent pas la liste complète des cookies actifs sur leur domaine. Des scripts tiers ajoutent régulièrement des traceurs sans notification. C'est exactement ce que le scanner Cookiebot résout.

5 modèles de section cookies par type de site

Voici cinq modèles adaptés aux configurations les plus courantes. Chacun doit être personnalisé en fonction des traceurs réellement détectés sur votre site (le scanner Cookiebot fournit la liste exacte).

Modèle 1 — Blog ou site vitrine avec Google Analytics. Cookies à déclarer : cookies GA4 (_ga, ga), cookie de consentement Cookiebot (CookieConsent). Tiers : Google LLC. Base légale : consentement pour GA4 (sauf configuration en mode exempté CNIL). Durées : _ga = 2 ans, ga = 2 ans, CookieConsent = 12 mois. Section à inclure : finalité de mesure d'audience, identité de Google comme destinataire des données, lien vers le module de gestion des cookies.

Modèle 2 — Site e-commerce avec Meta Pixel et Google Ads. Cookies à déclarer : cookies GA4, cookies Google Ads (_gcl_au, _gcl_aw), Meta Pixel (_fbp, _fbc), cookie de consentement. Tiers : Google LLC, Meta Platforms Inc. Base légale : consentement pour tous les cookies marketing et analytics. Durées : _fbp = 3 mois, _gcl_au = 3 mois. Section à inclure : finalités de reciblage, ciblage publicitaire, mesure de conversion. Mention de Google Consent Mode v2 s'il est implémenté.

Modèle 3 — Site avec formulaires de contact et newsletter. Données collectées : nom, adresse e-mail, message (formulaire), adresse e-mail (inscription newsletter). Cookies à déclarer : cookies de session, cookies analytics le cas échéant, cookie de consentement. Base légale : consentement pour la newsletter, intérêt légitime pour le formulaire de contact. Section à inclure : finalités, destinataires (plateforme d'e-mailing : Mailchimp, Brevo, etc.), durée de conservation des données de contact.

Modèle 4 — Site avec vidéos YouTube intégrées et boutons de partage réseaux sociaux. Cookies à déclarer : cookies YouTube/Google (VISITOR_INFO1_LIVE, YSC, etc.), cookies Facebook, X ou LinkedIn déposés via les boutons de partage. Tiers : Google LLC (YouTube), Meta Platforms, X Corp, LinkedIn. Base légale : consentement. Section à inclure : mention que ces contenus intégrés déposent des cookies tiers, et possibilité de les bloquer via le bandeau de consentement.

Modèle 5 — SaaS ou application avec comptes utilisateurs. Données collectées : nom, adresse e-mail, mot de passe (haché), données d'utilisation, journaux de connexion. Cookies à déclarer : cookies de session et d'authentification, cookies analytics, cookies marketing le cas échéant. Base légale : exécution du contrat pour l'authentification, consentement pour l'analytics et le marketing. Section à inclure : durée de conservation des comptes inactifs, procédure d'exercice des droits (accès, rectification, effacement, portabilité), mention du DPO si applicable.

Ce que la CNIL vérifie dans une politique de confidentialité

Lors d'un contrôle, la CNIL vérifie la conformité de votre politique de confidentialité aux articles 12, 13 et 14 du RGPD. Voici les points de contrôle les plus fréquents.

Présence des 9 mentions obligatoires : identité et coordonnées du responsable de traitement (et du DPO le cas échéant), types de données collectées, finalités, base légale, durée de conservation, droits des personnes concernées, destinataires, mesures de sécurité, droit de réclamation auprès de la CNIL.

Cohérence entre les déclarations et la réalité. La CNIL compare les traceurs déclarés dans la politique avec ceux réellement actifs sur le site. Si votre politique affirme « nous n'utilisons pas de cookies publicitaires » alors qu'un Meta Pixel est actif, il s'agit d'un manquement.

Clarté et accessibilité du langage. La CNIL exige une information concise, transparente, compréhensible et aisément accessible. Une politique rédigée en jargon juridique opaque ne remplit pas cette condition.

Accessibilité de la page. La politique doit être facile à trouver : lien permanent en pied de page et titre explicite.

Mise à jour. Une politique datée qui ne reflète plus les pratiques du site constitue un manquement. La CNIL attend une mise à jour régulière, notamment lors de l'ajout de nouveaux outils ou services tiers.

Politique de confidentialité vs politique de cookies : avez-vous besoin des deux ?

La politique de confidentialité et la politique de cookies sont deux documents distincts, mais complémentaires.

La politique de confidentialité est le document global. Elle couvre l'ensemble des traitements de données personnelles effectués par votre site ou votre entreprise : formulaires, comptes utilisateurs, newsletters, cookies, analytics, etc. Elle est obligatoire en vertu de l'article 13 du RGPD.

La politique de cookies (parfois appelée « politique de gestion des cookies ») est un document spécifique. Elle détaille les cookies et traceurs utilisés, leurs finalités, leurs durées de vie, les tiers impliqués et les modalités de consentement. Aucun texte distinct ne l'impose explicitement, mais les lignes directrices CNIL exigent une information détaillée sur les cookies, accessible depuis le bandeau de consentement.

Deux approches sont possibles en pratique : intégrer la section cookies directement dans la politique de confidentialité (la plus simple pour les petits sites), ou créer une politique de cookies dédiée, reliée à la politique de confidentialité et au bandeau (recommandée pour les sites comportant de nombreux traceurs).

Cookiebot génère automatiquement une déclaration de cookies détaillée et mise à jour chaque mois, que vous pouvez intégrer à votre politique ou publier sur une page dédiée.

À quelle fréquence mettre à jour votre politique de confidentialité ?

Le RGPD n'impose pas de fréquence fixe. En revanche, la mise à jour devient obligatoire dès qu'un changement intervient dans vos pratiques de traitement.

Parmi les événements qui déclenchent une mise à jour : l'ajout d'un nouvel outil analytics ou publicitaire (Google Ads, Meta Pixel, Hotjar, etc.), un changement de prestataire d'e-mailing ou de CRM, l'ajout de fonctionnalités collectant des données (formulaire, chatbot, espace client), la modification des durées de conservation, un changement de sous-traitant ou de destinataire des données, ou encore une évolution réglementaire (nouvelles recommandations CNIL, mise à jour du RGAA).

Le scénario courant : un développeur ajoute un script tiers sur le site, ce script dépose des cookies non déclarés, et la politique de confidentialité devient obsolète sans que personne ne s'en aperçoive.

C'est précisément ce que détecte le scanner Cookiebot. En analysant votre site chaque mois, il identifie les nouveaux cookies et traceurs. Dès qu'un traceur non déclaré apparaît, vous recevez une alerte et pouvez mettre vos déclarations à jour.

Comment Cookiebot maintient vos déclarations à jour automatiquement

Cookiebot résout le problème central de la politique de confidentialité : l'écart entre ce que vous déclarez et ce que votre site fait réellement.

Le scanner analyse l'ensemble de votre site chaque mois. Il identifie tous les cookies et traceurs actifs (first-party et third-party), les classe par catégorie (nécessaires, préférences, statistiques, marketing) et documente leurs finalités, leurs durées de vie et les tiers qui les déposent.

Résultat : une déclaration de cookies générée automatiquement, toujours à jour, que vous pouvez intégrer directement dans votre politique de confidentialité ou publier sur une page séparée. Cette déclaration est dynamique : dès qu'un nouveau script tiers dépose un cookie sur votre site, elle est mise à jour au scan suivant.

En complément, le bandeau de consentement Cookiebot bloque les cookies non essentiels avant consentement, conformément aux 8 exigences de la CNIL. Si votre site utilise Google Ads ou GA4, Cookiebot s'intègre nativement avec Google Consent Mode v2.

Le tout est déployable sur WordPress, Shopify, Wix ou via Google Tag Manager.

Une politique de confidentialité qui reflète votre site, et pas un modèle générique

Votre politique de confidentialité n'a de valeur que si elle reflète la réalité de votre site. Avec des scripts tiers qui évoluent en permanence et des cookies qui apparaissent sans notification, maintenir des déclarations à jour manuellement est voué à l'échec. Cookiebot automatise la détection, la catégorisation et la déclaration de tous les traceurs, pour que votre politique reste conforme en continu.

Découvrez ce que votre politique de confidentialité omet

Lancez un scan gratuit pour identifier tous les cookies et traceurs actifs sur votre site, puis générez une déclaration de cookies toujours à jour avec Cookiebot.

Scanner mon site gratuitement