Politique de confidentialité RGPD : guide de rédaction pour startups

Pourquoi votre politique de confidentialité est stratégique

Au-delà d’une exigence légale, une politique de confidentialité claire est un levier de confiance et de conversion. Le RGPD impose une information transparente sur les traitements (articles 12 à 14 du Règlement (UE) 2016/679) et des principes fondamentaux (licéité, minimisation, sécurité : art. 5 et 32). En cas de manquement, les sanctions peuvent atteindre 20 M€ ou 4 % du CA mondial (art. 83 RGPD via EUR-Lex). La CNIL rappelle que l’information doit être aisément accessible et compréhensible, notamment pour les TPE/PME et startups (CNIL – intégrer le RGPD à votre startup ; CNIL – TPE/PME).

Conseil opérationnel : publiez la politique depuis toutes les pages clés (footer, onboarding, app mobile) et alignez-la avec vos CGU/CGV et votre contrat SaaS pour éviter les divergences.

Les 10 blocs indispensables à inclure

1) Responsable de traitement et contacts

• Identité et coordonnées du responsable (et du DPO le cas échéant : art. 13.1.a RGPD).
• Canal de contact dédié aux droits RGPD.

2) Données collectées (catégories)

• Données compte (identité, contact), usage produit (logs, événements), facturation, support, marketing.
• Catégories particulières si concernées (santé, biométriques) et fondement approprié.

3) Finalités et bases légales

• Exécution d’un contrat (création de compte, fourniture du service).
• Intérêt légitime (amélioration produit, sécurité, prospection B2B mesurée).
• Consentement (newsletter B2C, cookies non essentiels, marketing SMS, profilage).
• Obligation légale (comptabilité, réponses autorités).

Référence : art. 6 RGPD et lignes directrices de l’EDPB sur la licéité et le consentement (EDPB).

4) Destinataires et sous-traitants

• Fournisseurs cloud, emailing, analytics, helpdesk, paiement.
• Clauses contractuelles (art. 28 RGPD) et instructions documentées.

5) Transferts hors UE/EEE

• Mécanismes : décision d’adéquation, clauses contractuelles types (CCT), et évaluation de l’impact du transfert (recommandations EDPB post-Schrems II ; EDPB).

6) Durées de conservation

• Principe de limitation : définir des durées par finalité, puis anonymiser ou supprimer (art. 5.1.e RGPD).
• Publier une grille lisible (« compte actif », « prospects », « logs », etc.).

7) Droits des personnes et modalités

• Accès, rectification, effacement, limitation, opposition, portabilité, directives post-mortem si applicable.
• Délai de réponse : 1 mois (prolongeable de 2 mois) ; information sur la CNIL en cas de réclamation (art. 12 et 15 à 22 RGPD ; CNIL).

8) Sécurité

• Mesures techniques et organisationnelles : chiffrement, gestion des accès, journalisation, tests (art. 32 RGPD).
• Notification des violations à la CNIL sous 72 h en cas de risque (art. 33 ; CNIL).

9) Cookies/traceurs et analytics

• Bannière de consentement pour les traceurs non essentiels, preuve du consentement, possibilité de retirer le consentement à tout moment (CNIL, ePrivacy).
• Politique cookies distincte ou section dédiée, liée depuis la politique de confidentialité.

10) Mises à jour et versioning

• Procédure de notification des changements matériels, horodatage des versions, archive consultable.

Ressources officielles utiles : Service-public Pro – obligations données personnelles, France Num – bien gérer les données, Legifrance, EUR-Lex – RGPD, CNIL – Startups, CNIL – TPE/PME.

Méthode en 7 étapes pour une rédaction sans faille

1. Cartographier les traitements : quelles données, pourquoi, où, qui y accède, combien de temps. Utilisez un registre (art. 30) même si vous êtes < 250 salariés : c’est recommandé par la CNIL (guide startups).
2. Choisir la base légale par finalité et vérifier la nécessité du consentement (voir lignes directrices EDPB ; EDPB).
3. Définir des durées de conservation justificatives et opérationnelles (suppression/anonymisation planifiée).
4. Encadrer les sous-traitants (DPA art. 28, audits, logs d’accès, plan de sécurité).
5. Évaluer transferts hors UE (CCT + évaluation complémentaire) et documenter (EDPB).
6. Préparer les procédures d’exercice des droits (validation d’identité, SLA 1 mois, traçabilité).
7. Publier la politique, relire en langage clair, mailler depuis CGU/CGV, bannière cookies conforme et centre de préférences. Formez les équipes.

Bases légales : cas d’usage fréquents en startup

• Compte utilisateur et fourniture du service : exécution du contrat (art. 6.1.b RGPD).
• Amélioration produit, mesure d’audience limitée (sans traceurs non essentiels) et sécurité : intérêt légitime (6.1.f) avec test de mise en balance et opt-out quand pertinent.
• Newsletter B2C, publicité personnalisée, cookies non essentiels, prospection par SMS : consentement (6.1.a), retrait possible à tout moment.
• Facturation/comptabilité : obligation légale (6.1.c).
• IA/ML sur données personnelles : licéité à documenter (contrat/intérêt légitime/consentement selon cas) et privacy by design (art. 25). Voir notre guide dédié RGPD et IA : obligations légales.

Durées de conservation : comment les fixer

Le RGPD impose une conservation « pas plus longtemps que nécessaire » (art. 5.1.e). Pratique recommandée :

• Définir une durée par finalité (ex. : données de compte = durée du contrat + période d’archivage minimale nécessaire).
• Différencier prospects inactifs vs clients, logs techniques vs données métier.
• Automatiser purge/anonymisation, tracer les suppressions.

Sous-traitants et transferts internationaux

• Contrats art. 28 RGPD : objet, durée, sécurité, sous-traitance ultérieure, assistance en cas de violation, réversibilité.
• Transferts hors UE/EEE : vérifier une décision d’adéquation, à défaut CCT + mesures complémentaires + évaluation de droit local (guides EDPB).

Cookies, analytics et prospection

• Bannière avant dépôt des traceurs non essentiels ; refus aussi simple que l’acceptation ; preuve du consentement (CNIL).
• Prospection électronique B2C soumise à consentement préalable ; B2B possible sous conditions et information claire, avec droit d’opposition facile (référentiels CNIL).
• Créez une politique cookies distincte liée depuis la politique RGPD.

DPIA, sécurité et gestion des violations

• DPIA (analyse d’impact, art. 35) si risque élevé : surveillance à grande échelle, données sensibles, suivi systématique, mineurs. La CNIL et l’EDPB publient des listes et guides (CNIL ; EDPB).
• Sécurité (art. 32) : chiffrement, tests, gestion secrets, principe du moindre privilège, journalisation. Pour aller plus loin côté code et secrets, voyez nos bonnes pratiques de protection du code source.
• Violation : notifier la CNIL sous 72 h si risque pour les personnes, et les personnes si risque élevé (art. 33-34 ; CNIL).

Modèle personnalisable de politique de confidentialité (copier-coller)

Adaptez ce squelette à votre produit, complétez les crochets, vérifiez les bases légales et durées avec votre registre.

<h2>Qui sommes-nous ?</h2>
[Nom de la société], [forme], [RCS], [adresse]. Contact RGPD : [email].
DPO : [coordonnées] (si applicable).

<h2>Quelles données collectons-nous ?</h2>
Catégories : [identité, contact, usage produit, facturation, support, marketing, ...].
Sources : [vous/partenaires/tiers].

<h2>Pourquoi et sur quelle base légale ?</h2>
Finalités/bases :
- Fourniture du service (contrat art. 6.1.b) : [détails].
- Amélioration & sécurité (intérêt légitime art. 6.1.f) : [détails, test de balance disponible sur demande].
- Marketing & cookies non essentiels (consentement art. 6.1.a) : [détails, retrait à tout moment].
- Obligations légales (art. 6.1.c) : [détails].

<h2>Avec qui partageons-nous vos données ?</h2>
Sous-traitants : [liste/familles], encadrés par art. 28 RGPD. Destinataires légaux : [si requis].

<h2>Transferts hors UE/EEE</h2>
Mécanismes : [adéquation/CCT], mesures complémentaires, évaluation des lois locales.

<h2>Combien de temps conservons-nous vos données ?</h2>
Par finalité : [tableau synthétique]. Au terme, suppression ou anonymisation.

<h2>Vos droits</h2>
Accès, rectification, effacement, limitation, opposition, portabilité. Exercer vos droits : [email/formulaire].
Délai : 1 mois. Réclamation : CNIL (www.cnil.fr).

<h2>Sécurité</h2>
Mesures techniques/organisationnelles : [chiffrement, contrôle d’accès, tests].

<h2>Cookies</h2>
Voir notre politique cookies : [lien]. Paramétrage via le Centre de préférences.

<h2>Mineurs</h2>
[Conditions spécifiques d’âge/consentement si applicable].

<h2>Mises à jour</h2>
Version : [date]. Nous vous informerons de tout changement matériel.

Erreurs fréquentes à éviter

• Copier-coller générique sans refléter vos traitements réels.
• Oublier les transferts hors UE de vos outils (support, logs, analytics).
• Confondre intérêt légitime et absence de consentement pour des traceurs marketing.
• Publier sans procédures internes (droits, purge, violations) ni registre (art. 30).

Intégrer la confidentialité dans vos documents et vos ops

Harmonisez votre politique avec vos CGU/CGV et vos contrats B2B (clauses de sous-traitance, sécurité, réversibilité). Nos guides sur les différences entre CGU et CGV et sur les clauses clés d’un SaaS détaillent les articulations. Côté organisation, une approche legal ops vous aide à documenter le registre, automatiser les purges et piloter les risques. Enfin, si vous exploitez de l’IA, cadrez vos jeux de données et vos bases légales en vous appuyant sur notre article RGPD et IA.

FAQ (rapide)

La politique de confidentialité suffit-elle pour les cookies ?
Non. Les traceurs non essentiels requièrent un mécanisme de consentement conforme (bannière + centre de préférences) et une politique cookies dédiée (CNIL).

Faut-il un registre RGPD si nous sommes 10 ?
Oui, recommandé. L’exemption < 250 salariés est très limitée ; tenez un registre pour vos traitements récurrents (CNIL).

Quel délai pour répondre à une demande d’accès ?
1 mois (prolongeable de 2 mois selon complexité), avec justification et information de la personne (art. 12 RGPD via EUR-Lex).

Pouvons-nous fonder toute l’analytics produit sur l’intérêt légitime ?
Partiellement si strictement nécessaire, respectueuse et sans traceurs non essentiels. Les cookies/SDK marketing exigent un consentement préalable (CNIL/EDPB).

Devons-nous notifier toute violation à la CNIL ?
Oui si elle entraîne un risque pour les personnes et sous 72 h ; si risque élevé, informer aussi les personnes (art. 33-34 RGPD ; CNIL).