Générateur de politique de confidentialité

Cochez les outils installés sur votre site. On injecte les cookies qu'ils déposent vraiment, leur durée, leur éditeur et la base légale qui va avec. Le document se remplit sous vos yeux.

  • Gratuit, sans compte et sans email
  • Rien ne part sur nos serveurs : tout est calculé dans votre navigateur
  • Écrit pour le droit français : CNIL, LCEN, loi Informatique et Libertés

Dernière mise à jour : 16 juillet 2026 · Durées des cookies relevées dans la documentation de chaque éditeur

1. Qui êtes-vous ?

2. C'est quoi, votre site ?

3. Qu'est-ce qui tourne sur votre site ?

C'est ici que ça se joue. Chaque case cochée ajoute au document les cookies réels de l'outil, leur durée, l'entité qui les reçoit et la base légale applicable.

4. Trois cas particuliers

Aperçu en direct

Remplissez le formulaire : le document apparaît ici, ligne par ligne.

Aucun email demandé. Aucune donnée envoyée. Vous pouvez couper votre connexion, ça marche quand même.

En résumé : une politique de confidentialité est obligatoire dès que votre site collecte une donnée personnelle, formulaire de contact compris (articles 13 et 14 du RGPD). Elle doit nommer chaque outil qui reçoit des données, sa base légale et la durée de conservation. Un modèle copié chez un concurrent est faux par construction : il décrit les cookies de son site, pas les vôtres.

Pourquoi on a construit l'outil à l'envers des autres

Les générateurs de politique de confidentialité vous demandent de décrire vos traitements. « Quels cookies déposez-vous ? Quelle est leur durée ? Quelle base légale ? » Personne ne sait répondre à ça. C'est précisément la question à laquelle on cherchait une réponse en arrivant.

Un auto-entrepreneur qui a installé WordPress, collé un script Google Analytics trouvé sur un tuto, branché Stripe et ajouté une bulle de chat ne sait pas qu'il dépose une douzaine de traceurs, dont trois qui partent aux États-Unis. Il n'est pas négligent. L'information est éparpillée dans quatre documentations en anglais.

Alors on a retourné le formulaire. Vous ne décrivez pas vos cookies : vous cochez vos outils. Le reste, on le sait déjà. La liste ci-dessous est la base de connaissance qui alimente le générateur — elle est publique, avec la source de chaque ligne, que vous utilisiez notre outil ou pas.

Quels cookies dépose chaque outil

Chaque durée est la valeur par défaut documentée par l'éditeur, relevée en juillet 2026. Vos vrais cookies peuvent différer si un plugin de consentement ou un proxy les modifie — la section vérifier soi-même explique comment lire les vôtres en trente secondes.

Google Analytics 4

Consentement requis Mesure d'audience

Cookies déposés par Google Analytics 4
Nom du traceurÀ quoi il sertDurée
_ga Identifiant unique attribué à votre navigateur 2 ans (valeur par défaut de gtag.js)
_ga_<ID_DE_MESURE> État de la session GA4 en cours 2 ans
  • Qui reçoit les données : Google Ireland Limited (Dublin), avec traitement par Google LLC (États-Unis)
  • Base légale : Consentement (article 6.1.a du RGPD)
  • Transfert hors UE : États-Unis. Google LLC figure sur la liste du EU-US Data Privacy Framework.

GA4 posé tel quel envoie l'adresse IP et l'identifiant client aux serveurs Google. La CNIL demande de plafonner la durée de vie des cookies de mesure à 13 mois : dans GA4, c'est Admin > Conservation des données, pas une case dans le bandeau cookies.

Source : Google — Utilisation des cookies par Analytics

Google Ads

Consentement requis Publicité

Cookies déposés par Google Ads
Nom du traceurÀ quoi il sertDurée
_gcl_au Attribution des conversions (Conversion Linker) 90 jours
IDE (doubleclick.net) Ciblage publicitaire et mesure de performance 13 mois dans l'UE
test_cookie (doubleclick.net) Vérifie que le navigateur accepte les cookies 15 minutes
  • Qui reçoit les données : Google Ireland Limited (Dublin), avec traitement par Google LLC (États-Unis)
  • Base légale : Consentement (article 6.1.a du RGPD)
  • Transfert hors UE : États-Unis. Google LLC figure sur la liste du EU-US Data Privacy Framework.

Depuis mars 2024, le remarketing et les audiences Google Ads dans l'EEE exigent le Consent Mode v2 : sans les signaux ad_user_data et ad_personalization, vos conversions remontent en partie modélisées.

Source : Google — Cookies publicitaires

Meta Pixel (Facebook / Instagram)

Consentement requis Publicité

Cookies déposés par Meta Pixel (Facebook / Instagram)
Nom du traceurÀ quoi il sertDurée
_fbp Identifie le navigateur pour l'attribution publicitaire 90 jours
fr (facebook.com) Ciblage publicitaire, déposé si le visiteur est connecté à Facebook 90 jours
  • Qui reçoit les données : Meta Platforms Ireland Limited (Dublin)
  • Base légale : Consentement (article 6.1.a du RGPD)
  • Transfert hors UE : États-Unis. Meta Platforms Inc. figure sur la liste du EU-US Data Privacy Framework.

Le Pixel se déclenche aussi sur des pages sans achat. Si vous suivez un événement « Lead » sur un formulaire de devis, vous transmettez à Meta le fait que cette personne a demandé un devis : ça se déclare dans la politique, pas seulement dans le bandeau.

Source : Meta — Politique d'utilisation des cookies

Stripe

Exempté de consentement Paiement

Cookies déposés par Stripe
Nom du traceurÀ quoi il sertDurée
__stripe_mid Identifiant machine, prévention de la fraude 1 an
__stripe_sid Identifiant de session, prévention de la fraude 30 minutes
  • Qui reçoit les données : Stripe Payments Europe Limited (Dublin), avec traitement par Stripe Inc. (États-Unis)
  • Base légale : Exécution du contrat, article 6.1.b (paiement) et intérêt légitime, article 6.1.f (lutte contre la fraude)
  • Transfert hors UE : États-Unis. Stripe Inc. figure sur la liste du EU-US Data Privacy Framework.

Piège classique : Stripe.js chargé dans le <head> de tout le site dépose __stripe_mid sur la page d'accueil, alors que personne n'achète. Exempté de consentement au checkout, difficile à justifier sur un article de blog. Chargez le script uniquement sur la page de paiement.

Source : Stripe — Cookies Policy

Hotjar

Consentement requis Mesure d'audience

Cookies déposés par Hotjar
Nom du traceurÀ quoi il sertDurée
_hjSessionUser_<ID_SITE> Identifiant du visiteur, persiste entre les sessions 365 jours
_hjSession_<ID_SITE> Données de la session en cours 30 minutes
  • Qui reçoit les données : Hotjar Limited (Malte), groupe Contentsquare
  • Base légale : Consentement (article 6.1.a du RGPD)
  • Transfert hors UE : Traitement dans l'Union européenne (hébergement en Irlande).

Hotjar filme l'écran. Si un visiteur tape son nom dans un formulaire, l'enregistrement contient une donnée personnelle : il faut activer la suppression des saisies clavier et le dire dans la politique. C'est l'outil le plus souvent oublié dans les politiques qu'on lit.

Source : Hotjar — Cookies set by the Hotjar script

Brevo (ex-Sendinblue)

Consentement requis Emailing

Cookies déposés par Brevo (ex-Sendinblue)
Nom du traceurÀ quoi il sertDurée
sib_cuid Identifiant visiteur du tracker Brevo, rattache la visite à un contact 6 mois
  • Qui reçoit les données : Brevo SAS (Paris, France)
  • Base légale : Consentement pour la prospection et le tracker (article 6.1.a du RGPD)
  • Transfert hors UE : Traitement dans l'Union européenne.

Deux choses distinctes : la liste de diffusion (base légale consentement, à déclarer avec sa durée) et le script tracker posé sur le site (traceur, donc bandeau). Beaucoup de sites déclarent la première et oublient le second.

Source : Brevo — Politique de confidentialité

Crisp (chat en direct)

Exempté de consentement Support client

Cookies déposés par Crisp (chat en direct)
Nom du traceurÀ quoi il sertDurée
crisp-client/* (localStorage) Identifiant de session du chat et historique des messages Jusqu'à effacement par le visiteur
  • Qui reçoit les données : Crisp IM SARL (Nantes, France)
  • Base légale : Intérêt légitime, article 6.1.f (répondre à une demande entrante)
  • Transfert hors UE : Traitement dans l'Union européenne.

Crisp ne pose quasiment pas de cookies : il écrit dans le localStorage. Ça ne le sort pas du jeu. L'article 82 de la loi Informatique et Libertés vise toute inscription d'informations dans le terminal, pas le mot « cookie ». Un tableau de cookies qui ignore le localStorage est incomplet.

Source : Crisp — Privacy

Vidéo YouTube intégrée

Consentement requis Contenu tiers

Cookies déposés par Vidéo YouTube intégrée
Nom du traceurÀ quoi il sertDurée
VISITOR_INFO1_LIVE (youtube.com) Mesure de la bande passante et préférences du lecteur 6 mois
YSC (youtube.com) Statistiques des vidéos vues pendant la session Session
  • Qui reçoit les données : Google Ireland Limited (Dublin), avec traitement par Google LLC (États-Unis)
  • Base légale : Consentement (article 6.1.a du RGPD)
  • Transfert hors UE : États-Unis. Google LLC figure sur la liste du EU-US Data Privacy Framework.

Un simple <iframe> YouTube dans une page « À propos » suffit à déposer des traceurs Google avant tout clic. Le mode youtube-nocookie.com repousse le dépôt jusqu'à la lecture, mais ne l'annule pas : il faut toujours bloquer l'iframe tant que le consentement n'est pas donné.

Source : Google — Types de cookies utilisés

Matomo (auto-hébergé)

Exempté de consentement Mesure d'audience

Cookies déposés par Matomo (auto-hébergé)
Nom du traceurÀ quoi il sertDurée
_pk_id.* Identifiant du visiteur 13 mois
_pk_ses.* Session de visite en cours 30 minutes
  • Qui reçoit les données : Vous-même, si Matomo tourne sur votre serveur
  • Base légale : Intérêt légitime, article 6.1.f, si la configuration d'exemption CNIL est respectée
  • Transfert hors UE : Aucun, si le serveur est en France ou dans l'UE.

C'est le seul outil de cette liste qui peut légalement se passer du bandeau, à conditions strictes : anonymisation de l'IP, pas de croisement entre sites, pas de suivi global du parcours, durée limitée à 13 mois. Matomo Cloud (serveurs Matomo) sort de l'exemption si les données quittent votre périmètre.

Source : CNIL — Exemption de consentement pour la mesure d'audience

WordPress

Exempté de consentement Technique

Cookies déposés par WordPress
Nom du traceurÀ quoi il sertDurée
wordpress_logged_in_* Maintient la session d'un utilisateur connecté Session (ou 14 jours avec « Se souvenir de moi »)
wp-settings-* Préférences d'affichage de l'administration 1 an
comment_author_* Pré-remplit le formulaire de commentaire (nom, email, site) Environ 1 an
  • Qui reçoit les données : Vous-même (cookies déposés par votre propre serveur)
  • Base légale : Nécessaire au service demandé — exempté de consentement (article 82 de la loi Informatique et Libertés)
  • Transfert hors UE : Aucun, si votre hébergement est dans l'UE.

Ces cookies-là ne demandent pas de consentement, mais ils doivent quand même figurer dans votre inventaire. Attention à comment_author_* : il mémorise le nom et l'email d'un commentateur pendant près d'un an, ce qui est une donnée personnelle, pas juste un réglage.

Source : WordPress — Cookies

WooCommerce

Exempté de consentement Technique

Cookies déposés par WooCommerce
Nom du traceurÀ quoi il sertDurée
woocommerce_cart_hash Détecte les changements du panier Session
woocommerce_items_in_cart Indique si le panier contient des articles Session
wp_woocommerce_session_* Rattache le visiteur à son panier côté serveur 2 jours
  • Qui reçoit les données : Vous-même (cookies déposés par votre propre serveur)
  • Base légale : Nécessaire au service demandé — exempté de consentement (article 82 de la loi Informatique et Libertés)
  • Transfert hors UE : Aucun, si votre hébergement est dans l'UE.

Le panier est exempté. En revanche, l'extension de suivi analytique fournie avec le thème, elle, ne l'est pas : regardez ce que vos plugins ajoutent avant de recopier une liste toute faite.

Source : WooCommerce — Cookies

Le partage est net : 6 de ces 11 outils exigent un consentement préalable, 5 en sont exemptés parce qu'ils sont nécessaires au service demandé. La ligne de partage n'est pas « interne ou tiers », c'est l'article 82 de la loi Informatique et Libertés : un traceur est exempté seulement s'il sert strictement à fournir ce que l'internaute a demandé. Un panier, oui. Une heatmap, non.

Vérifier vos vrais cookies en trente secondes

Ne nous croyez pas sur parole, et ne croyez surtout pas le modèle que vous auriez copié ailleurs. Regardez.

  1. Ouvrez votre site dans Chrome ou Firefox, en navigation privée pour partir propre.
  2. Appuyez sur F12, onglet Application (Chrome) ou Stockage (Firefox).
  3. Dépliez Cookies dans la colonne de gauche, puis cliquez sur le nom de votre domaine.
  4. Vous voyez la liste réelle : nom, domaine émetteur, date d'expiration. Regardez aussi Local Storage juste en dessous — c'est là que se cachent Crisp et pas mal de chats.

Faites le test deux fois : une fois avant de toucher au bandeau cookies, une fois après avoir accepté. Si des traceurs de mesure ou de pub apparaissent dès le premier chargement, avant tout clic, votre bandeau est décoratif et votre politique décrit une situation qui n'existe pas. C'est le manquement le plus courant, et le plus facile à constater depuis l'extérieur — y compris par un agent de la CNIL, qui n'a pas besoin de vous prévenir pour ouvrir votre page d'accueil.

Les mentions que la loi impose, et où elles atterrissent

Les articles 13 et 14 du RGPD fixent la liste. La CNIL la reprend dans ses recommandations sur l'information des personnes. Voici le mapping complet avec le formulaire ci-dessus.

Mentions obligatoires du RGPD et champ correspondant du générateur
MentionArticleCe que la loi exigeD'où ça vient dans l'outil
Qui traite les données Art. 13.1.a Nom, statut et adresse de l'éditeur Champ « Votre nom ou raison sociale »
Le DPO, s'il y en a un Art. 13.1.b Coordonnées du délégué à la protection des données Case « J'ai désigné un DPO » (décochée par défaut : la plupart des TPE n'en ont pas)
Pourquoi vous collectez Art. 13.1.c Finalité de chaque traitement, séparément Déduit du type de site et des outils cochés
Sur quelle base légale Art. 13.1.c Consentement, contrat, obligation légale ou intérêt légitime Injecté par outil (Stripe = contrat, GA4 = consentement…)
Vos intérêts légitimes Art. 13.1.d À expliciter si vous invoquez l'intérêt légitime Rédigé pour le chat et la lutte anti-fraude
Qui reçoit les données Art. 13.1.e Sous-traitants et destinataires nommés Un par outil coché, avec l'entité juridique exacte
Les transferts hors UE Art. 13.1.f Pays et garanties encadrant le transfert Signalé automatiquement pour les outils américains
Combien de temps Art. 13.2.a Durée de conservation, ou le critère qui la détermine Durée par donnée et par cookie
Vos droits Art. 13.2.b et 13.2.c Accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement Section fixe, avec votre email de contact
Réclamation CNIL Art. 13.2.d Droit de saisir l'autorité de contrôle Section fixe, avec le lien vers cnil.fr
Obligatoire ou facultatif Art. 13.2.e Ce qui arrive si la personne ne répond pas Distingue les champs requis des champs libres du formulaire
Décision automatisée Art. 13.2.f Profilage ou décision automatisée, le cas échéant Case « Je fais du scoring ou du profilage automatisé »

Deux d'entre elles ne sont pas cochées par défaut, et c'est volontaire. Le DPO n'est obligatoire que dans trois cas (article 37 du RGPD) : organisme public, suivi à grande échelle et systématique, ou traitement à grande échelle de données sensibles. Un photographe avec 400 contacts dans Brevo n'est dans aucun des trois. Quant au profilage, poser un cookie publicitaire n'en est pas ; refuser automatiquement un client selon un score, oui.

Politique de confidentialité, mentions légales, CGU, cookies : qui fait quoi

Ces quatre documents sont régulièrement confondus, y compris par des prestataires qui les facturent. Ils ne relèvent ni du même texte, ni de la même sanction.

Les quatre documents légaux d'un site, comparés
DocumentQui doit l'avoirTexte applicableSanction encourue
Mentions légales Tout site accessible au public, même un portfolio sans un euro de chiffre d'affaires Article 6 de la LCEN 75 000 € et 1 an de prison pour une personne physique ; 375 000 € pour une société
Politique de confidentialité Tout site qui collecte une donnée personnelle, formulaire de contact inclus Articles 12 à 14 du RGPD Jusqu'à 20 M€ ou 4 % du CA mondial (article 83)
Politique de cookies Tout site qui dépose un traceur non exempté Article 82 de la loi Informatique et Libertés Même plafond RGPD ; c'est le motif de sanction n°1 de la CNIL
CGV / CGU CGV dès que vous vendez à un consommateur ; CGU si vous avez des comptes utilisateurs Article L.111-1 du Code de la consommation Amende administrative jusqu'à 15 000 € pour une personne physique (L.131-1)

Le piège le plus fréquent : une page unique intitulée « Mentions légales » qui mélange l'identité de l'éditeur et deux lignes sur les cookies. Ça ne satisfait ni la LCEN ni le RGPD. Nos générateurs produisent les mentions légales conformes à la LCEN et les CGV adaptées à ce que vous vendez séparément, comme il faut.

Ce qui change vraiment selon votre type de site

Les clauses ne diffèrent pas pour faire joli. Voilà ce que le générateur ajoute ou retire selon le bouton coché à l'étape 2.

Site vitrine

Le cas le plus simple, et le plus mal traité. Un formulaire de contact suffit à déclencher l'obligation : vous collectez un nom, un email, un message. Base légale : intérêt légitime, pas consentement — répondre à quelqu'un qui vous écrit ne nécessite pas sa permission. Le point à ne pas rater est la durée : la CNIL considère qu'un prospect qui n'a pas donné suite se conserve 3 ans à compter du dernier contact. Après, on supprime. Presque personne ne le fait.

Boutique en ligne

Deux durées légales s'imposent à vous et écrasent tout le reste. Les factures se conservent 10 ans (article L.123-22 du Code de commerce), et ce n'est pas négociable, même si le client demande l'effacement : c'est une obligation légale au sens de l'article 6.1.c du RGPD. Les données du compte client, elles, suivent la relation commerciale, généralement 3 ans après le dernier achat. La politique doit expliquer cette différence, sinon vous vous retrouvez à devoir refuser une demande d'effacement sans pouvoir la justifier.

SaaS ou espace client

La base légale bascule en exécution du contrat (article 6.1.b) pour tout ce qui fait fonctionner le compte. Deux ajouts obligatoires : la portabilité (article 20), qui vous oblige à pouvoir exporter les données d'un utilisateur dans un format lisible par machine, et la liste de vos sous-traitants d'hébergement — un serveur chez un hébergeur américain est un transfert, même si la machine est physiquement à Francfort, dès lors que la maison mère peut y accéder.

Blog

Le module de commentaires est le traitement oublié. WordPress mémorise nom, email et site du commentateur dans comment_author_* pendant près d'un an, et l'avatar Gravatar transmet un hash de l'email à Automattic à chaque affichage de page. Deux traitements à déclarer, zéro ligne dans 90 % des politiques de blogs.

Application mobile

Les cookies disparaissent, les identifiants publicitaires arrivent : IDFA sur iOS, AAID sur Android. Le principe reste identique — consentement préalable — mais le support change, et Apple comme Google exigent en plus une déclaration de confidentialité dans la fiche du store, qui doit dire la même chose que votre politique. Une divergence entre les deux est un motif de rejet à la revue.

Les trois sujets de 2026 que les modèles gratuits ignorent

Vos données partent-elles aux États-Unis ?

Si vous utilisez GA4, le Pixel Meta ou une vidéo YouTube : oui. L'arrêt Schrems II de la Cour de justice de l'UE (affaire C-311/18, 16 juillet 2020) a annulé le Privacy Shield et rendu ces transferts illicites en l'état. Depuis, la Commission européenne a adopté le EU-US Data Privacy Framework le 10 juillet 2023 : les transferts vers une entreprise américaine certifiée au DPF sont de nouveau couverts par une décision d'adéquation. Le Tribunal de l'Union a rejeté le recours Latombe contre ce cadre en septembre 2025, donc il tient.

Ce que ça implique concrètement : vérifiez que votre prestataire est bien sur la liste, sur dataprivacyframework.gov, et citez le DPF comme garantie dans votre politique. Écrire « nous pouvons transférer vos données hors UE » sans nommer le pays ni la garantie ne remplit pas l'article 13.1.f. Notre générateur nomme les deux.

Google Consent Mode v2

Depuis mars 2024, Google impose le Consent Mode v2 aux annonceurs de l'EEE qui utilisent le remarketing ou les audiences. Deux signaux nouveaux s'ajoutent aux anciens : ad_user_data et ad_personalization. Sans eux, vos listes d'audience se vident et vos conversions remontent partiellement modélisées. Attention au malentendu : le Consent Mode est une exigence de Google, pas de la CNIL. L'installer ne vous rend pas conforme, et ne dispense ni du bandeau ni de la déclaration dans votre politique. Ça ne fait que transmettre à Google le choix de l'utilisateur.

Chatbot et IA : ce qui s'applique depuis le 2 août 2026

Le règlement européen sur l'IA (règlement UE 2024/1689) rend applicables ses obligations de transparence le 2 août 2026. Son article 50 impose d'informer une personne qu'elle interagit avec un système d'IA, sauf si c'est évident. Un chatbot de support qui répond sous un prénom humain tombe dedans. Si vous cochez la case « chatbot IA », le générateur ajoute la mention correspondante — plus la question du sort des conversations, qui sont des données personnelles dès qu'un visiteur y écrit son email.

Sur le DSA (règlement UE 2022/2065), soyons honnêtes : il vise l'hébergement de contenus de tiers. Si votre site n'a ni commentaires, ni avis, ni annonces publiées par des utilisateurs, il ne vous concerne pas et vous n'avez rien à ajouter. Les prestataires qui vous vendent une « mise en conformité DSA » pour un site vitrine vous vendent du vide.

Qu'est-ce qu'on risque, concrètement

Les plafonds d'abord, parce qu'ils sont réels : 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu (article 83.5 du RGPD). Pour l'absence de mentions légales, la LCEN prévoit 75 000 € d'amende et un an d'emprisonnement pour une personne physique.

Maintenant, la réalité. Un auto-entrepreneur ne prend pas 20 M€. Ces plafonds sont calibrés pour les grandes plateformes, et les sanctions publiées qui font les gros titres concernent Google, Amazon ou Criteo. Pour une TPE, le scénario habituel est différent : une plainte d'un visiteur ou d'un ancien client déclenche un contrôle, la CNIL envoie une mise en demeure avec un délai, et l'affaire s'arrête là si vous vous mettez en conformité. Depuis 2022, elle dispose en plus d'une procédure simplifiée pour les dossiers de faible complexité, plafonnée à 20 000 € et sans publicité de la décision.

Le vrai coût pour un petit site, ce n'est donc pas l'amende. C'est le temps : reconstituer ce que vous collectez, retrouver vos sous-traitants, répondre dans le mois à une demande d'accès. Une politique juste, écrite une fois, vous fait gagner ce temps-là. C'est le seul argument honnête qu'on ait pour vous convaincre de la faire.

Un exemple complet, en clair

Pour rendre les choses concrètes, voici ce que produit le générateur pour un cas réel et banal : Lina Ferrand, photographe de mariage auto-entrepreneure à Bordeaux. Son site tourne sous WordPress, avec Google Analytics 4, un formulaire de contact relié à Brevo et une galerie privée. Pas de vente en ligne.

Politique de confidentialité — studio-lina.fr

Dernière mise à jour : 16 juillet 2026

1. Qui traite vos données

Le responsable du traitement est Lina Ferrand, auto-entrepreneure, 12 rue des Remparts, 33000 Bordeaux. Pour toute question sur vos données : contact@studio-lina.fr. Aucun délégué à la protection des données n'a été désigné, l'activité n'entrant dans aucun des cas prévus à l'article 37 du RGPD.

2. Ce qui est collecté, pourquoi, et sur quelle base

DonnéesFinalitéBase légaleConservation
Nom, email, message, date du mariageRépondre à une demande de devisIntérêt légitime (art. 6.1.f)3 ans après le dernier contact
Email, prénomEnvoyer la lettre d'informationConsentement (art. 6.1.a)3 ans, ou jusqu'au désabonnement
Adresse IP, pages vues, source de visiteMesurer l'audience du siteConsentement (art. 6.1.a)13 mois

3. Qui reçoit ces données

  • Brevo SAS (Paris, France) — envoi des emails. Traitement dans l'Union européenne.
  • Google Ireland Limited, avec traitement par Google LLC (États-Unis) — mesure d'audience. Transfert encadré par le EU-US Data Privacy Framework, auquel Google LLC est certifié.
  • o2switch (Clermont-Ferrand, France) — hébergement du site.

4. Cookies et traceurs

TraceurDéposé parFinalitéDurée
_gaGoogle Analytics 4Identifiant unique de navigateur13 mois
_ga_XXXXXXXGoogle Analytics 4État de la session13 mois
sib_cuidBrevoRattache la visite à un contact6 mois
wordpress_logged_in_*WordPressSession d'administrationSession
comment_author_*WordPressPré-remplit le formulaire de commentaireEnviron 1 an

Les deux derniers sont nécessaires au fonctionnement du site et exemptés de consentement (article 82 de la loi Informatique et Libertés). Les trois premiers ne sont déposés qu'après acceptation via le bandeau.

5. Vos droits

Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, ainsi que du droit de retirer votre consentement à tout moment. Écrivez à contact@studio-lina.fr : la réponse intervient dans un délai d'un mois. En cas de désaccord, vous pouvez saisir la CNIL, 3 place de Fontenoy, 75007 Paris, ou sur cnil.fr/fr/plaintes.

Notez ce qui n'y est pas : pas de clause sur la livraison, pas de durée de 10 ans, pas de portabilité mise en avant. Lina ne vend rien en ligne. Une politique copiée sur un site e-commerce lui aurait fait promettre des choses qu'elle ne fait pas — et une politique qui décrit des traitements inexistants est fausse, donc non conforme. C'est exactement le problème du copier-coller.

Questions fréquentes

Puis-je copier la politique de confidentialité d'un autre site ?

Non, et pas pour une raison de droit d'auteur. Une politique décrit des traitements réels : les outils, les sous-traitants et les durées de l'autre site. En la copiant, vous publiez une description fausse de votre propre activité, ce qui est précisément le manquement à l'obligation d'information de l'article 13. Une politique copiée est un document faux, pas un document imparfait.

Ma politique doit-elle exister si je n'ai qu'un formulaire de contact ?

Oui. Un formulaire de contact collecte un nom, un email et un message : ce sont des données personnelles, le RGPD s'applique intégralement. Le document sera court — un responsable, une finalité, une base légale, une durée, les droits — mais il est obligatoire. C'est le cas d'usage le plus fréquent de notre générateur.

Dois-je nommer un DPO ?

Presque certainement non. L'article 37 du RGPD ne l'impose que dans trois cas : autorité ou organisme public, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles (santé, opinions, biométrie). Une TPE avec une newsletter et Google Analytics n'est dans aucun des trois. Vous pouvez en désigner un volontairement, mais alors ses coordonnées doivent figurer dans la politique et être communiquées à la CNIL.

Google Analytics est-il légal en France ?

Oui aujourd'hui, sous conditions. En 2022, la CNIL avait mis en demeure plusieurs sites français utilisant Universal Analytics, faute de cadre valable pour les transferts vers les États-Unis. L'adoption du EU-US Data Privacy Framework en juillet 2023 a changé la donne : Google LLC y est certifié, ce qui couvre le transfert. Il reste à recueillir le consentement avant tout dépôt, à plafonner la conservation à 13 mois et à déclarer le transfert dans votre politique. Si ça vous agace, Matomo auto-hébergé et bien configuré vous dispense même du bandeau.

Faut-il mettre à jour la politique, et à quelle fréquence ?

Pas à une fréquence fixe : à chaque changement réel. Vous ajoutez un chat, vous branchez un pixel, vous changez d'emailing, vous ouvrez une boutique — la politique bouge. Changer la date sans changer le contenu n'a aucune valeur. En pratique, relisez-la quand vous touchez au site, et sinon une fois par an.

Le bandeau cookies suffit-il, ou faut-il les deux ?

Les deux, et ils répondent à des textes différents. Le bandeau recueille le consentement au moment du dépôt (article 82 de la loi Informatique et Libertés). La politique informe, en amont et de façon permanente (article 13 du RGPD). Un bandeau sans politique laisse l'internaute consentir à l'aveugle. Et le refus doit être aussi simple que l'acceptation : un bouton « Tout accepter » sans bouton « Tout refuser » au même niveau est le motif de sanction le plus fréquent de la CNIL en matière de cookies.

Combien de temps ai-je pour répondre à une demande d'accès ?

Un mois à compter de la réception, prolongeable de deux mois si la demande est complexe, à condition d'en informer la personne dans le premier mois (article 12.3 du RGPD). Le silence est le pire des scénarios : c'est ce qui transforme un client mécontent en plainte CNIL. Prévoyez une adresse email que vous relevez vraiment.

Où dois-je publier la politique sur mon site ?

Accessible depuis toutes les pages, en pratique un lien dans le pied de page, sur une URL stable du type /politique-de-confidentialite. Il faut aussi un lien direct à côté de chaque formulaire qui collecte des données, et depuis le bandeau cookies. Un document accessible uniquement via le moteur de recherche interne ne remplit pas l'obligation.

Le générateur est-il vraiment gratuit, et où est le piège ?

Le document produit ici est gratuit, complet et sans email à laisser. Il n'y a pas de version tronquée. Ce qu'on vend, c'est le pack Pro à 14,90 € pour les cinq documents cohérents entre eux (mentions légales, CGV, CGU, confidentialité, cookies) sauvegardés dans un compte, modifiables plus tard. Si vous n'avez besoin que de la politique de confidentialité, prenez-la et partez, c'est très bien comme ça.

Un générateur remplace-t-il un avocat ?

Non, et personne de sérieux ne prétendra le contraire. Il couvre le cas standard d'un site français de TPE : formulaire, newsletter, analytics, paiement, chat. Dès que vous traitez des données de santé, faites du profilage à grande échelle, ciblez des mineurs ou opérez une marketplace avec des vendeurs tiers, voyez un juriste. Pour les 90 % restants, un document exact généré en cinq minutes vaut infiniment mieux qu'un modèle copié qui décrit le site de quelqu'un d'autre.

Besoin des cinq documents d'un coup ?

Mentions légales, CGV, CGU, politique de confidentialité et politique de cookies, cohérents entre eux et enregistrés dans votre compte. Pack Pro à 14,90 € TTC, paiement unique, sans abonnement.

Ouvrir le générateur complet