Générateur de politique de confidentialité
Cochez les outils installés sur votre site. On injecte les cookies qu'ils déposent vraiment, leur durée, leur éditeur et la base légale qui va avec. Le document se remplit sous vos yeux.
- Gratuit, sans compte et sans email
- Rien ne part sur nos serveurs : tout est calculé dans votre navigateur
- Écrit pour le droit français : CNIL, LCEN, loi Informatique et Libertés
Dernière mise à jour : 16 juillet 2026 · Durées des cookies relevées dans la documentation de chaque éditeur
1. Qui êtes-vous ?
2. C'est quoi, votre site ?
3. Qu'est-ce qui tourne sur votre site ?
C'est ici que ça se joue. Chaque case cochée ajoute au document les cookies réels de l'outil, leur durée, l'entité qui les reçoit et la base légale applicable.
4. Trois cas particuliers
Remplissez le formulaire : le document apparaît ici, ligne par ligne.
Aucun email demandé. Aucune donnée envoyée. Vous pouvez couper votre connexion, ça marche quand même.
En résumé : une politique de confidentialité est obligatoire dès que votre site collecte une donnée personnelle, formulaire de contact compris (articles 13 et 14 du RGPD). Elle doit nommer chaque outil qui reçoit des données, sa base légale et la durée de conservation. Un modèle copié chez un concurrent est faux par construction : il décrit les cookies de son site, pas les vôtres.
Pourquoi on a construit l'outil à l'envers des autres
Les générateurs de politique de confidentialité vous demandent de décrire vos traitements. « Quels cookies déposez-vous ? Quelle est leur durée ? Quelle base légale ? » Personne ne sait répondre à ça. C'est précisément la question à laquelle on cherchait une réponse en arrivant.
Un auto-entrepreneur qui a installé WordPress, collé un script Google Analytics trouvé sur un tuto, branché Stripe et ajouté une bulle de chat ne sait pas qu'il dépose une douzaine de traceurs, dont trois qui partent aux États-Unis. Il n'est pas négligent. L'information est éparpillée dans quatre documentations en anglais.
Alors on a retourné le formulaire. Vous ne décrivez pas vos cookies : vous cochez vos outils. Le reste, on le sait déjà. La liste ci-dessous est la base de connaissance qui alimente le générateur — elle est publique, avec la source de chaque ligne, que vous utilisiez notre outil ou pas.
Quels cookies dépose chaque outil
Chaque durée est la valeur par défaut documentée par l'éditeur, relevée en juillet 2026. Vos vrais cookies peuvent différer si un plugin de consentement ou un proxy les modifie — la section vérifier soi-même explique comment lire les vôtres en trente secondes.
Google Analytics 4
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
_ga |
Identifiant unique attribué à votre navigateur | 2 ans (valeur par défaut de gtag.js) |
_ga_<ID_DE_MESURE> |
État de la session GA4 en cours | 2 ans |
- Qui reçoit les données : Google Ireland Limited (Dublin), avec traitement par Google LLC (États-Unis)
- Base légale : Consentement (article 6.1.a du RGPD)
- Transfert hors UE : États-Unis. Google LLC figure sur la liste du EU-US Data Privacy Framework.
GA4 posé tel quel envoie l'adresse IP et l'identifiant client aux serveurs Google. La CNIL demande de plafonner la durée de vie des cookies de mesure à 13 mois : dans GA4, c'est Admin > Conservation des données, pas une case dans le bandeau cookies.
Google Ads
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
_gcl_au |
Attribution des conversions (Conversion Linker) | 90 jours |
IDE (doubleclick.net) |
Ciblage publicitaire et mesure de performance | 13 mois dans l'UE |
test_cookie (doubleclick.net) |
Vérifie que le navigateur accepte les cookies | 15 minutes |
- Qui reçoit les données : Google Ireland Limited (Dublin), avec traitement par Google LLC (États-Unis)
- Base légale : Consentement (article 6.1.a du RGPD)
- Transfert hors UE : États-Unis. Google LLC figure sur la liste du EU-US Data Privacy Framework.
Depuis mars 2024, le remarketing et les audiences Google Ads dans l'EEE exigent le Consent Mode v2 : sans les signaux ad_user_data et ad_personalization, vos conversions remontent en partie modélisées.
Source : Google — Cookies publicitaires
Meta Pixel (Facebook / Instagram)
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
_fbp |
Identifie le navigateur pour l'attribution publicitaire | 90 jours |
fr (facebook.com) |
Ciblage publicitaire, déposé si le visiteur est connecté à Facebook | 90 jours |
- Qui reçoit les données : Meta Platforms Ireland Limited (Dublin)
- Base légale : Consentement (article 6.1.a du RGPD)
- Transfert hors UE : États-Unis. Meta Platforms Inc. figure sur la liste du EU-US Data Privacy Framework.
Le Pixel se déclenche aussi sur des pages sans achat. Si vous suivez un événement « Lead » sur un formulaire de devis, vous transmettez à Meta le fait que cette personne a demandé un devis : ça se déclare dans la politique, pas seulement dans le bandeau.
Stripe
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
__stripe_mid |
Identifiant machine, prévention de la fraude | 1 an |
__stripe_sid |
Identifiant de session, prévention de la fraude | 30 minutes |
- Qui reçoit les données : Stripe Payments Europe Limited (Dublin), avec traitement par Stripe Inc. (États-Unis)
- Base légale : Exécution du contrat, article 6.1.b (paiement) et intérêt légitime, article 6.1.f (lutte contre la fraude)
- Transfert hors UE : États-Unis. Stripe Inc. figure sur la liste du EU-US Data Privacy Framework.
Piège classique : Stripe.js chargé dans le <head> de tout le site dépose __stripe_mid sur la page d'accueil, alors que personne n'achète. Exempté de consentement au checkout, difficile à justifier sur un article de blog. Chargez le script uniquement sur la page de paiement.
Source : Stripe — Cookies Policy
Hotjar
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
_hjSessionUser_<ID_SITE> |
Identifiant du visiteur, persiste entre les sessions | 365 jours |
_hjSession_<ID_SITE> |
Données de la session en cours | 30 minutes |
- Qui reçoit les données : Hotjar Limited (Malte), groupe Contentsquare
- Base légale : Consentement (article 6.1.a du RGPD)
- Transfert hors UE : Traitement dans l'Union européenne (hébergement en Irlande).
Hotjar filme l'écran. Si un visiteur tape son nom dans un formulaire, l'enregistrement contient une donnée personnelle : il faut activer la suppression des saisies clavier et le dire dans la politique. C'est l'outil le plus souvent oublié dans les politiques qu'on lit.
Brevo (ex-Sendinblue)
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
sib_cuid |
Identifiant visiteur du tracker Brevo, rattache la visite à un contact | 6 mois |
- Qui reçoit les données : Brevo SAS (Paris, France)
- Base légale : Consentement pour la prospection et le tracker (article 6.1.a du RGPD)
- Transfert hors UE : Traitement dans l'Union européenne.
Deux choses distinctes : la liste de diffusion (base légale consentement, à déclarer avec sa durée) et le script tracker posé sur le site (traceur, donc bandeau). Beaucoup de sites déclarent la première et oublient le second.
Source : Brevo — Politique de confidentialité
Crisp (chat en direct)
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
crisp-client/* (localStorage) |
Identifiant de session du chat et historique des messages | Jusqu'à effacement par le visiteur |
- Qui reçoit les données : Crisp IM SARL (Nantes, France)
- Base légale : Intérêt légitime, article 6.1.f (répondre à une demande entrante)
- Transfert hors UE : Traitement dans l'Union européenne.
Crisp ne pose quasiment pas de cookies : il écrit dans le localStorage. Ça ne le sort pas du jeu. L'article 82 de la loi Informatique et Libertés vise toute inscription d'informations dans le terminal, pas le mot « cookie ». Un tableau de cookies qui ignore le localStorage est incomplet.
Source : Crisp — Privacy
Vidéo YouTube intégrée
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
VISITOR_INFO1_LIVE (youtube.com) |
Mesure de la bande passante et préférences du lecteur | 6 mois |
YSC (youtube.com) |
Statistiques des vidéos vues pendant la session | Session |
- Qui reçoit les données : Google Ireland Limited (Dublin), avec traitement par Google LLC (États-Unis)
- Base légale : Consentement (article 6.1.a du RGPD)
- Transfert hors UE : États-Unis. Google LLC figure sur la liste du EU-US Data Privacy Framework.
Un simple <iframe> YouTube dans une page « À propos » suffit à déposer des traceurs Google avant tout clic. Le mode youtube-nocookie.com repousse le dépôt jusqu'à la lecture, mais ne l'annule pas : il faut toujours bloquer l'iframe tant que le consentement n'est pas donné.
Source : Google — Types de cookies utilisés
Matomo (auto-hébergé)
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
_pk_id.* |
Identifiant du visiteur | 13 mois |
_pk_ses.* |
Session de visite en cours | 30 minutes |
- Qui reçoit les données : Vous-même, si Matomo tourne sur votre serveur
- Base légale : Intérêt légitime, article 6.1.f, si la configuration d'exemption CNIL est respectée
- Transfert hors UE : Aucun, si le serveur est en France ou dans l'UE.
C'est le seul outil de cette liste qui peut légalement se passer du bandeau, à conditions strictes : anonymisation de l'IP, pas de croisement entre sites, pas de suivi global du parcours, durée limitée à 13 mois. Matomo Cloud (serveurs Matomo) sort de l'exemption si les données quittent votre périmètre.
Source : CNIL — Exemption de consentement pour la mesure d'audience
WordPress
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
wordpress_logged_in_* |
Maintient la session d'un utilisateur connecté | Session (ou 14 jours avec « Se souvenir de moi ») |
wp-settings-* |
Préférences d'affichage de l'administration | 1 an |
comment_author_* |
Pré-remplit le formulaire de commentaire (nom, email, site) | Environ 1 an |
- Qui reçoit les données : Vous-même (cookies déposés par votre propre serveur)
- Base légale : Nécessaire au service demandé — exempté de consentement (article 82 de la loi Informatique et Libertés)
- Transfert hors UE : Aucun, si votre hébergement est dans l'UE.
Ces cookies-là ne demandent pas de consentement, mais ils doivent quand même figurer dans votre inventaire. Attention à comment_author_* : il mémorise le nom et l'email d'un commentateur pendant près d'un an, ce qui est une donnée personnelle, pas juste un réglage.
Source : WordPress — Cookies
WooCommerce
| Nom du traceur | À quoi il sert | Durée |
|---|---|---|
woocommerce_cart_hash |
Détecte les changements du panier | Session |
woocommerce_items_in_cart |
Indique si le panier contient des articles | Session |
wp_woocommerce_session_* |
Rattache le visiteur à son panier côté serveur | 2 jours |
- Qui reçoit les données : Vous-même (cookies déposés par votre propre serveur)
- Base légale : Nécessaire au service demandé — exempté de consentement (article 82 de la loi Informatique et Libertés)
- Transfert hors UE : Aucun, si votre hébergement est dans l'UE.
Le panier est exempté. En revanche, l'extension de suivi analytique fournie avec le thème, elle, ne l'est pas : regardez ce que vos plugins ajoutent avant de recopier une liste toute faite.
Source : WooCommerce — Cookies
Le partage est net : 6 de ces 11 outils exigent un consentement préalable, 5 en sont exemptés parce qu'ils sont nécessaires au service demandé. La ligne de partage n'est pas « interne ou tiers », c'est l'article 82 de la loi Informatique et Libertés : un traceur est exempté seulement s'il sert strictement à fournir ce que l'internaute a demandé. Un panier, oui. Une heatmap, non.
Vérifier vos vrais cookies en trente secondes
Ne nous croyez pas sur parole, et ne croyez surtout pas le modèle que vous auriez copié ailleurs. Regardez.
- Ouvrez votre site dans Chrome ou Firefox, en navigation privée pour partir propre.
- Appuyez sur F12, onglet Application (Chrome) ou Stockage (Firefox).
- Dépliez Cookies dans la colonne de gauche, puis cliquez sur le nom de votre domaine.
- Vous voyez la liste réelle : nom, domaine émetteur, date d'expiration. Regardez aussi Local Storage juste en dessous — c'est là que se cachent Crisp et pas mal de chats.
Faites le test deux fois : une fois avant de toucher au bandeau cookies, une fois après avoir accepté. Si des traceurs de mesure ou de pub apparaissent dès le premier chargement, avant tout clic, votre bandeau est décoratif et votre politique décrit une situation qui n'existe pas. C'est le manquement le plus courant, et le plus facile à constater depuis l'extérieur — y compris par un agent de la CNIL, qui n'a pas besoin de vous prévenir pour ouvrir votre page d'accueil.
Les mentions que la loi impose, et où elles atterrissent
Les articles 13 et 14 du RGPD fixent la liste. La CNIL la reprend dans ses recommandations sur l'information des personnes. Voici le mapping complet avec le formulaire ci-dessus.
| Mention | Article | Ce que la loi exige | D'où ça vient dans l'outil |
|---|---|---|---|
| Qui traite les données | Art. 13.1.a | Nom, statut et adresse de l'éditeur | Champ « Votre nom ou raison sociale » |
| Le DPO, s'il y en a un | Art. 13.1.b | Coordonnées du délégué à la protection des données | Case « J'ai désigné un DPO » (décochée par défaut : la plupart des TPE n'en ont pas) |
| Pourquoi vous collectez | Art. 13.1.c | Finalité de chaque traitement, séparément | Déduit du type de site et des outils cochés |
| Sur quelle base légale | Art. 13.1.c | Consentement, contrat, obligation légale ou intérêt légitime | Injecté par outil (Stripe = contrat, GA4 = consentement…) |
| Vos intérêts légitimes | Art. 13.1.d | À expliciter si vous invoquez l'intérêt légitime | Rédigé pour le chat et la lutte anti-fraude |
| Qui reçoit les données | Art. 13.1.e | Sous-traitants et destinataires nommés | Un par outil coché, avec l'entité juridique exacte |
| Les transferts hors UE | Art. 13.1.f | Pays et garanties encadrant le transfert | Signalé automatiquement pour les outils américains |
| Combien de temps | Art. 13.2.a | Durée de conservation, ou le critère qui la détermine | Durée par donnée et par cookie |
| Vos droits | Art. 13.2.b et 13.2.c | Accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement | Section fixe, avec votre email de contact |
| Réclamation CNIL | Art. 13.2.d | Droit de saisir l'autorité de contrôle | Section fixe, avec le lien vers cnil.fr |
| Obligatoire ou facultatif | Art. 13.2.e | Ce qui arrive si la personne ne répond pas | Distingue les champs requis des champs libres du formulaire |
| Décision automatisée | Art. 13.2.f | Profilage ou décision automatisée, le cas échéant | Case « Je fais du scoring ou du profilage automatisé » |
Deux d'entre elles ne sont pas cochées par défaut, et c'est volontaire. Le DPO n'est obligatoire que dans trois cas (article 37 du RGPD) : organisme public, suivi à grande échelle et systématique, ou traitement à grande échelle de données sensibles. Un photographe avec 400 contacts dans Brevo n'est dans aucun des trois. Quant au profilage, poser un cookie publicitaire n'en est pas ; refuser automatiquement un client selon un score, oui.
Politique de confidentialité, mentions légales, CGU, cookies : qui fait quoi
Ces quatre documents sont régulièrement confondus, y compris par des prestataires qui les facturent. Ils ne relèvent ni du même texte, ni de la même sanction.
| Document | Qui doit l'avoir | Texte applicable | Sanction encourue |
|---|---|---|---|
| Mentions légales | Tout site accessible au public, même un portfolio sans un euro de chiffre d'affaires | Article 6 de la LCEN | 75 000 € et 1 an de prison pour une personne physique ; 375 000 € pour une société |
| Politique de confidentialité | Tout site qui collecte une donnée personnelle, formulaire de contact inclus | Articles 12 à 14 du RGPD | Jusqu'à 20 M€ ou 4 % du CA mondial (article 83) |
| Politique de cookies | Tout site qui dépose un traceur non exempté | Article 82 de la loi Informatique et Libertés | Même plafond RGPD ; c'est le motif de sanction n°1 de la CNIL |
| CGV / CGU | CGV dès que vous vendez à un consommateur ; CGU si vous avez des comptes utilisateurs | Article L.111-1 du Code de la consommation | Amende administrative jusqu'à 15 000 € pour une personne physique (L.131-1) |
Le piège le plus fréquent : une page unique intitulée « Mentions légales » qui mélange l'identité de l'éditeur et deux lignes sur les cookies. Ça ne satisfait ni la LCEN ni le RGPD. Nos générateurs produisent les mentions légales conformes à la LCEN et les CGV adaptées à ce que vous vendez séparément, comme il faut.
Ce qui change vraiment selon votre type de site
Les clauses ne diffèrent pas pour faire joli. Voilà ce que le générateur ajoute ou retire selon le bouton coché à l'étape 2.
Site vitrine
Le cas le plus simple, et le plus mal traité. Un formulaire de contact suffit à déclencher l'obligation : vous collectez un nom, un email, un message. Base légale : intérêt légitime, pas consentement — répondre à quelqu'un qui vous écrit ne nécessite pas sa permission. Le point à ne pas rater est la durée : la CNIL considère qu'un prospect qui n'a pas donné suite se conserve 3 ans à compter du dernier contact. Après, on supprime. Presque personne ne le fait.
Boutique en ligne
Deux durées légales s'imposent à vous et écrasent tout le reste. Les factures se conservent 10 ans (article L.123-22 du Code de commerce), et ce n'est pas négociable, même si le client demande l'effacement : c'est une obligation légale au sens de l'article 6.1.c du RGPD. Les données du compte client, elles, suivent la relation commerciale, généralement 3 ans après le dernier achat. La politique doit expliquer cette différence, sinon vous vous retrouvez à devoir refuser une demande d'effacement sans pouvoir la justifier.
SaaS ou espace client
La base légale bascule en exécution du contrat (article 6.1.b) pour tout ce qui fait fonctionner le compte. Deux ajouts obligatoires : la portabilité (article 20), qui vous oblige à pouvoir exporter les données d'un utilisateur dans un format lisible par machine, et la liste de vos sous-traitants d'hébergement — un serveur chez un hébergeur américain est un transfert, même si la machine est physiquement à Francfort, dès lors que la maison mère peut y accéder.
Blog
Le module de commentaires est le traitement oublié. WordPress mémorise nom, email et site du commentateur dans comment_author_* pendant près d'un an, et l'avatar Gravatar transmet un hash de l'email à Automattic à chaque affichage de page. Deux traitements à déclarer, zéro ligne dans 90 % des politiques de blogs.
Application mobile
Les cookies disparaissent, les identifiants publicitaires arrivent : IDFA sur iOS, AAID sur Android. Le principe reste identique — consentement préalable — mais le support change, et Apple comme Google exigent en plus une déclaration de confidentialité dans la fiche du store, qui doit dire la même chose que votre politique. Une divergence entre les deux est un motif de rejet à la revue.
Les trois sujets de 2026 que les modèles gratuits ignorent
Vos données partent-elles aux États-Unis ?
Si vous utilisez GA4, le Pixel Meta ou une vidéo YouTube : oui. L'arrêt Schrems II de la Cour de justice de l'UE (affaire C-311/18, 16 juillet 2020) a annulé le Privacy Shield et rendu ces transferts illicites en l'état. Depuis, la Commission européenne a adopté le EU-US Data Privacy Framework le 10 juillet 2023 : les transferts vers une entreprise américaine certifiée au DPF sont de nouveau couverts par une décision d'adéquation. Le Tribunal de l'Union a rejeté le recours Latombe contre ce cadre en septembre 2025, donc il tient.
Ce que ça implique concrètement : vérifiez que votre prestataire est bien sur la liste, sur dataprivacyframework.gov, et citez le DPF comme garantie dans votre politique. Écrire « nous pouvons transférer vos données hors UE » sans nommer le pays ni la garantie ne remplit pas l'article 13.1.f. Notre générateur nomme les deux.
Google Consent Mode v2
Depuis mars 2024, Google impose le Consent Mode v2 aux annonceurs de l'EEE qui utilisent le remarketing ou les audiences. Deux signaux nouveaux s'ajoutent aux anciens : ad_user_data et ad_personalization. Sans eux, vos listes d'audience se vident et vos conversions remontent partiellement modélisées. Attention au malentendu : le Consent Mode est une exigence de Google, pas de la CNIL. L'installer ne vous rend pas conforme, et ne dispense ni du bandeau ni de la déclaration dans votre politique. Ça ne fait que transmettre à Google le choix de l'utilisateur.
Chatbot et IA : ce qui s'applique depuis le 2 août 2026
Le règlement européen sur l'IA (règlement UE 2024/1689) rend applicables ses obligations de transparence le 2 août 2026. Son article 50 impose d'informer une personne qu'elle interagit avec un système d'IA, sauf si c'est évident. Un chatbot de support qui répond sous un prénom humain tombe dedans. Si vous cochez la case « chatbot IA », le générateur ajoute la mention correspondante — plus la question du sort des conversations, qui sont des données personnelles dès qu'un visiteur y écrit son email.
Sur le DSA (règlement UE 2022/2065), soyons honnêtes : il vise l'hébergement de contenus de tiers. Si votre site n'a ni commentaires, ni avis, ni annonces publiées par des utilisateurs, il ne vous concerne pas et vous n'avez rien à ajouter. Les prestataires qui vous vendent une « mise en conformité DSA » pour un site vitrine vous vendent du vide.
Qu'est-ce qu'on risque, concrètement
Les plafonds d'abord, parce qu'ils sont réels : 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu (article 83.5 du RGPD). Pour l'absence de mentions légales, la LCEN prévoit 75 000 € d'amende et un an d'emprisonnement pour une personne physique.
Maintenant, la réalité. Un auto-entrepreneur ne prend pas 20 M€. Ces plafonds sont calibrés pour les grandes plateformes, et les sanctions publiées qui font les gros titres concernent Google, Amazon ou Criteo. Pour une TPE, le scénario habituel est différent : une plainte d'un visiteur ou d'un ancien client déclenche un contrôle, la CNIL envoie une mise en demeure avec un délai, et l'affaire s'arrête là si vous vous mettez en conformité. Depuis 2022, elle dispose en plus d'une procédure simplifiée pour les dossiers de faible complexité, plafonnée à 20 000 € et sans publicité de la décision.
Le vrai coût pour un petit site, ce n'est donc pas l'amende. C'est le temps : reconstituer ce que vous collectez, retrouver vos sous-traitants, répondre dans le mois à une demande d'accès. Une politique juste, écrite une fois, vous fait gagner ce temps-là. C'est le seul argument honnête qu'on ait pour vous convaincre de la faire.
Un exemple complet, en clair
Pour rendre les choses concrètes, voici ce que produit le générateur pour un cas réel et banal : Lina Ferrand, photographe de mariage auto-entrepreneure à Bordeaux. Son site tourne sous WordPress, avec Google Analytics 4, un formulaire de contact relié à Brevo et une galerie privée. Pas de vente en ligne.
Politique de confidentialité — studio-lina.fr
Dernière mise à jour : 16 juillet 2026
1. Qui traite vos données
Le responsable du traitement est Lina Ferrand, auto-entrepreneure, 12 rue des Remparts, 33000 Bordeaux. Pour toute question sur vos données : contact@studio-lina.fr. Aucun délégué à la protection des données n'a été désigné, l'activité n'entrant dans aucun des cas prévus à l'article 37 du RGPD.
2. Ce qui est collecté, pourquoi, et sur quelle base
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Nom, email, message, date du mariage | Répondre à une demande de devis | Intérêt légitime (art. 6.1.f) | 3 ans après le dernier contact |
| Email, prénom | Envoyer la lettre d'information | Consentement (art. 6.1.a) | 3 ans, ou jusqu'au désabonnement |
| Adresse IP, pages vues, source de visite | Mesurer l'audience du site | Consentement (art. 6.1.a) | 13 mois |
3. Qui reçoit ces données
- Brevo SAS (Paris, France) — envoi des emails. Traitement dans l'Union européenne.
- Google Ireland Limited, avec traitement par Google LLC (États-Unis) — mesure d'audience. Transfert encadré par le EU-US Data Privacy Framework, auquel Google LLC est certifié.
- o2switch (Clermont-Ferrand, France) — hébergement du site.
4. Cookies et traceurs
| Traceur | Déposé par | Finalité | Durée |
|---|---|---|---|
_ga | Google Analytics 4 | Identifiant unique de navigateur | 13 mois |
_ga_XXXXXXX | Google Analytics 4 | État de la session | 13 mois |
sib_cuid | Brevo | Rattache la visite à un contact | 6 mois |
wordpress_logged_in_* | WordPress | Session d'administration | Session |
comment_author_* | WordPress | Pré-remplit le formulaire de commentaire | Environ 1 an |
Les deux derniers sont nécessaires au fonctionnement du site et exemptés de consentement (article 82 de la loi Informatique et Libertés). Les trois premiers ne sont déposés qu'après acceptation via le bandeau.
5. Vos droits
Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, ainsi que du droit de retirer votre consentement à tout moment. Écrivez à contact@studio-lina.fr : la réponse intervient dans un délai d'un mois. En cas de désaccord, vous pouvez saisir la CNIL, 3 place de Fontenoy, 75007 Paris, ou sur cnil.fr/fr/plaintes.
Notez ce qui n'y est pas : pas de clause sur la livraison, pas de durée de 10 ans, pas de portabilité mise en avant. Lina ne vend rien en ligne. Une politique copiée sur un site e-commerce lui aurait fait promettre des choses qu'elle ne fait pas — et une politique qui décrit des traitements inexistants est fausse, donc non conforme. C'est exactement le problème du copier-coller.
Questions fréquentes
Puis-je copier la politique de confidentialité d'un autre site ?
Non, et pas pour une raison de droit d'auteur. Une politique décrit des traitements réels : les outils, les sous-traitants et les durées de l'autre site. En la copiant, vous publiez une description fausse de votre propre activité, ce qui est précisément le manquement à l'obligation d'information de l'article 13. Une politique copiée est un document faux, pas un document imparfait.
Ma politique doit-elle exister si je n'ai qu'un formulaire de contact ?
Oui. Un formulaire de contact collecte un nom, un email et un message : ce sont des données personnelles, le RGPD s'applique intégralement. Le document sera court — un responsable, une finalité, une base légale, une durée, les droits — mais il est obligatoire. C'est le cas d'usage le plus fréquent de notre générateur.
Dois-je nommer un DPO ?
Presque certainement non. L'article 37 du RGPD ne l'impose que dans trois cas : autorité ou organisme public, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles (santé, opinions, biométrie). Une TPE avec une newsletter et Google Analytics n'est dans aucun des trois. Vous pouvez en désigner un volontairement, mais alors ses coordonnées doivent figurer dans la politique et être communiquées à la CNIL.
Google Analytics est-il légal en France ?
Oui aujourd'hui, sous conditions. En 2022, la CNIL avait mis en demeure plusieurs sites français utilisant Universal Analytics, faute de cadre valable pour les transferts vers les États-Unis. L'adoption du EU-US Data Privacy Framework en juillet 2023 a changé la donne : Google LLC y est certifié, ce qui couvre le transfert. Il reste à recueillir le consentement avant tout dépôt, à plafonner la conservation à 13 mois et à déclarer le transfert dans votre politique. Si ça vous agace, Matomo auto-hébergé et bien configuré vous dispense même du bandeau.
Faut-il mettre à jour la politique, et à quelle fréquence ?
Pas à une fréquence fixe : à chaque changement réel. Vous ajoutez un chat, vous branchez un pixel, vous changez d'emailing, vous ouvrez une boutique — la politique bouge. Changer la date sans changer le contenu n'a aucune valeur. En pratique, relisez-la quand vous touchez au site, et sinon une fois par an.
Le bandeau cookies suffit-il, ou faut-il les deux ?
Les deux, et ils répondent à des textes différents. Le bandeau recueille le consentement au moment du dépôt (article 82 de la loi Informatique et Libertés). La politique informe, en amont et de façon permanente (article 13 du RGPD). Un bandeau sans politique laisse l'internaute consentir à l'aveugle. Et le refus doit être aussi simple que l'acceptation : un bouton « Tout accepter » sans bouton « Tout refuser » au même niveau est le motif de sanction le plus fréquent de la CNIL en matière de cookies.
Combien de temps ai-je pour répondre à une demande d'accès ?
Un mois à compter de la réception, prolongeable de deux mois si la demande est complexe, à condition d'en informer la personne dans le premier mois (article 12.3 du RGPD). Le silence est le pire des scénarios : c'est ce qui transforme un client mécontent en plainte CNIL. Prévoyez une adresse email que vous relevez vraiment.
Où dois-je publier la politique sur mon site ?
Accessible depuis toutes les pages, en pratique un lien dans le pied de page, sur une URL stable du type /politique-de-confidentialite. Il faut aussi un lien direct à côté de chaque formulaire qui collecte des données, et depuis le bandeau cookies. Un document accessible uniquement via le moteur de recherche interne ne remplit pas l'obligation.
Le générateur est-il vraiment gratuit, et où est le piège ?
Le document produit ici est gratuit, complet et sans email à laisser. Il n'y a pas de version tronquée. Ce qu'on vend, c'est le pack Pro à 14,90 € pour les cinq documents cohérents entre eux (mentions légales, CGV, CGU, confidentialité, cookies) sauvegardés dans un compte, modifiables plus tard. Si vous n'avez besoin que de la politique de confidentialité, prenez-la et partez, c'est très bien comme ça.
Un générateur remplace-t-il un avocat ?
Non, et personne de sérieux ne prétendra le contraire. Il couvre le cas standard d'un site français de TPE : formulaire, newsletter, analytics, paiement, chat. Dès que vous traitez des données de santé, faites du profilage à grande échelle, ciblez des mineurs ou opérez une marketplace avec des vendeurs tiers, voyez un juriste. Pour les 90 % restants, un document exact généré en cinq minutes vaut infiniment mieux qu'un modèle copié qui décrit le site de quelqu'un d'autre.
Besoin des cinq documents d'un coup ?
Mentions légales, CGV, CGU, politique de confidentialité et politique de cookies, cohérents entre eux et enregistrés dans votre compte. Pack Pro à 14,90 € TTC, paiement unique, sans abonnement.
Ouvrir le générateur complet