Politique de confidentialité et cookies : le guide 2026
Mis à jour le 10 min de lecture
La politique de confidentialité et la politique cookies sont deux documents distincts mais complémentaires. La première informe sur vos traitements de données au titre du RGPD ; la seconde encadre les traceurs déposés sur le terminal de l’internaute. En ligne, ce ne sont pas de simples formalités : un consentement aux cookies mal recueilli ou une information lacunaire exposent à des amendes pouvant atteindre 20 M€ ou 4 % du chiffre d’affaires mondial. Ce guide, à jour 2026, détaille ce que chaque document doit contenir, les durées recommandées par la CNIL, et ce qui a évolué cette année.
Dernière révision : 11 juin 2026. Document informatif, à faire relire par un professionnel du droit ou un expert RGPD avant mise en ligne.
Ce qui change en 2026 (à vérifier)
- Recommandation CNIL « cookies » consolidée (janvier 2026). Les lignes directrices (délibération 2020-091) et la recommandation (délibération 2020-092) de la CNIL restent la référence ; une version consolidée a été publiée en janvier 2026. Les principes ne bougent pas : consentement préalable, refuser aussi simple qu’accepter, retrait à tout moment.
- Règlement ePrivacy retiré. Le projet de règlement ePrivacy, qui devait remplacer la directive de 2002, a été retiré le 11 février 2025. La base juridique des cookies reste donc la directive 2002/58/CE transposée à l’article 82 de la loi n° 78-17 — pas de bouleversement de cadre à anticiper côté texte.
- Simplification des bandeaux à surveiller. Une réforme européenne de simplification (« Digital Omnibus ») visant les bandeaux cookies est en préparation en 2026. Rien n’est encore applicable : continuez à appliquer les règles CNIL en vigueur.
La politique de confidentialité : que doit-elle contenir ?
Elle matérialise votre obligation d’information transparente (articles 12 à 14 du RGPD). Chaque rubrique ci-dessous répond à une exigence précise.
1. Responsable de traitement et contact
Qui décide des traitements (raison sociale, adresse), comment le contacter, et le cas échéant les coordonnées du délégué à la protection des données (DPO) (articles 13.1.a et 13.1.b RGPD).
2. Données collectées et sources
Catégories de données (identité, contact, données d’usage, paiement…) et leur origine. Le principe de minimisation s’applique : ne collectez que ce qui est nécessaire (article 5.1.c RGPD).
3. Finalités et bases légales
Pour chaque finalité, la base légale correspondante : exécution d’un contrat (art. 6.1.b), consentement (6.1.a), obligation légale (6.1.c) ou intérêt légitime (6.1.f). Le consentement est retirable à tout moment (article 7.3 RGPD).
4. Destinataires et sous-traitants
À qui les données sont communiquées (hébergeur, prestataire de paiement, outil d’emailing…). Tout sous-traitant doit être encadré par un contrat conforme à l’article 28 RGPD.
5. Transferts hors UE
En cas de transfert hors de l’Espace économique européen, indiquez la garantie utilisée : décision d’adéquation (art. 45) ou clauses contractuelles types (art. 46). ⚠️ Le cadre UE–États-Unis (Data Privacy Framework) fait l’objet d’un recours pendant devant la justice européenne : un wording générique (« adéquation ou clauses types ») est plus robuste que de nommer un mécanisme précis.
6. Durées de conservation
Une durée par finalité (par exemple : prospects inactifs jusqu’à 3 ans après le dernier contact ; pièces comptables 10 ans). La conservation indéfinie est interdite (article 5.1.e RGPD).
7. Droits des personnes
Accès, rectification, effacement, limitation, portabilité, opposition (articles 15 à 21 RGPD) et, en France, les directives post-mortem (article 85 de la loi 78-17). Vous devez répondre sous 1 mois, prorogeable de 2 mois (article 12.3). Toute personne peut réclamer auprès de la CNIL (article 77).
8. Sécurité et mises à jour
Mesures techniques et organisationnelles appropriées (article 32 RGPD), date de version, et information en cas de modification substantielle.
Cookies et traceurs : les règles à respecter
Le cadre est l’article 82 de la loi n° 78-17, qui transpose la directive ePrivacy. Principe : tant que l’internaute n’a pas consenti, aucun traceur non essentiel ne peut être déposé ou lu.
Consentement préalable, libre, éclairé
Selon la CNIL, l’internaute doit pouvoir accepter ou refuser avec le même degré de simplicité : un bouton « Tout refuser » aussi accessible que « Tout accepter », au même niveau. Le consentement doit être univoque (pas de cases pré-cochées, pas de poursuite de navigation valant accord) et retirable à tout moment.
Cookies exemptés de consentement
Sont déposables sans consentement les traceurs strictement nécessaires : session de panier, authentification, mémorisation du choix cookies, équilibrage de charge. La mesure d’audience peut aussi être exemptée, mais uniquement si elle remplit les conditions strictes de la CNIL (finalité limitée à l’audience pour le seul éditeur, pas de suivi entre sites, statistiques anonymisées). En cas de doute, traitez-la comme soumise au consentement.
Durées : 6, 13 et 25 mois
- Consentement / refus : 6 mois. La CNIL recommande de conserver le choix de l’internaute environ 6 mois avant de le re-solliciter — ni à chaque visite, ni indéfiniment.
- Durée de vie d’un traceur : 13 mois maximum.
- Informations collectées via un traceur : 25 mois maximum.
Tableau cookies (exemple à adapter)
| Catégorie | Finalité | Durée | Fournisseur |
|---|---|---|---|
| Nécessaire | Session panier | 12 mois | Interne |
| Mesure d’audience | Statistiques de visites | 13 mois | Analytics |
| Marketing | Reciblage publicitaire | 13 mois | AdNetwork |
⚠️ Une politique cookies ne suffit pas à elle seule. Elle informe sur les traceurs, mais ne recueille pas le consentement. La mise en place d’un bandeau / solution de gestion du consentement (CMP) qui recueille les choix et en conserve la preuve (article 7.1 RGPD) vous incombe.
Les sanctions : pourquoi la conformité n’est pas optionnelle
La CNIL contrôle activement les cookies, y compris au-delà des seuls éditeurs de sites. Les manquements exposent à :
- Jusqu’à 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu — article 83 du RGPD.
- Des mises en demeure et amendes spécifiques aux cookies : défaut de consentement préalable, refus non équivalent à l’acceptation, information insuffisante — sur le fondement de l’article 82 de la loi n° 78-17.
Pour le panorama complet de la conformité RGPD en entreprise, voyez notre guide RGPD pour les entreprises.
Conseils de rédaction
- Séparez politique de confidentialité et politique cookies, mais reliez-les par un lien réciproque.
- Décrivez vos traitements réels : n’indiquez aucune donnée, finalité ou durée qui ne correspond pas à votre activité.
- Datez et versionnez chaque document ; mettez-les à jour à chaque changement d’outil.
- Conservez la preuve des consentements déposés via votre CMP.
Générer une base à jour 2026
Besoin d’un point de départ fiable ? Générez votre politique de confidentialité et votre politique cookies, puis adaptez les durées, finalités et fournisseurs à votre situation : créez vos documents en quelques minutes.
Questions fréquentes
Politique de confidentialité et politique cookies, est-ce la même chose ? Non. La politique de confidentialité informe sur l’ensemble de vos traitements de données personnelles (finalités, bases légales, durées, droits) au titre du RGPD (règlement (UE) 2016/679) et de la loi « Informatique et Libertés ». La politique cookies, plus spécifique, porte sur les traceurs déposés ou lus sur le terminal de l’internaute (article 82 de la loi n° 78-17). En pratique on rédige deux documents distincts mais reliés entre eux.
Faut-il le consentement pour tous les cookies ? Non. Les traceurs strictement nécessaires au fonctionnement du service (panier, authentification, équilibrage de charge) sont exemptés de consentement. Tous les autres — mesure d’audience non exemptée, personnalisation, publicité — exigent un consentement préalable, libre, éclairé et univoque (article 82 de la loi n° 78-17). La mesure d’audience peut être exemptée, mais seulement si elle remplit les conditions strictes posées par la CNIL (finalité limitée à l’audience, pas de suivi entre sites).
Le refus des cookies doit-il être aussi simple que l’acceptation ? Oui. Selon les lignes directrices de la CNIL (délibération 2020-091), l’utilisateur doit pouvoir refuser le dépôt de cookies avec le même degré de simplicité que pour les accepter, et retirer son consentement à tout moment aussi facilement qu’il l’a donné. Un bandeau qui propose un bouton « Tout accepter » sans bouton « Tout refuser » d’accès équivalent n’est pas conforme.
Combien de temps conserver le consentement aux cookies ? La CNIL considère qu’une conservation des choix (consentement comme refus) pendant 6 mois constitue une bonne pratique : cela évite de re-solliciter l’internaute à chaque visite. À l’expiration, le bandeau réapparaît. La durée de vie d’un traceur ne devrait pas dépasser 13 mois, et les informations collectées via celui-ci 25 mois (recommandation CNIL).
Que risque-t-on en cas de non-conformité ? Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (article 83). La CNIL a déjà sanctionné des manquements aux règles cookies (défaut de consentement préalable, refus non équivalent à l’acceptation) par des amendes de plusieurs dizaines de millions d’euros.
Sources officielles
CNIL — cookies et traceurs : que dit la loi ?, CNIL — cookies et autres traceurs, Légifrance — article 82 de la loi n° 78-17, EUR-Lex — RGPD (règlement (UE) 2016/679), EUR-Lex — directive ePrivacy 2002/58/CE. Vérification des références : juin 2026.
Guide informatif, non contractuel. À relire et compléter par un professionnel du droit ou un expert RGPD avant mise en ligne. TinyTerms ne garantit pas la conformité à votre situation.