Retour au blog
RGPDRGPD10 juin 20268 min de lecture

Politique de confidentialité auto-entrepreneur : modèle, mentions obligatoires et site web

par Tony Bonnay · fondateur Velvyno

En 2025, la CNIL a reçu 20 150 plaintes, le volume le plus élevé de toute son histoire, et presque le double d'il y a sept ans (source : CNIL, dataset Plaintes reçues par la CNIL sur data.gouv.fr). La même année, 758 600 Français créaient leur micro-entreprise (INSEE), et une bonne partie mettait en ligne un site avec la même certitude tranquille : « c'est juste une vitrine, je n'ai rien à déclarer ».

C'est l'inverse qui est vrai. Le site vitrine qui ne collecte aucune donnée personnelle est une exception statistique : un simple formulaire de contact suffit à déclencher une obligation d'information prévue par le RGPD. Et cette obligation a un nom d'usage que tout le monde connaît sans savoir ce qu'il recouvre : la politique de confidentialité.

Cet article explique qui est réellement concerné (presque tout le monde, mais pas pour les raisons qu'on croit), ce que la loi exige mot pour mot, les mentions obligatoires, les pièges classiques du site d'indépendant, et comment rédiger la vôtre sans y passer une semaine ni payer un avocat.

Sommaire

« Mon site est une simple vitrine » : le mythe qui tombe en trois questions

« Mon site, c'est une vitrine. Je ne vends rien en ligne, je ne collecte rien. La politique de confidentialité, c'est pour les boutiques. » C'est ce que pense Camille, photographe indépendante, 27 000 € de chiffre d'affaires annuel. Son site présente son portfolio, ses tarifs, et un formulaire pour demander un devis. Pas de paiement en ligne, pas de compte client. Une vitrine, donc.

Trois questions suffisent à faire tomber le mythe. Votre site a-t-il un formulaire de contact ? Un nom et un email saisis dans un formulaire sont des données personnelles au sens de l'article 4 du RGPD, et les recueillir constitue un traitement. Votre site mesure-t-il sa fréquentation ? Un outil de statistiques manipule des identifiants et des adresses IP, souvent via des cookies. Envoyez-vous une newsletter, même occasionnelle ? Vous tenez un fichier d'adresses email, c'est-à-dire un fichier de données personnelles.

Camille répond oui aux trois. Et il y a un quatrième traitement qu'elle ne voit même plus : son portfolio affiche des photos de mariages, donc des visages de personnes identifiables. Son « site vitrine » réalise en réalité quatre traitements de données personnelles. Le vôtre en fait probablement deux ou trois, et chacun déclenche la même obligation : informer les personnes concernées.

Ce que la loi exige vraiment : informer au moment où vous collectez

Le RGPD ne mentionne jamais l'expression « politique de confidentialité ». Ce qu'il impose, aux articles 12, 13 et 14, c'est une obligation de transparence : toute personne dont vous collectez les données doit recevoir une information complète, au moment où les données sont obtenues, sous une forme « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples », et gratuitement.

La politique de confidentialité est simplement la façon standard de remplir cette obligation : une page unique, accessible depuis toutes les pages du site (en pratique, un lien dans le footer), qui centralise l'information. Vous pourriez théoriquement l'appeler autrement ou la découper différemment. Ce qui compte juridiquement, c'est que l'information existe, qu'elle soit complète, et qu'on la trouve facilement.

L'article 13 vise la collecte directe : ce que le visiteur saisit lui-même dans votre formulaire. L'article 14 vise la collecte indirecte, quand les données arrivent par un tiers, un cas plus rare pour un site d'indépendant. Pour Camille, tout passe par l'article 13. Et ce détail de calendrier a son importance : l'information doit être disponible au moment de la collecte, pas après. Un formulaire de contact sans aucune mention, avec une politique introuvable, est en défaut même si la politique existe quelque part.

Les mentions obligatoires de votre politique (article 13)

L'article 13 du RGPD dresse la liste exacte de ce que votre politique doit contenir. Appliquée au site d'un indépendant, elle se traduit ainsi :

  • Qui vous êtes : votre identité et vos coordonnées en tant que responsable du traitement. Pour Camille : son nom, son adresse professionnelle, son email de contact.
  • Pourquoi vous collectez : chaque finalité, avec sa base légale. Répondre aux demandes de devis (intérêt légitime ou mesures précontractuelles), envoyer la newsletter (consentement), mesurer l'audience (consentement, sauf exemption).
  • Qui reçoit les données : vos destinataires et sous-traitants. L'hébergeur du site, l'outil d'emailing, l'outil de statistiques. Pas besoin de citer chaque contrat, mais les catégories doivent y être.
  • Où vont les données : si un de vos outils est hébergé hors de l'Union européenne (un outil d'emailing américain, par exemple), la politique doit le signaler et mentionner les garanties utilisées, c'est-à-dire les mécanismes officiels qui encadrent ces transferts (clauses contractuelles types, ou adhésion de l'outil au cadre euro-américain de protection des données).
  • Combien de temps : les durées de conservation, ou au minimum les critères qui les déterminent. Des demandes de devis gardées 3 ans, des données de newsletter conservées jusqu'au désabonnement.
  • Les droits des personnes : accès, rectification, effacement, limitation, opposition, portabilité, et le droit de retirer un consentement donné. Avec la façon de les exercer (votre email suffit).
  • Le droit de se plaindre : la mention du droit d'introduire une réclamation auprès de la CNIL. Elle est obligatoire, même si elle ne fait pas plaisir.
  • Le caractère obligatoire ou non des champs de vos formulaires, et les conséquences si la personne ne les remplit pas.

Rien dans cette liste n'exige un vocabulaire d'avocat. L'article 12 impose même le contraire : des termes clairs et simples. Une bonne politique d'indépendant tient en une page ou deux et se lit sans dictionnaire juridique.

Les cinq pièges classiques du site d'indépendant

Sur le papier, Camille pourrait rédiger sa politique en une soirée. En pratique, les sites d'indépendants accumulent presque toujours les mêmes angles morts.

Le formulaire muet. Le formulaire de contact collecte nom, email, parfois téléphone, sans un mot d'information ni lien vers la politique. C'est le défaut le plus répandu, et le plus visible lors d'un contrôle : l'information doit être donnée au moment de la collecte.

Les statistiques installées « par défaut ». Le créateur du site a installé un outil de mesure d'audience à la mise en ligne, et il dépose des cookies sans demander d'accord. Or l'article 82 de la loi Informatique et Libertés exige un consentement préalable pour les traceurs non essentiels. Il existe des configurations de mesure d'audience exemptées de consentement, validées par la CNIL, mais elles ne sont pas le réglage par défaut des outils les plus répandus. Sans bandeau ni configuration exemptée, le site est en défaut dès la première visite.

La newsletter héritée. Camille a importé dans son outil d'emailing les adresses de ses anciens clients, sans leur demander. La prospection par email exige un consentement préalable pour les particuliers (article L.34-5 du CPCE), avec une exception encadrée pour les clients existants sur des services analogues, à condition de l'avoir dit au moment de la collecte et d'offrir un désabonnement simple. Un import silencieux ne coche aucune de ces cases, et la CNIL documente précisément ce point.

Les outils hors UE non déclarés. Le formulaire passe par un outil américain, la newsletter aussi, et la politique affirme fièrement « vos données ne quittent jamais la France ». Cette phrase est presque toujours fausse. Mieux vaut une formulation honnête : citer les outils, leur localisation, et les garanties de transfert.

Les visages publiés sans autorisation. Spécifique aux métiers de l'image, mais pas seulement (témoignages clients avec photo, trombinoscope). Publier la photo d'une personne identifiable demande son autorisation, au titre du droit à l'image et du RGPD. Pour Camille, une clause claire dans son contrat de prestation règle le sujet pour les shootings à venir. Pour l'existant, il faut l'accord écrit des personnes reconnaissables.

Camille coche quatre pièges sur cinq. Ce n'est pas de la négligence : personne ne lui a jamais dit que son site faisait tout ça.

Les sanctions, version réaliste pour un solo

Les amendes RGPD qu'on lit dans la presse (20 millions d'euros, 4 % du chiffre d'affaires mondial) concernent les géants du numérique. Pour un indépendant, le parcours réaliste est différent, et il s'est nettement structuré ces trois dernières années.

Depuis le décret 2022-517, la CNIL dispose d'une procédure de sanction simplifiée pensée pour les dossiers de moindre ampleur : un membre unique de la formation restreinte, une procédure plus rapide, et une amende plafonnée à 20 000 € (article 22-1 de la loi Informatique et Libertés). C'est l'outil taillé pour les TPE et les indépendants, et la CNIL s'en sert de plus en plus : les amendes prononcées par cette voie sont passées de 35 000 € en 2022 à 229 500 € en 2023, puis à 715 500 € en 2024, soit vingt fois plus en deux ans (source : CNIL, dataset Sanctions prononcées par la CNIL sur data.gouv.fr).

Le déclencheur le plus courant n'est pas un contrôle surprise : c'est une plainte. Déposer une plainte à la CNIL est gratuit, se fait en ligne en quelques minutes, et 20 150 personnes l'ont fait en 2025. Un client mécontent, un concurrent agacé, un visiteur tatillon : n'importe qui peut le faire, et la CNIL peut ensuite contrôler votre site à distance, depuis ses bureaux. La gradation habituelle reste néanmoins progressive : rappel aux obligations, mise en demeure (parfois publique), et sanction en dernier recours. Pour Camille et ses 27 000 € de chiffre d'affaires, même une amende simplifiée modeste de 3 000 € représenterait plus d'un mois de revenu. Mais pour un indépendant de bonne foi qui régularise vite, l'issue la plus probable est une mise en demeure avec un délai pour se mettre en règle.

Le scénario « je ne fais rien »

Déroulons ce qui se passe si Camille classe le sujet dans la pile « un jour, peut-être ».

Juillet 2026. Une agence événementielle, sa meilleure cliente professionnelle, met à jour son référencement de prestataires. Le questionnaire demande : lien vers votre politique de confidentialité, gestion des autorisations de droit à l'image, conformité RGPD de vos outils. Camille n'a rien de tout ça. Elle improvise des réponses un dimanche entier, envoie une politique copiée d'un autre site qui mentionne des traitements qu'elle ne fait pas, et donne l'image d'une prestataire qui découvre le sujet.

Novembre 2026. L'agence retient deux photographes référencées pour la saison des événements d'entreprise. L'autre dossier était carré : politique propre, contrat avec clause de droit à l'image, autorisations archivées. Camille perd les prestations corporate qu'elle faisait chaque année pour cette agence : trois événements à 1 600 €, soit 4 800 € de chiffre d'affaires récurrent. Personne ne lui dit que c'est à cause de la conformité. C'est juste « un choix d'organisation ».

Avril 2027. Un couple photographié deux ans plus tôt demande le retrait de ses photos du portfolio, et s'étonne au passage de recevoir la newsletter sans s'y être jamais inscrit. La conversation tourne court, le couple dépose une plainte en ligne à la CNIL. Contrôle à distance : pas de politique de confidentialité, cookies déposés sans consentement, fichier de prospection sans preuve de consentement. Mise en demeure, avec publicité possible. Camille régularise en urgence, sous pression, en payant un prestataire au tarif urgence.

Le vrai coût n'est pas l'amende, qui n'arrivera peut-être jamais. C'est d'être devenue le maillon non conforme au moment précis où ses clients professionnels se mettaient en règle, et d'avoir transformé un après-midi de mise en conformité en une année de frictions. Pour un métier qui vit de la confiance (on confie à Camille des mariages, des familles, des images intimes), une mise en demeure publique abîme plus que 4 800 €.

Rédiger votre politique : les trois façons de faire

Il existe trois voies, et aucune n'est mauvaise en soi : tout dépend de votre situation.

À la main. C'est gratuit et parfaitement faisable pour un site simple : reprenez la liste de l'article 13 ci-dessus, décrivez vos traitements réels, écrivez en français courant. Comptez une bonne journée en partant de zéro, et le risque principal est l'oubli (une mention sur deux manque dans les politiques rédigées de mémoire) ou la dérive inverse : recopier des paragraphes juridiques qui ne décrivent pas votre site.

L'avocat ou le juriste. Entre 300 et 800 € pour une politique sur mesure. C'est l'option pertinente si vos traitements sortent de l'ordinaire : données sensibles, profilage, plateforme avec comptes utilisateurs, volumes importants.

Le générateur structuré. Entre les deux : un outil qui pose les bonnes questions sur votre activité et produit un document couvrant les mentions de l'article 13, que vous relisez et adaptez. Velvyno propose justement cette troisième voie, et la politique de confidentialité en est le document gratuit : le diagnostic (six questions, deux minutes, sans inscription) fait d'abord le point sur votre situation, puis le document est généré à partir des informations de votre entreprise, à relire et adapter avant publication.

Quelle que soit la voie choisie, une règle ne change pas : vous restez responsable du contenu. Une politique qui décrit des traitements que vous ne faites pas, ou qui passe sous silence ceux que vous faites, ne vous protège pas. Elle documente votre non-conformité.

Au-delà de la politique : le socle conformité 2026

La politique de confidentialité est la partie visible d'un socle plus large, et 2026 est l'année où ce socle devient concret pour les indépendants.

Côté RGPD, la politique informe les visiteurs, mais le registre des traitements documente l'envers du décor, et les obligations de l'auto-entrepreneur ne s'arrêtent pas au site web. Côté IA, si vous utilisez ChatGPT ou un autre outil dans votre activité, l'AI Act vous concerne aussi, avec un régime allégé qui tient en deux obligations. Et côté facturation, la facture électronique arrive en septembre 2026 pour la réception, y compris pour les micro-entrepreneurs.

Ces chantiers partagent le même point de départ : savoir précisément ce que vous collectez, avec quels outils, et pour combien de temps. L'inventaire que vous ferez pour votre politique de confidentialité sert directement les trois.

Checklist : 5 actions à faire avant juillet

1. Cette semaine : listez ce que votre site collecte. Formulaires, statistiques, newsletter, commentaires, photos de personnes. Une demi-heure, trois colonnes : quoi, pourquoi, avec quel outil.

2. Sous quinze jours : publiez votre politique. Rédigée à la main, par un professionnel ou via un générateur, mais décrivant vos traitements réels. Lien dans le footer, accessible depuis toutes les pages.

3. Dans la foulée : reliez vos formulaires. Une ligne sous chaque formulaire (« Les informations recueillies servent à répondre à votre demande. En savoir plus : politique de confidentialité ») et l'indication des champs obligatoires.

4. Avant fin juin : réglez la question des cookies. Si votre outil de statistiques dépose des cookies, installez un bandeau de consentement, ou passez sur une configuration de mesure d'audience exemptée. Si vous ne savez pas ce que votre site dépose, c'est précisément le signe qu'il faut vérifier.

5. En continu : gardez la preuve des consentements. Inscriptions newsletter datées, autorisations de droit à l'image signées, et une relecture de la politique à chaque nouvel outil ajouté au site.

Coût total pour Camille : zéro euro et environ une demi-journée, en utilisant un générateur et le bandeau gratuit de son CMS. L'avocat reste optionnel pour un site de cette taille.

Questions fréquentes

Mon site est un pur portfolio : pas de formulaire, pas de statistiques, pas de newsletter. Je dois quand même publier une politique ?

Si votre site ne collecte réellement aucune donnée personnelle, l'obligation d'information de l'article 13 ne se déclenche pas, et une politique de confidentialité n'est pas exigée. Ce cas est plus rare qu'on ne le croit : vérifiez qu'aucun outil de mesure n'a été installé à la création du site. En revanche, les mentions légales restent obligatoires pour tout site édité à titre professionnel (loi pour la confiance dans l'économie numérique, art. 6), même sans aucune collecte. Et au premier formulaire ajouté, la politique devient nécessaire.

Mentions légales et politique de confidentialité, c'est la même chose ?

Non, et la confusion est fréquente. Les mentions légales répondent à la question « qui édite ce site » (identité, contact, hébergeur) et viennent de la LCEN de 2004. La politique de confidentialité répond à « que faites-vous des données des visiteurs » et vient du RGPD. Deux documents, deux lois, deux liens distincts dans votre footer.

Google Analytics et les outils de mesure d'audience sont-ils interdits ?

Non. Mais déposer des cookies de mesure d'audience exige un consentement préalable du visiteur (article 82 de la loi Informatique et Libertés), donc un bandeau avec un vrai choix. Il existe des configurations et des outils de mesure exemptés de consentement lorsqu'ils respectent les conditions fixées par la CNIL (statistiques anonymes, pas de recoupement). Dans tous les cas, l'outil utilisé doit figurer dans votre politique.

Je peux copier la politique de confidentialité d'un autre site ?

C'est la fausse bonne idée classique. Une politique décrit des traitements précis : celle d'un autre site décrit les siens, pas les vôtres. Vous vous retrouvez à annoncer des traitements que vous ne faites pas, à omettre ceux que vous faites, et le document ne vous protège plus du tout. Partir d'une structure type est une bonne pratique ; copier le contenu d'un tiers, non.

Concrètement, qu'est-ce que je risque si je n'ai rien mis en place ?

Le parcours réaliste est progressif : une plainte (gratuite, en ligne, 20 150 déposées en 2025), un contrôle qui peut se faire à distance, une mise en demeure avec délai de régularisation, et en dernier recours une sanction. Pour les petites structures, la procédure simplifiée plafonne l'amende à 20 000 € (article 22-1 de la loi Informatique et Libertés). Un indépendant de bonne foi qui régularise rapidement s'en tient le plus souvent à la mise en demeure. Le risque le plus immédiat est ailleurs : des clients professionnels qui exigent la conformité de leurs prestataires, contrats à l'appui.

Conclusion

Le mythe du « site vitrine qui ne collecte rien » ne survit pas à trois questions : un formulaire, un outil de statistiques ou une newsletter suffisent à déclencher l'obligation d'information du RGPD. La réponse tient en un document : une politique de confidentialité honnête, qui décrit vos traitements réels avec les mentions de l'article 13, reliée à vos formulaires, accompagnée d'un bandeau cookies si nécessaire.

Ce n'est ni un chantier d'avocat ni une usine à gaz : pour un site d'indépendant, c'est une demi-journée de travail bien outillée. Et si vous préférez partir d'un état des lieux plutôt que d'une page blanche, le diagnostic gratuit Velvyno fait le point sur votre conformité RGPD, IA et facturation en six questions et deux minutes, sans inscription, et vous permet ensuite de générer votre politique de confidentialité à partir des informations de votre entreprise, à relire et adapter avant publication.

À lire aussi

Tous les articles