Actav · Conformité
CGV et RGPD : comment les articuler en 2026 ?
En bref
CGV et RGPD : ce sont deux documents distincts. Les CGV encadrent la vente, le RGPD régit le traitement des données personnelles. Une politique de confidentialité dédiée est obligatoire (art. 13 RGPD) : les CGV peuvent y renvoyer mais ne s'y substituent pas. En cas de non-conformité, la CNIL peut prononcer une amende allant jusqu'à 4 % du chiffre d'affaires mondial annuel ou 20 M€ (art. 83 RGPD).
Vous lancez une activité en ligne et vous vous demandez si vos CGV suffisent à couvrir vos obligations en matière de données personnelles ? La réponse est non. Bien articuler CGV et RGPD suppose de comprendre que les conditions générales de vente et le règlement sur les données répondent à deux logiques juridiques différentes, et que les confondre expose votre entreprise à un risque de sanction. En 2026, à l'heure où la CNIL multiplie les contrôles et où le cadre européen continue d'évoluer, savoir articuler ces documents devient un réflexe de conformité indispensable. Pour poser les bases, consultez d'abord notre guide complet des CGV.
CGV et RGPD : quelle différence avec la politique de confidentialité ?
La distinction est fondamentale et trop souvent ignorée. Les CGV (conditions générales de vente) constituent le contrat qui encadre la relation commerciale entre le vendeur et l'acheteur : prix, modalités de paiement, livraison, droit de rétractation, garanties, gestion des litiges. Elles relèvent essentiellement du Code de la consommation et du Code de commerce.
La politique de confidentialité (aussi appelée politique de protection des données ou privacy policy) répond, elle, à une obligation tout autre : informer les personnes sur la manière dont leurs données personnelles sont collectées, utilisées et protégées. Elle découle directement du RGPD et de la loi Informatique et Libertés.
Autrement dit : les CGV parlent de ce que vous vendez ; la politique de confidentialité parle de ce que vous faites des données de vos clients et visiteurs. Ces deux documents coexistent sur un site internet sans que l'un puisse absorber l'autre. À cela s'ajoutent les mentions légales (qui identifient l'éditeur et l'hébergeur du site) et, le cas échéant, les CGU. Articuler correctement CGV et RGPD consiste donc à faire dialoguer ces documents sans jamais les fusionner. Pour bien distinguer chaque document, voyez notre comparatif CGV, CGU et CGL.
Doit-on intégrer le RGPD dans ses CGV ?
Non, pas directement. La question revient souvent quand on cherche à articuler CGV et RGPD : il n'est ni nécessaire ni recommandé de noyer les obligations RGPD au milieu de vos conditions de vente. La bonne pratique consiste à maintenir une politique de confidentialité distincte et dédiée, puis à y renvoyer depuis les CGV par un lien clair.
Concrètement, vos CGV peuvent comporter une clause courte du type : « Les données personnelles collectées dans le cadre de la commande sont traitées conformément à notre politique de confidentialité, accessible [ici] ». Ce renvoi crée le pont entre les deux documents sans les fusionner. La politique de confidentialité, elle, détaille l'intégralité des traitements (commande, livraison, newsletter, cookies, service client).
Pourquoi ne pas tout regrouper ? Parce que les deux documents s'adressent à des publics et à des moments différents : les CGV doivent être acceptées avant l'achat, tandis que l'information sur les données doit être délivrée au moment de la collecte (art. 13 RGPD), c'est-à-dire dès le premier formulaire rempli. Les séparer rend chaque document plus lisible et plus facile à mettre à jour.
Avec Actav, votre couple CGV et RGPD est traité d'un seul tenant : des CGV adaptées à votre secteur et une politique de confidentialité conforme au RGPD, articulées correctement entre elles. La bibliothèque Actav réunit les modèles dont vous avez réellement besoin selon votre activité.
Quelles mentions RGPD sont obligatoires sur un site ?
L'article 13 du RGPD impose une obligation d'information lorsque vous collectez des données directement auprès de la personne concernée (un formulaire d'inscription, un compte client, une commande). Ces mentions trouvent naturellement leur place dans la politique de confidentialité de votre site internet.
Les informations à fournir au titre de l'article 13
| Mention obligatoire | Précision |
|---|---|
| Identité du responsable de traitement | Nom de l'entreprise, coordonnées, et celles du représentant le cas échéant. |
| Coordonnées du DPO | Si un délégué à la protection des données a été désigné (obligatoire dans certains cas). |
| Finalités du traitement | À quoi servent les données : exécution de la commande, prospection, mesure d'audience… |
| Base juridique | Consentement, exécution du contrat, obligation légale ou intérêt légitime (art. 6 RGPD). |
| Durée de conservation | Durée précise ou critères permettant de la déterminer. |
| Destinataires des données | Sous-traitants, prestataires, transferts éventuels hors Union européenne. |
| Droits des personnes | Accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement. |
| Droit de réclamation | Possibilité de saisir l'autorité de contrôle (la CNIL en France). |
Cette information doit être claire, accessible et compréhensible. Le RGPD n'impose pas de modèle unique : sur un site web, une politique de confidentialité détaillée est le support standard. Pour ne rien oublier côté CGV, appuyez-vous sur notre checklist des mentions obligatoires.
À ne pas confondre avec les cookies : le dépôt de cookies non essentiels suppose un consentement préalable distinct, géré via un bandeau dédié. La politique de confidentialité informe ; le bandeau cookies recueille le consentement. Pour les modèles et recommandations officiels, référez-vous au site de la CNIL.
CGV et RGPD, CGU et mentions légales : comment les articuler ?
Un site professionnel repose sur quatre documents complémentaires, chacun ayant un rôle propre. Bien articulés, ils se renvoient les uns aux autres sans se contredire.
Le rôle de chaque document
| Document | Fonction |
|---|---|
| Mentions légales | Identifier l'éditeur et l'hébergeur du site. Obligatoires pour tout site professionnel. |
| CGV | Encadrer la vente : prix, paiement, livraison, rétractation, garanties. |
| CGU | Définir les conditions d'utilisation du site ou de la plateforme (comptes, contenus, responsabilités). |
| Politique de confidentialité | Informer sur le traitement des données personnelles (RGPD, art. 12 à 14). |
La logique de renvoi
La cohérence de votre dispositif CGV et RGPD se construit par des liens croisés : les CGV renvoient à la politique de confidentialité pour tout ce qui concerne les données ; les CGU peuvent renvoyer aux CGV pour les conditions d'achat ; les mentions légales restent autonomes mais accessibles en permanence. L'objectif : qu'un utilisateur, à tout moment, sache où trouver l'information qui le concerne, sans redondance ni contradiction entre les textes.
Une erreur fréquente consiste à copier-coller des modèles trouvés en ligne sans les harmoniser : on se retrouve alors avec des durées de conservation différentes selon les pages, ou des finalités citées dans les CGV mais absentes de la politique de confidentialité. C'est précisément ce type d'incohérence que la CNIL relève lors d'un contrôle.
Quelles sanctions en cas de non-conformité RGPD ?
Mal articuler CGV et RGPD a un coût. Le non-respect des obligations RGPD — notamment l'absence d'information ou une information lacunaire — expose à des sanctions administratives prononcées par la CNIL. L'article 83 du RGPD prévoit deux niveaux d'amendes selon la gravité du manquement.
| Niveau | Plafond | Manquements visés |
|---|---|---|
| Premier niveau | Jusqu'à 10 M€ ou 2 % du CA mondial annuel | Obligations « techniques » : registre, sécurité, sous-traitance, notification de violation… |
| Second niveau | Jusqu'à 20 M€ ou 4 % du CA mondial annuel | Atteintes aux principes et aux droits des personnes, défaut d'information, base légale absente… |
Dans les deux cas, c'est le montant le plus élevé qui est retenu. La CNIL module l'amende selon la gravité, la durée, le nombre de personnes concernées et la coopération de l'entreprise. À noter : la Cour de justice de l'Union européenne a précisé en 2025 que, lorsqu'une filiale forme une unité économique avec son groupe, le plafond de l'amende se calcule sur le chiffre d'affaires mondial du groupe tout entier, et non sur celui de la seule filiale — une jurisprudence qui renforce le caractère dissuasif des sanctions.
Au-delà de l'amende, une non-conformité fragilise la confiance de vos clients et peut entraîner une mise en demeure publique, dommageable pour votre image. Soigner son articulation CGV et RGPD n'est donc pas qu'une contrainte : c'est un actif commercial.
CGV et RGPD : ce qui évolue en 2026
En 2026, le RGPD reste pleinement applicable, mais son environnement bouge. La Commission européenne a présenté fin 2025 un projet de règlement dit « Digital Omnibus » visant à simplifier certaines obligations, notamment pour les PME de moins de 250 salariés (seuils relevés pour le registre, notification d'incidents modulée selon la gravité).
Attention toutefois : ce texte est encore en discussion et fait l'objet de réserves de la part des autorités de protection des données. Surtout, l'allègement annoncé porterait sur les formalités, pas sur les principes : l'obligation d'information, la transparence et la nécessité d'une politique de confidentialité conforme demeurent entières, quelle que soit la taille de l'entreprise. En clair, l'articulation CGV et RGPD reste un impératif en 2026.
L'écosystème Actav vous accompagne de bout en bout : la bibliothèque de modèles juridiques conçus avec un avocat et Actav Connect, le forum juridique gratuit pour poser vos questions. Comparez les formules sur la page tarifs.
FAQ : CGV et RGPD
Deux documents distincts. Articuler CGV et RGPD, c'est comprendre que les CGV encadrent la vente (prix, paiement, livraison, garanties) tandis que la politique de confidentialité informe sur le traitement des données personnelles, conformément à l'article 13 du RGPD. L'un ne remplace jamais l'autre : ils coexistent sur le site et se renvoient mutuellement.
Non. Mieux vaut maintenir une politique de confidentialité dédiée et y renvoyer depuis les CGV par un lien direct. Une simple clause dans les CGV mentionnant l'existence de la politique de confidentialité suffit à créer le pont entre les deux documents, sans les fusionner.
Article 13 RGPD. Identité du responsable de traitement, coordonnées du DPO (si applicable), finalités, base juridique, durée de conservation, destinataires des données, droits des personnes (accès, rectification, effacement, opposition, portabilité) et droit de réclamation auprès de la CNIL.
Par des liens croisés. Les mentions légales identifient l'éditeur, les CGV encadrent la vente, les CGU régissent l'usage du site, la politique de confidentialité couvre les données. Chaque document renvoie aux autres pour ce qui le concerne, sans redondance ni contradiction entre les durées ou les finalités.
Jusqu'à 4 % du CA mondial. L'article 83 du RGPD prévoit deux plafonds : 10 M€ ou 2 % du chiffre d'affaires pour les manquements techniques, et 20 M€ ou 4 % pour les atteintes aux droits des personnes et au défaut d'information. Le montant le plus élevé est retenu. La CNIL module selon la gravité.
Oui, dès qu'il y a collecte de données. Tout site qui recueille des données personnelles (formulaire de contact, compte client, newsletter, cookies) doit fournir une information conforme au RGPD. Sur un site web, cette information prend la forme d'une politique de confidentialité dédiée et accessible en permanence.
Conformité CGV et RGPD
Trouvez vos modèles dans la bibliothèque Actav
CGV et RGPD enfin alignés : des CGV adaptées à votre activité et une politique de confidentialité conforme au RGPD, articulées correctement. Des modèles prêts à l'emploi, conçus avec un avocat.
Accès libre · Modèles par secteur · Avocat au Barreau de Paris
Accéder à la bibliothèque →