Par Franck BEAUDOIN, avocat
Première publication sur idroit.co le 16 mai 2018
Publié sur droit.co le 24 mai 2021
Actualisé le 26 juillet 2021
Guide : politique de confidentialité / traitement de données personnelles
On désigne généralement par les termes « politique de confidentialité » les règles qu’une organisation (entreprise, société, association, établissement public ou autre) se fixe en matière de traitement de données personnelles. L’expression « politique de confidentialité » est impropre. Elle provient vraisemblablement d’une mauvaise traduction de l’expression « privacy policy ». L’expression anglaise signifie littéralement « politique relative à la vie privée ». Il n’est donc pas seulement question de confidentialité. Nous parlerons ci-après d’une politique de traitement des données personnelles.
Lorsqu’une organisation effectue plusieurs traitements de données personnelles répondant à des finalités différentes, il est utile de définir une politique de traitement de données personnelles, pour se conformer au RGPD de façon relativement simple. En effet, la politique de traitement de données personnelles regroupe et formalise, dans un seul document, les mentions obligatoires relatives aux différents traitements de données personnelles effectués par l’organisation.
Le modèle qui suit envisage les principaux types de traitements de données personnelles, sans prétendre à l’exhaustivité. Nous traitons ci-dessous la politique relative aux contacts, prospects, clients, utilisateurs de services en ligne. La politique relative aux salariés et celle relative aux fournisseurs sont traitées distinctement. En effet, il paraît opportun de distinguer ces trois politiques, car elles s’appliquent à des catégories distinctes de destinataires et elles supposent généralement des procédures et des supports distincts.
Le modèle proposé comprend deux parties. La première partie regroupe les dispositions générales applicables à tous les traitements de données personnelles, sous réserve d’éventuelles exceptions. La seconde partie détaille les dispositions spécifiques pour chaque type de traitement. Par souci de simplicité et de clarté, nous avons limité au maximum les informations spécifiques.
Comme toujours, le modèle doit être vérifié et adapté à chaque situation par une personne compétente.
Modèle de politique de confidentialité
POLITIQUE DE TRAITEMENT DES DONNÉES PERSONNELLES
APPLICABLE AUX CONTACTS, CLIENTS, PROSPECTS, UTILISATEURS DE SERVICES EN LIGNE
La politique énoncée ci-après s’applique aux traitements de données personnelles effectués par XXX [DÉSIGNATION DU RESPONSABLE DU TRAITEMENT] (ci-après désigné le responsable du traitement).
Cet acte est établi sur la base d’un modèle qui est la propriété exclusive de FB JURIS Société d’Avocats. Le modèle peut être utilisé dans les conditions mentionnées sur le site droit.co.
1 – DISPOSITIONS GÉNÉRALES
Les dispositions qui suivent concernent tous les traitements de données personnelles effectués par le responsable du traitement, sauf mention contraire dans les dispositions spécifiques.
# CADRE JURIDIQUE – CONFORMITÉ AU RGPD ET À LA LOI FRANÇAISE
Le responsable du traitement déclare qu’il effectue des traitements de données personnelles conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le RGPD) et à loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée), ainsi qu’aux autres dispositions applicables en France aux traitements de données personnelles.
# RESPONSABLE DU TRAITEMENT ET AUTRES INTERVENANTS
Le responsable du traitement est identifié ci-dessus. Ses coordonnées sont les suivantes.
Siège / adresse de correspondance : XXX [COMPLÉTER].
Adresse électronique : XXX [COMPLÉTER]
Téléphone : XXX [COMPLÉTER]
[OPTION 1, SI APPLICABLE : Le responsable du traitement n’a pas nommé de représentant ni de délégué à la protection des données.]
[OPTION 2, SI UN REPRÉSENTANT EST NOMMÉ : Le représentant du responsable du traitement est XXX [DÉSIGNATION DE LA PERSONNE PHYSIQUE OU MORALE]. Ses coordonnées sont : XXX [COORDONNÉES : TÉLÉPHONE, COURRIEL, SITE INTERNET].]
[OPTION 3, SI UN DPD / DPO EST NOMMÉ : Les coordonnées du délégué à la protection des données sont : XXX [COORDONNÉES : TÉLÉPHONE, COURRIEL, SITE INTERNET].]
# DESTINATAIRES DES DONNÉES À CARACTÈRE PERSONNEL
Les XXX [DESTINATAIRES // CATÉGORIES DE DESTINATAIRES] des données sont XXX [COMPLÉTER].
[CONTENU RÉSERVÉ AUX ABONNÉS – EXEMPLE DE CLAUSE :
# TRANSFERT DE DONNÉES
Le responsable du traitement XXX [OPTION 1 : n’a pas // OPTION 2 : a] l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.
XXX [EN CAS DE TRANSFERT, PRÉCISER L’EXISTENCE OU L’ABSENCE D’UNE DÉCISION D’ADÉQUATION RENDUE PAR LA COMMISSION OU, DANS LE CAS DES TRANSFERTS VISÉS À L’ARTICLE 46 OU 47, OU À L’ARTICLE 49, PARAGRAPHE 1, DEUXIÈME ALINÉA, LA RÉFÉRENCE AUX GARANTIES APPROPRIÉES OU ADAPTÉES ET LES MOYENS D’EN OBTENIR UNE COPIE OU L’ENDROIT OÙ ELLES ONT ÉTÉ MISES À DISPOSITION.]
[CONTENU RÉSERVÉ AUX ABONNÉS – EXEMPLE DE CLAUSE APPLICABLE EN CAS DE TRANSFERT DE DONNÉES PERSONNELLES VERS UN PAYS TIERS À L’UNION EUROPÉENNE, Y COMPRIS UN PAYS QUI N’EST PAS RECONNU COMME ADÉQUAT PAR L’UNION EUROPÉENNE (NOTAMMENT EN CAS D’UTILISATION DE SOLUTIONS HÉBERGÉES EN DEHORS DE L’UE (« CLOUD ») OU DE SERVICES DE MAINTENANCE RÉALISÉS EN DEHORS DE L’UE) :
# DURÉE DE CONSERVATION DES DONNÉES À CARACTÈRE PERSONNEL
XXX [PRÉCISER LA DURÉE DE CONSERVATION DES DONNÉES PERSONNELLES.
EXEMPLE 1 : Les données seront conservées XXX [OPTION A : pendant une durée de XXX à compter de leur collecte // OPTION B : XXX [COMPLÉTER ; S’IL N’EST PAS POSSIBLE D’INDIQUER LA DURÉE, PRÉCISER LES CRITÈRES UTILISÉS POUR LA DÉTERMINER].
EXEMPLE 2 : Les données personnelles des clients seront conservées pendant la durée nécessaire à la documentation de nos services XXX [OPTION : , conformément à nos règles professionnelles], ainsi que pendant la durée requise pour nous conformer à nos obligations, notamment comptables et fiscales.
Les données personnelles des contacts seront conservées pendant la durée de nos relations.]
# DROITS DE LA PERSONNE DONT LES DONNÉES SONT COLLECTÉES
La personne dont les données personnelles sont collectées a le droit :
– de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée,
– de s’opposer au traitement,
– à la portabilité de ses données,
– d’introduire une réclamation auprès d’une autorité de contrôle,
– de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, ce droit existant exclusivement lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a) du RGPD, c’est-à-dire sur le consentement de la personne concernée au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
# PRISE DE DÉCISION AUTOMATISÉE – PROFILAGE
Sauf mention contraire dans les dispositions spécifiques, XXX [OPTION 1 : aucun profilage ne sera réalisé et plus généralement aucune décision automatisée ne sera prise sur la base des données collectées // OPTION 2 : des décisions automatisées seront prises sur la base des données collectées. Les dispositions spécifiques précisent, pour chaque type de traitement concerné, la logique sous-jacente de ces décisions automatisées, ainsi que l’importance et les conséquences prévues de ces traitements pour la personne concernée].
2 – DISPOSITIONS SPÉCIFIQUES
Les dispositions qui suivent sont spécifiques à chaque type de traitement de données personnelles.
# GESTION DE LA RELATION AVEC NOS CONTACTS ET PROSPECTS
Données personnelles traitées – Nous traitons les données personnelles suivantes : XXX [PAR EXEMPLE : civilité, prénom, nom, entreprise ou organisation, fonction, profession, coordonnées téléphoniques, adresse électronique, adresse postale].
Finalités – Le traitement de données personnelles est destiné à la gestion de la relation avec nos contacts et prospects. En particulier, ce traitement tend à XXX [PRÉCISER LES FINALITÉS SPÉCIFIQUES, PAR EXEMPLE : communiquer à la personne concernée des informations sur les actualités de notre organisation, nos produits et nos services].
Base juridique – Ce traitement de données personnelles est fondé sur le consentement de la personne concernée (article 6, paragraphe 1, point a) du RGPD). La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données. Si la personne concernée ne fournit pas les données ou retire son consentement au traitement de données, elle ne pourra pas XXX [PRÉCISER, PAR EXEMPLE : recevoir d’information sur les actualités de notre organisation, nos produits et nos services].
# PROCÉDURE D’ACCEPTATION DE NOS CLIENTS [SI APPLICABLE]
Données personnelles traitées – Nous traitons les données suivantes: XXX [PAR EXEMPLE : civilité, prénom, nom, entreprise ou organisation (société, entreprise ou autre), fonction, profession, coordonnées téléphoniques, adresse électronique, adresse postale, si applicable pourcentage de détention de la société, modalités de contrôle, date et lieu de naissance, nationalité, document officiel d’identité en cours de validité (nature, date et lieu de délivrance, nom et qualité de l’autorité ou de la personne qui a délivré le document et, le cas échéant, l’a authentifié), produit ou service demandé, canal de distribution, conditions de transaction, territoire d’origine des fonds, territoire de destination des produits, identité du bénéficiaire effectif, éventuels risques particuliers (au sens de l’article L. 561-10 2° du code monétaire et financier)].
Finalités – Ce traitement de données est destiné à satisfaire à nos obligations de vigilance à l’égard de la clientèle, conformément au droit français, notamment aux articles L. 561-4-1 et R. 561-5 du code monétaire et financier.
Base juridique – Ce traitement est nécessaire au respect des obligations légales auxquelles le responsable du traitement est soumis. Il est fondé sur l’article 6, paragraphe 1, point c) du RGPD. La demande de données conditionne l’établissement d’une relation d’affaires, conformément aux dispositions législatives et réglementaires applicables. La personne concernée est tenue de fournir ces données si elle souhaite l’établissement de cette relation. Si la personne concernée ne fournit pas les données, nous ne pourrons pas poursuivre de relations d’affaires avec elle.
# GESTION DE LA RELATION AVEC NOS CLIENTS
Données personnelles traitées – Nous traitons les données personnelles suivantes : XXX [PAR EXEMPLE : civilité, prénom, nom, entreprise ou organisation, fonction, profession, coordonnées téléphoniques, adresse électronique, adresse postale, date de naissance, nationalité, produit ou service acheté, prix d’achat, remise éventuelle, éventuelle offre promotionnelle, date et lieu d’achat, lieu de livraison, canal de distribution, modalités de paiement, informations relatives au paiement].
Finalités – Le traitement de données personnelles est destiné à la gestion de la relation avec nos clients. En particulier, ce traitement tend à XXX [PRÉCISER LES FINALITÉS SPÉCIFIQUES, PAR EXEMPLE : exécuter les mesures précontracutelles prises à la demande de la personne concernée, exécuter le contrat auquel la personne concernée est partie, respecter nos obligations légales, réglementaires, fiscales et comptables].
[CONTENU RÉSERVÉ AUX ABONNÉS – EXEMPLE DE CLAUSE EN CAS DE PRISE DE DÉCISION AUTOMATISÉE (PROFILAGE), NOTAMMENT EN CAS DE RELANCES AUTOMATIQUES POUR IMPAYÉS OU DE NOTIFICATIONS AUTOMATIQUES POUR LE RENOUVELLEMENT DU CONTRAT :
Base juridique – Ce traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Il est fondé sur l’article 6, paragraphe 1, point b) du RGPD. La demande de données a un caractère contractuel. La personne concernée est tenue de fournir ces données si elle souhaite bénéficier de nos produits ou de nos services. Si la personne concernée ne fournit pas les données, elle ne pourra pas XXX [PRÉCISER, PAR EXEMPLE : devenir cliente, acquérir nos produits ou bénéficier de nos services].
# EXÉCUTION DES COMMANDES PASSÉES SUR NOTRE SITE INTERNET
Données personnelles traitées – Nous traitons les données personnelles suivantes : XXX [PAR EXEMPLE : civilité, prénom, nom, entreprise ou organisation, fonction, profession, coordonnées téléphoniques, adresse électronique, adresse postale, lieu de livraison, modalités de paiement, informations relatives au paiement].
Finalités – Le traitement est destiné à l’exécution des commandes passées sur notre site Internet et à la gestion de la relation avec nos clients.
Base juridique – Ce traitement est nécessaire à l’exécution de mesures précontractuelles prises à votre demande et à l’exécution du contrat conclu entre nous. Il est fondé sur l’article 6, paragraphe 1, point b) du RGPD. La demande de données conditionne la conclusion du contrat. Elle a un caractère contractuel. La personne concernée est tenue de fournir les données. À défaut, elle ne pourra pas passer de commande sur notre site.
# ANALYSE ET AMÉLIORATION DE NOS PRODUITS ET SERVICES
Données personnelles traitées – Nous traitons les données suivantes : XXX [PRÉCISER].
Finalités – Ce traitement est utilisé à des fins d’analyse et d’étude statistique de l’utilisation de XXX [PRÉCISER, PAR EXEMPLE : notre site, nos produits et services].
Base juridique – Le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à améliorer et optimiser les produits et services. Il est fondé sur l’article 6, paragraphe 1, point f) du RGPD. La demande de données a un caractère contractuel. La personne concernée XXX [n’est pas tenue de fournir ces données et elle peut s’opposer à tout moment à leur traitement]. Si la personne concernée ne fournit pas les données, elle ne pourra pas XXX [PRÉCISER LE CAS ÉCHÉANT].
# UTILISATION DE GOOGLE ANALYTICS [SI APPLICABLE]
Données personnelles traitées – Google traite les données mentionnées dans sa politique de confidentialité (https://support.google.com/analytics/answer/6004245?hl=fr/ https://policies.google.com/privacy?hl=fr#infocollect). Ces données comprennent notamment l’adresse IP des appareils utilisés pour consulter le site.
Finalités – Ce traitement est utilisé à des fins d’analyse et d’étude statistique de l’utilisation de notre site.
Base juridique – Le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à améliorer et optimiser notre site Internet au bénéfice des utilisateurs. Il est fondé sur l’article 6, paragraphe 1, point f) du RGPD. La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données et elle peut s’opposer à tout moment à leur traitement. Pour empêcher la collecte de données relatives à son utilisation du site et le traitement de ces données par Google, la personne concernée doit suivre les indications de Google: http://tools.google.com/dlpage/gaoptout.
# MESSAGES MARKETING ET PUBLICITAIRES
Données personnelles traitées – Nous traitons les données suivantes : XXX [PRÉCISER, PAR EXEMPLE : civilité, prénom, nom, entreprise ou organisation, fonction, profession, coordonnées téléphoniques, adresse électronique, adresse postale, adresse IP, informations sur les messages ouverts et les liens suivis (y compris la date et l’horaire de la consultation).
Finalités – Le traitement est destiné à améliorer notre communication et à vous adresser des contenus pertinents à des moments opportuns [PRÉCISER LE CAS ÉCHÉANT].
Prise de décision automatisée – profilage – Des décisions automatisées seront prises sur la base des données collectées. La logique sous-jacente de ces décisions automatisées est la suivante : XXX [INFORMATIONS UTILES CONCERNANT LA LOGIQUE SOUS-JACENTE]. L’importance et les conséquences prévues de ce traitement pour la personne concernée sont les suivantes : XXX [COMPLÉTER].
Base juridique – Le traitement repose sur le consentement de la personne concernée (article 6, paragraphe 1, point a) du RGPD) et est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à améliorer notre communication et à éviter d’adresser des communications inopportunes (article 6, paragraphe 1, point f) du RGPD). La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données et elle peut s’opposer à tout moment à leur traitement. Si la personne concernée ne fournit pas les données ou retire son consentement au traitement de données, elle ne pourra pas XXX [PRÉCISER, PAR EXEMPLE : recevoir des communications adaptées].
# SÉCURITÉ ET PRÉVENTION DES ACTIVITÉS ILLICITES
Données personnelles traitées – Nous traitons les données suivantes : XXX [PRÉCISER, PAR EXEMPLE : civilité, prénom, nom, entreprise ou organisation, fonction, profession, coordonnées téléphoniques, adresse électronique, adresse IP].
Finalités – Le traitement est destiné à assurer la sécurité de nos produits et services et à prévenir les activités illicites en lien avec nos produits et services.
Base juridique – Ce traitement est nécessaire au respect des obligations légales auxquelles le responsable du traitement est soumis (article 6, paragraphe 1, point c) du RGPD) et il est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à assurer la sécurité de nos produits et de nos services et à prévenir les activités illicites (article 6, paragraphe 1, point f) du RGPD). La demande de données est conforme aux dispositions législatives et réglementaires applicables. La personne concernée est tenue de fournir ces données si elle souhaite bénéficier de nos produits et services, consulter notre site Internet, nous contacter par courrier électronique. Si la personne concernée ne fournit pas les données, elle ne pourra pas XXX [PRÉCISER, PAR EXEMPLE : bénéficier de nos produits et services, consulter notre site Internet ou nous contacter par courrier électronique].
+ Abonnez-vous pour accéder aux suppléments réservés aux abonnés.
+ Bénéficiez de l’assistance d’un avocat pour sécuriser vos traitements de données personnelles.
2 réponses sur « Modèle de politique de traitement des données personnelles »
[…] +Modèle en français: politique de confidentialité conforme au RGPD («privacy policy»). […]
[…] Modèle de politique de traitement des données personnelles […]