RGPD – Modèle de politique de traitement des données personnelles conforme au RGPD (« politique de confidentialité » / « privacy policy »)

Auteurs : FB Juris et Franck Beaudoin, avocat

Publié sur idroit.co le 16 mai 2018

Guide juridique

On désigne généralement sous le terme « politique de confidentialité » les règles qu’une organisation (entreprise, société, association ou autre) se fixe en matière de traitement de données personnelles. L’expression « politique de confidentialité » est impropre. Elle provient vraisemblablement d’une mauvaise traduction de l’expression « privacy policy ». L’expression anglaise signifie littéralement « politique relative à la vie privée ». Il n’est donc pas seulement question de confidentialité. Nous parlerons ci-après d’une politique de traitement des données personnelles.

Lorsqu’une organisation effectue plusieurs traitements de données personnelles répondant à des finalités différentes, il est utile de définir une politique de traitement de données personnelles, pour se conformer au RGPD de façon relativement simple. En effet, la politique de traitement de données personnelles regroupe et formalise, dans un seul document, les mentions obligatoires relatives aux différents traitements de données personnelles effectués par l’organisation.

Le modèle qui suit envisage les principaux types de traitements de données personnelles, sans prétendre à l’exhaustivité. Nous traitons ci-dessous la politique relative aux contacts, prospects, clients, utilisateurs de services en ligne. La politique relative aux salariés et celle relative aux fournisseurs sont traitées distinctement. En effet, il paraît opportun de distinguer ces trois politiques, car elles s’appliquent à des catégories distinctes de destinataires et elles supposent généralement des procédures et des supports distincts.

Le modèle proposé comprend deux parties. La première partie regroupe les dispositions générales applicables à tous les traitements de données personnelles, sous réserve d’éventuelles exceptions. La seconde partie détaille les dispositions spécifiques pour chaque type de traitement. Par souci de simplicité et de clarté, nous avons limité au maximum les informations spécifiques.

Comme toujours, le modèle doit être vérifié et adapté à chaque situation par une personne compétente.

Modèle

Politique de traitement des données personnelles applicable aux contacts, clients, prospects, utilisateurs de services en ligne

La politique énoncée ci-après s’applique aux traitements de données personnelles effectués par XXX [identité de la personne physique ou morale : cliquer ici pour sélectionner le modèle approprié] (ci-après désigné le responsable du traitement).

1 – Dispositions générales

Les dispositions qui suivent concernent tous les traitements de données personnelles effectués par le responsable du traitement, sauf mention contraire dans les dispositions spécifiques.

> Cadre juridique – conformité au RGPD et à la loi française

Le responsable du traitement déclare qu’il effectue des traitements de données personnelles conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le RGPD) et à loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée).

> Responsable du traitement et autres intervenants

Le responsable du traitement est identifié ci-dessus. Ses coordonnées sont : XXX [coordonnées : téléphone, courriel, site Internet].

[[OPTION si applicable : Le représentant du responsable du traitement est XXX [identité de la personne physique ou morale : cliquer ici pour sélectionner le modèle approprié]. Ses coordonnées sont : XXX [coordonnées : téléphone, courriel, site Internet].]]

[[OPTION si le responsable du traitement a nommé un DPD / DPO : Les coordonnées du délégué à la protection des données sont : XXX [coordonnées : téléphone, courriel, site Internet].]]

> Destinataires des données à caractère personnel

Les XXX [destinataires//catégories de destinataires] des données sont XXX [compléter].

> Transfert de données

Le responsable du traitement XXX [OPTION 1 : n’a pas // OPTION 2 : a] l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

[[XXX [En cas de transfert, préciser l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition].]]

> Durée de conservation des données à caractère personnel

Les données seront conservées XXX [OPTION 1 : pendant une durée de XXX à compter de leur collecte // OPTION 2 : XXX [s’il n’est pas possible d’indiquer la durée, préciser les critères utilisés pour la déterminer].

> Droits de la personne dont les données sont collectées

La personne dont les données personnelles sont collectées a le droit :

– de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée,

– de s’opposer au traitement,

– à la portabilité de ses données,

– d’introduire une réclamation auprès d’une autorité de contrôle,

– de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci, ce droit existant exclusivement lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a) du RGPD, c’est-à-dire sur le consentement de la personne concernée au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

> Prise de décision automatisée – profilage

Sauf mention contraire dans les dispositions spécifiques, XXX [OPTION 1 : aucun profilage ne sera réalisé et plus généralement aucune décision automatisée ne sera prise sur la base des données collectées // OPTION 2 : des décisions automatisées seront prises sur la base des données collectées. Les dispositions spécifiques précisent, pour chaque type de traitement concerné, la logique sous-jacente de ces décisions automatisées, ainsi que l’importance et les conséquences prévues de ces traitements pour la personne concernée].

2 – Dispositions spécifiques

Les dispositions qui suivent sont spécifiques à chaque type de traitement de données personnelles.

> Gestion de la relation avec nos contacts et prospects

Données personnelles traitées – Nous traitons les données personnelles suivantes : XXX [par exemple : civilité, prénom, nom, coordonnées téléphoniques, adresse électronique, adresse postale, profession].

Finalités – Le traitement de données personnelles est destiné à la gestion de la relation avec nos contacts et prospects. En particulier, ce traitement tend à XXX [préciser les finalités spécifiques, par exemple : communiquer à la personne concernée des informations sur les actualités de notre organisation, nos produits et nos services].

Base juridique – Ce traitement de données personnelles est fondé sur le consentement de la personne concernée (article 6, paragraphe 1, point a) du RGPD). La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données. Si la personne concernée ne fournit pas les données ou retire son consentement au traitement de données, elle ne pourra pas XXX [préciser, par exemple : recevoir d’information sur les actualités de notre organisation, nos produits et nos services].

> Procédure d’acceptation de nos clients [si applicable]

Données personnelles traitées – Nous traitons les données suivantes : XXX [par exemple : civilité, prénom, nom, coordonnées téléphoniques, adresse électronique, adresse postale, profession, organisation (société, entreprise ou autre), fonctions, si applicable pourcentage de détention de société, date et lieu de naissance, nationalité, document officiel d’identité en cours de validité (nature, date et lieu de délivrance, nom et qualité de l’autorité ou de la personne qui a délivré le document et, le cas échéant, l’a authentifié), produit ou service demandé, canal de distribution, conditions de transaction, territoire d’origine des fonds, territoire de destination des produits, identité du bénéficiaire effectif, éventuels risques particuliers (au sens de l’article L. 561-10 2° du code monétaire et financier)].

Finalités – Ce traitement de données est destiné à satisfaire à nos obligations de vigilance à l’égard de la clientèle, conformément au droit français, notamment aux articles L. 561-4-1 et R. 561-5 du code monétaire et financier.

Base juridique – Ce traitement est nécessaire au respect des obligations légales auxquelles le responsable du traitement est soumis. Il est fondé sur l’article 6, paragraphe 1, point c) du RGPD. La demande de données conditionne l’établissement d’une relation d’affaires, conformément aux dispositions législatives et réglementaires applicables. La personne concernée est tenue de fournir ces données si elle souhaite l’établissement de cette relation. Si la personne concernée ne fournit pas les données, nous ne pourrons pas poursuivre de relations d’affaires avec elle.

> Gestion de la relation avec nos clients

Données personnelles traitées – Nous traitons les données personnelles suivantes : XXX [par exemple : civilité, prénom, nom, coordonnées téléphoniques, adresse électronique, adresse postale, profession, date de naissance, nationalité, produit ou service acheté, prix d’achat, remise éventuelle, éventuelle offre promotionnelle, date et lieu d’achat, lieu de livraison, canal de distribution, modalités de paiement, informations relatives au paiement].

Finalités – Le traitement de données personnelles est destiné à la gestion de la relation avec nos clients. En particulier, ce traitement tend à XXX [préciser les finalités spécifiques, par exemple : exécuter les mesures précontracutelles prises à la demande de la personne concernée, exécuter le contrat auquel la personne concernée est partie, respecter nos obligations légales, fiscales et comptables].

Base juridique – Ce traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Il est fondé sur l’article 6, paragraphe 1, point b) du RGPD. La demande de données a un caractère contractuel. La personne concernée est tenue de fournir ces données si elle souhaite bénéficier de nos produits ou de nos services. Si la personne concernée ne fournit pas les données, elle ne pourra pas XXX [préciser, par exemple : devenir cliente, acquérir nos produits ou bénéficier de nos services].

> Exécution des commandes passées sur notre site Internet

Données personnelles traitées – Nous traitons les données personnelles suivantes : XXX [par exemple : civilité, prénom, nom, coordonnées téléphoniques, adresse électronique, adresse postale, lieu de livraison, modalités de paiement, informations relatives au paiement].

Finalités – Le traitement est destiné à l’exécution des commandes passées sur notre site Internet et à la gestion de la relation avec nos clients.

Base juridique – Ce traitement est nécessaire à l’exécution de mesures précontractuelles prises à votre demande et à l’exécution du contrat conclu entre nous. Il est fondé sur l’article 6, paragraphe 1, point b) du RGPD. La demande de données conditionne la conclusion du contrat. Elle a un caractère contractuel. La personne concernée est tenue de fournir les données. À défaut, elle ne pourra pas passer de commande sur notre site.

> Analyse et amélioration de nos produits et services

Données personnelles traitées – Nous traitons les données suivantes : XXX [préciser].

Finalités – Ce traitement est utilisé à des fins d’analyse et d’étude statistique de l’utilisation de XXX [préciser, par exemple : notre site, nos produits et services].

Base juridique – Le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à améliorer et optimiser les produits et services. Il est fondé sur l’article 6, paragraphe 1, point f) du RGPD. La demande de données a un caractère contractuel. La personne concernée XXX [n’est pas tenue de fournir ces données et elle peut s’opposer à tout moment à leur traitement]. Si la personne concernée ne fournit pas les données, elle ne pourra pas XXX [préciser le cas échéant].

> Utilisation de Google Analytics [si applicable]

Données personnelles traitées – Google traite les données mentionnées dans sa politique de confidentialité (https://support.google.com/analytics/answer/6004245?hl=fr / https://policies.google.com/privacy?hl=fr#infocollect). Ces données comprennent notamment l’adresse IP des appareils utilisés pour consulter le site.

Finalités – Ce traitement est utilisé à des fins d’analyse et d’étude statistique de l’utilisation de notre site.

Base juridique – Le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à améliorer et optimiser notre site Internet au bénéfice des utilisateurs. Il est fondé sur l’article 6, paragraphe 1, point f) du RGPD. La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données et elle peut s’opposer à tout moment à leur traitement. Pour empêcher la collecte de données relatives à son utilisation du site et le traitement de ces données par Google, la personne concernée doit suivre les indications de Google : http://tools.google.com/dlpage/gaoptout.

> Messages marketing et publicitaires

Données personnelles traitées – Nous traitons les données suivantes : XXX [préciser, par exemple : nom, prénom, informations sur les messages ouverts et les liens suivis (y compris la date et l’horaire de la consultation)].

Finalités – Le traitement est destiné à améliorer notre communication et à vous adresser des contenus pertinents à des moments opportuns [préciser le cas échéant].

Prise de décision automatisée – profilage – Des décisions automatisées seront prises sur la base des données collectées. La logique sous-jacente de ces décisions automatisées est la suivante : XXX [informations utiles concernant la logique sous-jacente]. L’importance et les conséquences prévues de ce traitement pour la personne concernée sont les suivantes : XXX [compléter].

Base juridique – Le traitement repose sur le consentement de la personne concernée (article 6, paragraphe 1, point a) du RGPD) et est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à améliorer notre communication et à éviter d’adresser des communications inopportunes (article 6, paragraphe 1, point f) du RGPD). La demande de données a un caractère contractuel. La personne concernée n’est pas tenue de fournir ces données et elle peut s’opposer à tout moment à leur traitement. Si la personne concernée ne fournit pas les données ou retire son consentement au traitement de données, elle ne pourra pas XXX [préciser, par exemple : recevoir des communications adaptées].

> Sécurité et prévention des activités illicites

Données personnelles traitées – Nous traitons les données suivantes : XXX [préciser, par exemple].

Finalités – Le traitement est destiné à assurer la sécurité de nos produits et services et à prévenir les activités illicites en lien avec nos produits et services.

Base juridique – Ce traitement est nécessaire au respect des obligations légales auxquelles le responsable du traitement est soumis (article 6, paragraphe 1, point c) du RGPD) et il est nécessaire aux fins des intérêts légitimes que nous poursuivons, consistant à assurer la sécurité de nos produits et de nos services et à prévenir les activités illicites (article 6, paragraphe 1, point f) du RGPD). La demande de données est conforme aux dispositions législatives et réglementaires applicables. La personne concernée est tenue de fournir ces données si elle souhaite bénéficier de nos produits et services. Si la personne concernée ne fournit pas les données, elle ne pourra pas XXX [préciser].