On désigne généralement sous le terme « politique de confidentialité » les règles qu’une organisation (entreprise, société, association ou autre) se fixe en matière de traitement de données personnelles. L’expression « politique de confidentialité » est impropre. Elle provient vraisemblablement d’une mauvaise traduction de l’expression « privacy policy ». L’expression anglaise signifie littéralement « politique relative à la vie privée ». Il n’est donc pas seulement question de confidentialité. Nous parlerons ci-après d’une politique de traitement des données personnelles.

Lorsqu’une organisation effectue plusieurs traitements de données personnelles répondant à des finalités différentes, il est utile de définir une politique de traitement de données personnelles, pour se conformer au RGPD de façon relativement simple. En effet, la politique de traitement de données personnelles regroupe et formalise, dans un seul document, les mentions obligatoires relatives aux différents traitements de données personnelles effectués par l’organisation.

Le modèle qui suit envisage les principaux types de traitements de données personnelles, sans prétendre à l’exhaustivité. Nous traitons ci-dessous la politique relative aux contacts, prospects, clients, utilisateurs de services en ligne. La politique relative aux salariés et celle relative aux fournisseurs sont traitées distinctement. En effet, il paraît opportun de distinguer ces trois politiques, car elles s’appliquent à des catégories distinctes de destinataires et elles supposent généralement des procédures et des supports distincts.

Le modèle proposé comprend deux parties. La première partie regroupe les dispositions générales applicables à tous les traitements de données personnelles, sous réserve d’éventuelles exceptions. La seconde partie détaille les dispositions spécifiques pour chaque type de traitement. Par souci de simplicité et de clarté, nous avons limité au maximum les informations spécifiques.