Le fantasme des politiques de protection des données
Par Christophe CHAMPOUSSIN • 28 mars 2026 •
Pas de site web sans «Politique de protection des données» ou «Politique de confidentialité» ! Comme si cela était une obligation imposée par le RGPD, ce qui n’est pas le cas.
Non pas qu’il n’impose pas, dans certains cas, d’avoir une telle politique (art. 24.2 : «Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement») mais rien n’oblige à la publier.
Ce raisonnement tient à une question préalable est: «Qu’est-ce qu’une politique de protection des données ?».
C’est une politique «interne», à l’instar d’un politique qualité :
Comment appliquer les principes de l’article 25 ?
Comme gérer les droits des personnes concernées ?
Mise en place éventuelle de relais
Formations
Quelle documentation ? Où ?
Procédures utiles ?
…
Donc, sauf à vouloir jouer la transparence totale (ce qui est une bonne chose), aucune obligation de publier une telle politique sur un site web.
De plus, il existe une grosse confusion : celle qui consiste à confondre un élément «général» et transversal (la politique donc) et l’information requise par les articles 13 et 14 du RGPD.
Si l’on veut «montrer patte blanche» et dire «nous prenons bien en compte le RGPD» alors expliquer de manière globale ce qui est mis en place par l’organisme est une bonne chose.
Mais si l’on veut respecter les articles 13 et 14, alors il faut détailler pour tous les traitements concernés, a minima ceux concernant les potentiels visiteurs et/ou utilisateurs du site (clients pour un site marchand par exemple).
Cela signifie que des phrases telles que «les données sont conservées le temps nécessaire» sont un peu ‘faciles’ et ne respectent pas l’esprit du RGPD; de la même manière qu’indiquer tous les droits (article 15 et suivants) sans dire quels droits sont applicables pour chaque traitement n’est pas suffisant.
Il faut indiquer quelle(s) durée(s) pour quel traitement (13.2.a : «la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée»).
«Le temps nécessaire» ne répond pas à cette exigence.
Certains sites web détaillent tous les traitements dans leur «politique»; cela explique à la fois ce qui est fait et respecte la nécessaire information au titre des articles 13 et 14 ; c’est très bien.
Reste à faire de même en interne (traitements RH, …).
Mais encore une fois cela n’est en rien une obligation en tant que telle.
Un site institutionnel peut très bien limiter l’information aux traitements auquel le site web contribue (prospection, newsletter, contacts, …) mais n’a aucune obligation d’informer sur la gestion des prospect / clients, ce qui peut se faire via les demandes de devis ou encore les contrats par exemple.
Tout dépend bien sûr des processus, s’il s’agit de B2C ou B2B, …
En résumé :
Informer les visiteurs d’un site de la bonne prise en compte du RGPD est très bien … mais pas obligatoire ;
Informer au titre des articles 13 et 14 pour les traitements auxquels le site participe est nécessaire mais il faut alors le faire en détaillant traitement par traitement.
On pourrait également parler des transferts de données hors UE.
Certaines politiques indiquent que, en cas de transfert hors UE, les mesures appropriées seront prises (CCT[1], …). C’est mieux que rien mais il nous semble que le RGPD (13.1;f et 14.1.f) demande que, pour chaque traitement, le(s) pays concerné(s) et les mesures mises en œuvre (CCT, garanties appropriées de l’article46, …) soient indiqués.
--
[1] Terme généralement utilisé mais bien mal employé car il correspond à plusieurs notions (cf. mon article Vous avez dit CCT ?). Le RGPD parle de Clauses Type de Protection.
