GDPR

Introduction
Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles afin de mettre en œuvre le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne.
Cette loi modifie et intègre la loi française de 1978 relative à l’informatique, aux fichiers et aux libertés. La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité de contrôle nationale chargée de superviser, guider et appliquer le RGPD ainsi que ses dispositions en France.
Ainsi, la France dispose d’un cadre de protection des données personnelles conforme aux exigences européennes.

2. Champ d’application
Le cadre d’application du RGPD en France s’applique :
Aux responsables du traitement ou sous-traitants établis en France ;
Aux entités situées hors de France qui proposent des biens ou services à des personnes situées en France ou qui surveillent leur comportement sur le territoire français.

Que le traitement soit effectué dans ou hors de l’Union européenne, la loi s’applique dès lors qu’il concerne des données personnelles de personnes situées en France.
Elle couvre à la fois les traitements automatisés et ceux non automatisés faisant partie d’un système de fichiers structuré. Les activités purement personnelles ou domestiques sont exclues.

3. Principes de traitement des données
Licéité, loyauté et transparence : tout traitement doit reposer sur une base légale et être communiqué de manière transparente aux personnes concernées.
Limitation des finalités : les données ne peuvent être utilisées que pour des finalités précises et légitimes.
Minimisation des données : seules les données strictement nécessaires doivent être collectées.
Exactitude : les données doivent être exactes et mises à jour.
Limitation de la conservation : les données ne doivent être conservées que pour la durée nécessaire.
Intégrité et confidentialité : des mesures techniques et organisationnelles doivent être mises en place pour protéger les données contre la perte, la destruction ou l’accès non autorisé.

4. Droits des personnes concernées
Conformément au RGPD et au droit français, les personnes disposent des droits suivants :
Droit à l’information et d’accès : connaître et accéder aux données les concernant ;
Droit de rectification : corriger des données inexactes ou incomplètes ;
Droit à l’effacement (droit à l’oubli) : demander la suppression des données sous conditions légales ;
Droit à la limitation du traitement : restreindre l’utilisation des données dans certains cas ;
Droit à la portabilité : recevoir les données dans un format structuré et les transmettre à un autre responsable de traitement ;
Droit d’opposition : s’opposer au traitement basé sur l’intérêt légitime ou l’intérêt public.

Pour les mineurs de moins de 15 ans, le consentement parental ou du tuteur légal est requis pour le traitement des données personnelles.

5. Obligations des sous-traitants
Les sous-traitants doivent respecter strictement les instructions écrites du responsable du traitement.
Ils doivent mettre en œuvre des mesures de sécurité appropriées.
Ils doivent assister le responsable du traitement dans le respect des obligations légales, notamment en cas de demandes des personnes concernées.
En cas de violation de données, ils doivent informer immédiatement le responsable du traitement, qui doit notifier la CNIL dans un délai de 72 heures.
Le responsable du traitement doit tenir un registre des activités de traitement et effectuer une analyse d’impact (DPIA) lorsque nécessaire.
Certains organismes doivent désigner un Délégué à la Protection des Données (DPO) et le déclarer auprès de la CNIL.

6. Transferts internationaux de données
Lorsqu’un transfert de données personnelles est effectué vers un pays hors de l’Union européenne, le responsable du traitement doit garantir un niveau de protection adéquat.
Cela peut être assuré par :
Une décision d’adéquation de la Commission européenne ;
Ou la signature de clauses contractuelles types (SCC).

Après l’invalidation du Privacy Shield (16 juillet 2020), les entreprises doivent utiliser les nouvelles clauses contractuelles types de l’UE (version du 4 juin 2021) ou d’autres mécanismes légaux de transfert.

7. Contrôle et application
La CNIL dispose de larges pouvoirs de contrôle et de sanction, notamment :
Avertissements et mises en demeure ;
Restrictions ou interdictions de traitement ;
Amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu).

La loi française permet également aux individus de définir le sort de leurs données après leur décès. À défaut de directives, les données sont traitées conformément à la législation en vigueur.

Le cadre d’application du RGPD en France vise à protéger les droits des individus, renforcer la conformité des entreprises et promouvoir la confiance numérique.

8. Coordonnées
Pour toute question relative à cette politique ou au traitement des données personnelles, veuillez nous contacter via nos canaux de service client.