GDPR

Principes fondamentaux de protection des données

La protection des données à caractère personnel constitue un principe essentiel applicable à l’ensemble des opérations de traitement réalisées dans le cadre des activités concernées.

Les traitements sont organisés et mis en œuvre conformément aux principes suivants :

Les données sont traitées de manière licite, loyale et transparente ;

Les informations collectées sont utilisées uniquement pour des finalités déterminées, explicites et légitimes ;

Seules les données strictement nécessaires à la réalisation des objectifs poursuivis sont recueillies ;

Des mesures appropriées sont mises en place afin de maintenir l’exactitude des informations traitées ;

La durée de conservation des données est limitée à ce qui est nécessaire au regard des finalités concernées ;

La confidentialité, l’intégrité et la sécurité des données font l’objet d’une protection adaptée.

Champ d’application de la présente déclaration

La présente déclaration s’applique aux traitements de données personnelles soumis au Règlement Général sur la Protection des Données (RGPD).

Elle couvre notamment les activités de traitement réalisées dans le cadre de la fourniture de biens ou de services à des personnes situées en France ou dans l’Union européenne.

Elle demeure également applicable lorsque les opérations de traitement sont effectuées en dehors de l’Union européenne dès lors qu’elles concernent l’observation, l’analyse ou le suivi du comportement de personnes se trouvant sur le territoire de l’Union européenne.

Les dispositions de la présente déclaration concernent aussi bien les données conservées sous forme électronique que les informations contenues dans des dossiers papier structurés.

Les traitements effectués exclusivement dans le cadre d’activités personnelles ou domestiques ne relèvent pas du champ d’application de cette déclaration.

Droits reconnus aux personnes concernées

Conformément au RGPD, les personnes concernées disposent d’un ensemble de droits relatifs à leurs données personnelles.

Ces droits comprennent notamment :

Le droit à l’information ;

Le droit d’accès ;

Le droit de rectification ;

Le droit à l’effacement lorsque les conditions légales sont réunies ;

Le droit à la limitation du traitement ;

Le droit d’opposition dans les situations prévues par la réglementation ;

Le droit à la portabilité des données ;

Le droit de retirer son consentement lorsque le traitement repose sur cette base juridique.

Le retrait du consentement n’affecte pas la légalité des traitements réalisés avant son exercice.

Toute personne estimant que le traitement de ses données personnelles n’est pas conforme aux dispositions applicables peut également introduire une réclamation auprès de l’autorité compétente en matière de protection des données.

Lorsque la législation l’exige, les utilisateurs âgés de moins de 15 ans peuvent être tenus d’obtenir l’autorisation préalable de leur représentant légal.

Obligations des partenaires et sous-traitants

Les partenaires, prestataires et sous-traitants participant à des opérations impliquant des données personnelles, notamment dans les domaines de la logistique, du service client, de l’hébergement ou des services techniques, sont tenus de respecter des obligations appropriées en matière de protection des données.

Ces obligations comprennent notamment :

Le traitement des données conformément aux instructions documentées reçues ;

La mise en œuvre de mesures de sécurité adaptées ;

La coopération nécessaire à l’exercice des droits des personnes concernées ;

La notification des incidents de sécurité ou des violations de données lorsque la réglementation l’impose ;

La tenue des documents ou registres nécessaires aux activités de traitement ;

Le respect de l’ensemble des dispositions applicables en matière de protection des données personnelles.

Transferts de données en dehors de l’Espace Économique Européen

Lorsqu’un transfert de données personnelles vers un pays situé hors de l’Espace Économique Européen (EEE) est nécessaire, des garanties appropriées sont mises en place afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment comprendre :

Une décision d’adéquation adoptée par la Commission européenne ;

L’utilisation des Clauses Contractuelles Types (SCC) approuvées par la Commission européenne ;

La mise en œuvre de mesures complémentaires de sécurité telles que le chiffrement des données ou des mécanismes de contrôle des accès.

Contrôle et supervision réglementaires

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de veiller à l’application des règles relatives à la protection des données personnelles.

Dans le cadre de ses missions, cette autorité peut notamment :

Effectuer des contrôles ;

Demander la mise en conformité d’activités de traitement ;

Exiger la limitation ou la suspension de traitements non conformes ;

Mettre en œuvre les mesures prévues par la législation applicable.

Les manquements aux obligations relatives à la protection des données peuvent donner lieu aux mesures correctrices et mécanismes de sanction prévus par les textes en vigueur.

Engagements en matière de conformité

Afin d’assurer le respect des exigences prévues par le RGPD, les engagements suivants sont appliqués :

Préserver la maîtrise des utilisateurs sur leurs données personnelles ;

Fournir des informations claires, accessibles et transparentes concernant les traitements réalisés ;

Gérer les données personnelles avec diligence et responsabilité ;

Mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la confidentialité et la sécurité des informations ;

Appliquer, lorsque cela est pertinent, les principes de protection des données dès la conception et de protection des données par défaut.