Avis relatif au RGPD

I. Introduction

Le Règlement général sur la protection des données (RGPD) encadre le traitement des données personnelles au sein de l’Union européenne. En France, la loi Informatique et Libertés complète ce cadre. La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité de contrôle compétente.

II. Champ d’application

Ces règles s’appliquent aux responsables de traitement et sous-traitants établis en France, ainsi qu’aux organisations situées hors de France lorsqu’elles proposent des biens ou services à des personnes se trouvant en France ou suivent leur comportement. Elles couvrent les traitements automatisés et certains traitements non automatisés intégrés à un fichier.

III. Principes de traitement

Les données doivent être traitées de manière licite, loyale et transparente, pour des finalités déterminées et légitimes. Seules les données nécessaires doivent être collectées. Elles doivent être exactes, conservées pendant une durée appropriée et protégées par des mesures techniques et organisationnelles adaptées.

IV. Droits des personnes concernées

Conformément au RGPD et au droit français, vous pouvez disposer notamment d’un droit à l’information, d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition, dans les conditions prévues par la réglementation. Pour les mineurs, les règles de consentement applicables doivent être respectées.

V. Obligations des sous-traitants et responsables de traitement

Les sous-traitants doivent agir selon les instructions documentées du responsable de traitement, mettre en œuvre des mesures de sécurité appropriées, assister le responsable de traitement et signaler rapidement toute violation de données. Le responsable de traitement tient, lorsque nécessaire, un registre des activités et réalise une analyse d’impact en cas de risque élevé. La désignation d’un délégué à la protection des données peut être obligatoire dans certains cas.

VI. Transferts internationaux de données

Tout transfert de données en dehors de l’Espace économique européen doit reposer sur un mécanisme juridique valable, comme une décision d’adéquation, des clauses contractuelles types ou toute autre garantie autorisée par la réglementation.

VII. Contrôle et sanctions

La CNIL peut effectuer des contrôles, adresser des avertissements ou mises en demeure, limiter ou interdire certains traitements et prononcer des sanctions conformément au RGPD. Le cadre français permet également de donner des directives concernant le sort de certaines données après le décès.