RGPD

I. Introduction

Le 20 juin 2018, la France a adopté la loi n° 2018-493 relative à la protection des données personnelles, transposant le Règlement général sur la protection des données (RGPD). Cette loi révise et consolide la loi de 1978 relative à la protection des données.

La Commission nationale de l'informatique et des libertés (CNIL), en tant qu'autorité de contrôle nationale, est chargée de veiller au respect du RGPD et de ses règlements d'application en France.

La France dispose ainsi d'un système de protection des données personnelles conforme aux exigences de l'Union européenne.

II. Champ d'application

Les règlements d'application du RGPD en France s'appliquent :

à tout responsable du traitement ou sous-traitant établi sur le territoire français ;

à toute organisation établie hors de France proposant des biens ou des services à des personnes situées en France, ou surveillant leur comportement sur le territoire français.

Quel que soit le lieu du traitement, dès lors qu'il concerne des données personnelles de personnes physiques situées en France, la loi s'applique. Elle couvre le traitement automatisé ainsi que le traitement non automatisé intégré à un système de fichiers.

Les activités à caractère exclusivement personnel ou domestique ne sont pas concernées par son champ d'application.

III. Principes du traitement des données

Légalité, loyauté et transparence : tout traitement doit reposer sur une base juridique claire et être effectué de manière transparente.

Limitation des finalités : les données ne peuvent être utilisées que pour des finalités spécifiques et légitimes.

Minimisation des données : seules les données strictement nécessaires doivent être collectées.

Exactitude : les données doivent être exactes et régulièrement mises à jour.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée strictement nécessaire, puis supprimées ou anonymisées.

Sécurité et confidentialité : des mesures techniques et organisationnelles appropriées doivent être mises en œuvre afin de prévenir toute violation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et à la législation française, les personnes concernées disposent des droits suivants :

Droit à l'information et d'accès ;

Droit de rectification ;

Droit à l'effacement (droit à l'oubli) ;

Droit à la limitation du traitement ;

Droit à la portabilité des données ;

Droit d'opposition.

Pour les mineurs de moins de 15 ans, le traitement de leurs données requiert le consentement d'un parent ou tuteur légal, et les informations doivent leur être fournies dans un langage clair et compréhensible.

V. Obligations des sous-traitants

Les sous-traitants doivent :

se conformer strictement aux instructions écrites du responsable du traitement ;

mettre en œuvre des mesures de sécurité appropriées ;

assister le responsable du traitement dans l'exécution de ses obligations, notamment pour répondre aux demandes des personnes concernées ;

notifier sans délai le responsable du traitement en cas de violation de données, lequel doit alors en informer la CNIL dans un délai de 72 heures.

Les responsables du traitement doivent tenir un registre des activités de traitement et réaliser une analyse d'impact relative à la protection des données (AIPD) en cas de risque élevé.

Certaines organisations doivent également désigner un délégué à la protection des données (DPO) et s'inscrire auprès de la CNIL.

VI. Transferts internationaux de données

Lorsqu'un transfert vers un pays hors UE est envisagé, le responsable du traitement doit garantir un niveau de protection adéquat. Ceci peut se faire par :

une décision d'adéquation de la Commission européenne ;

ou la signature de clauses contractuelles types (CCT).

Depuis l'invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises françaises doivent utiliser les nouvelles clauses contractuelles types adoptées le 4 juin 2021 ou tout autre mécanisme légal.

VII. Contrôle et mise en œuvre

La CNIL dispose de pouvoirs étendus, notamment :

le pouvoir d'émettre des avertissements ou des mises en demeure ;

le pouvoir de limiter ou d'interdire certains traitements ;

le pouvoir d'infliger des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.

Le droit français permet également aux personnes physiques de définir des directives relatives à l'utilisation de leurs données après leur décès. À défaut, le traitement doit être conforme à la réglementation applicable. Le cadre français de mise en œuvre du RGPD vise à garantir les droits des personnes, à renforcer la conformité des entreprises et à promouvoir la confiance dans l'environnement numérique.

VIII. Contact

Adresse : 615 Route de Romans, 26300 Alixan, France

Service client : +33 6 33 71 35 60

Courriel : info@au-bois-dore.com

Horaires d'ouverture : du lundi au samedi, de 9h00 à 18h00 (CET)