GDPR

1. Champ d’application de la présente déclaration

La présente déclaration s’applique à l’ensemble des opérations de traitement de données à caractère personnel soumises au Règlement Général sur la Protection des Données (RGPD/GDPR).

Elle concerne notamment les traitements réalisés dans le cadre de la fourniture de biens ou de services à des personnes situées en France ou dans un État membre de l’Union européenne.

Ses dispositions demeurent également applicables lorsque des opérations de traitement sont effectuées en dehors de l’Union européenne dès lors qu’elles impliquent l’observation, l’analyse ou le suivi du comportement de personnes se trouvant sur le territoire de l’Union européenne.

La présente déclaration couvre aussi bien les informations conservées sous forme électronique que les données figurant dans des dossiers papier structurés.

Les traitements réalisés exclusivement dans le cadre d’activités personnelles ou domestiques ne relèvent pas du champ d’application de cette déclaration.

2. Principes fondamentaux applicables au traitement des données

La protection des données personnelles constitue un principe essentiel guidant l’ensemble des activités de traitement.

Les traitements sont organisés et réalisés conformément aux principes suivants :

• traitement licite, loyal et transparent ;

• utilisation des données pour des finalités déterminées, explicites et légitimes ;

• limitation de la collecte aux données strictement nécessaires aux objectifs poursuivis ;

• maintien de l’exactitude et de la mise à jour des informations lorsque cela est nécessaire ;

• conservation des données pendant une durée adaptée aux finalités du traitement ;

• mise en œuvre de mesures garantissant la confidentialité, l’intégrité et la sécurité des données traitées.

3. Engagements en matière de conformité et de gouvernance des données

Dans le cadre du respect des exigences du RGPD, nous nous engageons à :

• garantir aux utilisateurs un contrôle approprié sur leurs données personnelles ;

• fournir des informations claires, accessibles et transparentes concernant les traitements réalisés ;

• assurer une gestion responsable des informations personnelles ;

• mettre en œuvre des mesures techniques et organisationnelles adaptées à la protection des données ;

• appliquer, lorsque cela est pertinent, les principes de protection des données dès la conception (Privacy by Design) et de protection des données par défaut (Privacy by Default).

4. Droits des personnes concernées

Conformément au RGPD, toute personne concernée bénéficie des droits suivants :

• droit à l’information ;

• droit d’accès à ses données personnelles ;

• droit de rectification ;

• droit à l’effacement lorsque les conditions légales sont réunies ;

• droit à la limitation du traitement ;

• droit d’opposition dans les cas prévus par la réglementation ;

• droit à la portabilité des données ;

• droit de retirer son consentement lorsque le traitement repose sur celui-ci.

Le retrait du consentement ne remet pas en cause la licéité des traitements effectués avant cette décision.

Toute personne estimant que le traitement de ses données personnelles n’est pas conforme à la réglementation applicable dispose également du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente.

Lorsque la législation applicable l’exige, les utilisateurs âgés de moins de 15 ans peuvent être tenus d’obtenir l’autorisation préalable de leur représentant légal.

5. Obligations des partenaires et sous-traitants

Les partenaires, prestataires et sous-traitants participant à des opérations impliquant des données personnelles, notamment dans les domaines de la logistique, du service clientèle, de l’hébergement ou de l’assistance technique, sont tenus de respecter des obligations appropriées en matière de protection des données.

Ces obligations comprennent notamment :

• le traitement des données uniquement selon des instructions documentées ;

• la mise en place de mesures de sécurité adaptées ;

• l’assistance nécessaire à l’exercice des droits des personnes concernées ;

• le signalement des incidents de sécurité ou violations de données lorsque la réglementation l’exige ;

• la conservation des registres ou documents nécessaires aux obligations légales applicables ;

• le respect de l’ensemble des dispositions légales et réglementaires relatives à la protection des données.

6. Transferts de données en dehors de l’Espace économique européen

Lorsqu’un transfert de données personnelles vers un pays situé en dehors de l’Espace économique européen (EEE) est nécessaire, des garanties appropriées sont mises en œuvre afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment inclure :

• une décision d’adéquation adoptée par la Commission européenne ;

• l’utilisation des Clauses Contractuelles Types (CCT/SCC) approuvées par la Commission européenne ;

• des mesures de sécurité complémentaires telles que le chiffrement des données, les mécanismes de contrôle des accès ou toute autre mesure appropriée.

7. Contrôle réglementaire et autorité compétente

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité chargée de veiller à l’application des règles relatives à la protection des données personnelles.

Dans le cadre des missions qui lui sont confiées par la loi, cette autorité peut notamment :

• procéder à des contrôles ;

• exiger la mise en conformité de certains traitements ;

• demander la limitation ou la suspension de traitements non conformes ;

• mettre en œuvre les mesures prévues par la réglementation applicable.

La législation applicable prévoit également différents mécanismes correctifs et sanctions en cas de manquement aux obligations relatives à la protection des données personnelles.