GDPR

1. Engagement général en matière de protection des données

La protection des données à caractère personnel constitue un principe fondamental applicable à l’ensemble des opérations de traitement mises en œuvre.

Dans cette perspective, les traitements sont conçus, organisés et réalisés conformément aux principes suivants :

• traitement licite, loyal et transparent des données ;

• utilisation des données pour des finalités déterminées, explicites et légitimes ;

• limitation de la collecte aux informations strictement nécessaires aux objectifs poursuivis ;

• maintien de l’exactitude et de la mise à jour des données lorsque cela est approprié ;

• conservation des informations pendant une durée adaptée aux finalités du traitement ;

• mise en œuvre de mesures destinées à garantir la confidentialité, l’intégrité et la sécurité des données traitées.

2. Champ d’application de la présente déclaration

La présente déclaration s’applique à toute activité de traitement entrant dans le champ d’application du Règlement Général sur la Protection des Données (RGPD/GDPR).

Elle concerne notamment les traitements réalisés dans le cadre de l’offre de biens ou de services à des personnes situées en France ou dans un État membre de l’Union européenne.

Elle s’applique également lorsque des opérations de traitement, même effectuées en dehors de l’Union européenne, impliquent l’observation, le suivi ou l’analyse du comportement de personnes se trouvant sur le territoire de l’Union européenne.

Les dispositions de la présente déclaration couvrent aussi bien les données conservées sous forme électronique que les informations contenues dans des dossiers papier structurés.

En revanche, les traitements réalisés exclusivement dans le cadre d’activités strictement personnelles ou domestiques ne relèvent pas de son champ d’application.

3. Droits des personnes concernées

Conformément aux dispositions du RGPD, toute personne concernée bénéficie de plusieurs droits relatifs à ses données personnelles, notamment :

• le droit à l’information ;

• le droit d’accès ;

• le droit de rectification ;

• le droit à l’effacement lorsque les conditions légales sont réunies ;

• le droit à la limitation du traitement ;

• le droit d’opposition dans les cas prévus par la réglementation ;

• le droit à la portabilité des données ;

• le droit de retirer son consentement lorsque le traitement repose sur celui-ci.

Le retrait du consentement ne remet pas en cause la licéité des traitements effectués avant son retrait.

Toute personne estimant que le traitement de ses données n’est pas conforme à la réglementation applicable peut également saisir l’autorité compétente en matière de protection des données.

Lorsque la législation applicable l’exige, les utilisateurs âgés de moins de 15 ans peuvent être tenus d’obtenir l’autorisation préalable de leur représentant légal.

4. Obligations applicables aux partenaires et sous-traitants

Les prestataires, partenaires commerciaux et intervenants participant à des opérations impliquant des données personnelles, notamment dans les domaines de la logistique, du service clientèle, de l’hébergement ou des services techniques, sont tenus de respecter des obligations appropriées en matière de protection des données.

À ce titre, ils doivent notamment :

• traiter les données conformément aux instructions documentées qui leur sont communiquées ;

• mettre en place des mesures de sécurité adaptées ;

• contribuer à la mise en œuvre des droits des personnes concernées ;

• signaler les incidents de sécurité ou violations de données lorsque la réglementation l’exige ;

• conserver les registres ou documents nécessaires aux obligations de conformité ;

• respecter l’ensemble des exigences prévues par la législation applicable en matière de protection des données.

5. Transferts de données en dehors de l’Espace Économique Européen

Lorsqu’un transfert de données personnelles vers un pays situé hors de l’Espace Économique Européen (EEE) est nécessaire, des garanties appropriées sont mises en œuvre afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment comprendre :

• une décision d’adéquation adoptée par la Commission européenne ;

• les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne ;

• des mesures complémentaires de sécurité telles que le chiffrement des données ou des mécanismes renforcés de contrôle des accès.

6. Contrôle réglementaire et autorité compétente

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de veiller au respect des règles applicables à la protection des données personnelles.

Dans le cadre de ses missions, la CNIL peut notamment :

• effectuer des contrôles ;

• exiger la mise en conformité de certains traitements ;

• demander la limitation ou la suspension d’opérations de traitement non conformes ;

• mettre en œuvre les mesures prévues par la réglementation applicable.

La législation en vigueur prévoit également des mécanismes de correction, de mise en conformité et de sanction en cas de manquement aux obligations relatives à la protection des données.

7. Engagements de conformité au RGPD

Afin de respecter les exigences du RGPD, les engagements suivants sont appliqués :

• favoriser l’exercice effectif du contrôle des utilisateurs sur leurs données personnelles ;

• fournir des informations claires, compréhensibles et transparentes concernant les traitements réalisés ;

• assurer une gestion responsable des données personnelles ;

• mettre en œuvre des mesures techniques et organisationnelles adaptées à la protection de la confidentialité et de la sécurité des données ;

• appliquer, lorsque cela est approprié, les principes de protection des données dès la conception (« Privacy by Design ») et de protection des données par défaut (« Privacy by Default »).