La livraison est gratuite pour toute commande supérieure à 59,99 €
Tayowa

RGPD

 

I. Introduction

Le 20 juin 2018, la France a intégré les dispositions du Règlement Général sur la Protection des Données (RGPD) dans la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui régit la protection des données personnelles. L'Autorité française pour la protection des données (la CNIL), en tant qu'autorité de réglementation française, a publié des directives pour clarifier les dispositions de la loi de 1978. Grâce à une série de révisions et d'arrêtés d'application, la loi de 1978 est finalement alignée avec le RGPD, définissant le cadre général de la protection des données personnelles applicable en France.

II. Champ d'application

  1. Les présentes clauses s'appliquent au traitement des données personnelles effectué dans le cadre des activités d'un contrôleur ou d'un traitant établi en France, que ce traitement ait lieu en France ou non.
  1. Elles s'appliquent au traitement automatique des données personnelles ainsi qu'au traitement non automatique de données personnelles figurant dans un système de fichier. Cependant, le traitement effectué par une personne physique à des fins strictement personnelles ou familiales n'est pas soumis à ces clauses.
  1. Lorsque le contrôleur ou le traitant n'est pas établi en France, mais propose des biens ou des services aux personnes physiques résidant en France, ou 监视 les activités des personnes physiques en France, les présentes clauses s'appliquent également.
III. Principes de traitement des données
  1. Principe de légalité, d'équité et de transparence : Le traitement des données doit avoir une base légale, s'accomplir de manière équitable envers les personnes concernées et être transparent pour elles, en leur renseignant sur les informations relatives au traitement.
  1. Principe de limitation des finalités : Le traitement des données doit être basé sur des finalités spécifiques, précises et légales, et ne doit pas dépasser ces finalités pour de nouveaux traitements.
  1. Principe de minimisation des données : Seules les données personnelles nécessaires pour atteindre les finalités de traitement doivent être traitées, en évitant la collecte excessive.
  1. Principe d'exactitude : Les données personnelles traitées doivent être exactes et mises à jour régulièrement.
  1. Principe de limitation de conservation : La durée de conservation des données doit être déterminée en fonction des finalités de traitement, et les données doivent être supprimées ou anonymisées une fois cette durée écoulée.
  1. Principe d'intégrité et de confidentialité : Des mesures techniques et organisationnelles appropriées doivent être prises pour garantir l'intégrité et la confidentialité des données personnelles, en évitant les fuites, les altérations ou la perte de données.
IV. Droits des personnes concernées
  1. Droit à l'information : Les personnes concernées ont le droit de connaître les informations relatives au traitement de leurs données personnelles, y compris les finalités, les méthodes de traitement et la durée de conservation des données.
  1. Droit d'accès : Les personnes concernées ont le droit d'accéder à leurs données personnelles traitées et d'obtenir une copie de ces données.
  1. Droit à la rectification : Si les personnes concernées constatent que leurs données personnelles sont inexactes ou incomplètes, elles ont le droit de demander au contrôleur de les rectifier.
  1. Droit à l'effacement (droit à l'oubli) : Dans des conditions déterminées, les personnes concernées ont le droit de demander au contrôleur d'effacer leurs données personnelles.
  1. Droit à la limitation du traitement : Les personnes concernées ont le droit de limiter le traitement de leurs données personnelles dans certaines situations.
  1. Droit à la portabilité des données : Les personnes concernées ont le droit d'obtenir leurs données personnelles et de les transférer à un autre contrôleur, au format structuré, couramment utilisé et lisible par machine.
  1. Droit d'opposition : Les personnes concernées ont le droit d'opposer le traitement de leurs données personnelles en fonction de leur situation particulière, à moins que le contrôleur puisse prouver qu'il existe des motifs légitimes preponderants justifiant ce traitement.
Pour les mineurs de moins de 15 ans, le traitement de leurs données personnelles nécessite le consentement conjoint de l'enfant et de ses parents. Le contrôleur doit fournir les informations de manière adaptée à l'âge de l'enfant.

V. Obligations des traitants de données

  1. Le traitant de données doit effectuer le traitement des données personnelles uniquement conformément aux instructions données par le contrôleur, conformément au contrat passé entre eux.
  1. Il doit prendre des mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement des données personnelles, en évitant les fuites, les altérations ou la perte de données.
  1. Il doit aider le contrôleur à s'acquitter de ses obligations envers les personnes concernées, par exemple en aidant à traiter les demandes de droits des personnes concernées.
  1. En cas de fuite de données personnelles, il doit informer immédiatement le contrôleur et, le cas échéant, aider le contrôleur à informer la CNIL et les personnes concernées.
  1. Il doit conserver des enregistrements du traitement des données, contenant les informations détaillées relatives aux activités de traitement, afin de pouvoir être contrôlés par l'autorité de réglementation.
Lorsque le traitement concerne des groupes vulnérables (patients, personnes âgées, enfants, etc.), l'utilisation innovante de nouvelles technologies, des décisions automatiques ayant une portée juridique ou similaire, ou l'exclusion des intérêts liés à des droits ou des contrats, le contrôleur doit exécuter une évaluation d'impact sur la protection des données (EIPD) conformément aux conditions énoncées à l'article 35 du RGPD, avant de commencer le traitement. Si le niveau de risque restant après l'évaluation est toujours élevé, le contrôleur doit consulter la CNIL avant de procéder au traitement.
Le contrôleur doit nommer un responsable de la protection des données (RPD) conformément aux conditions énoncées à la Section 4 du Chapitre IV du RGPD. La nomination du RPD doit être notifiée en ligne à la CNIL en remplissant un formulaire contenant des informations de contact détaillées. Le RPD doit posséder des compétences spécifiques, telles que la compréhension des principes de traitement légal, de minimisation des données, et être capable de déterminer les bases légales des activités de traitement.

VI. Limitations à la transmission des données

  1. Lorsque les données personnelles sont transférées vers un pays ou une région en dehors de l'Union européenne, le contrôleur doit s'assurer que le destinataire dispose d'un niveau adéquat de protection des données. Par exemple, les pays tiers considérés par la Commission européenne comme ayant un niveau adéquat de protection, ou en utilisant des clauses contractuelles standard pour effectuer la transmission.
  1. Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a annulé le Shield Privacy. Le 4 juin 2021, la Commission européenne a adopté de nouvelles clauses contractuelles standard, et la CNIL a publié des directives détaillées pour aider les contrôleurs de données à identifier et gérer les transmissions de données personnelles en dehors de l'Union européenne. Les contrôleurs de données doivent suivre ces directives pour effectuer les transmissions de données.

VII. Surveillance et exécution

La CNIL, en tant qu'autorité de réglementation française en matière de protection des données, a le droit de surveiller et d'inspecter les activités de traitement des données personnelles. En cas de violation des présentes clauses et des autres règles applicables, la CNIL a le droit de prendre des mesures d'exécution, notamment d'émettre des avertissements, d'imposer des amendes, etc. Le montant des amendes est déterminé en fonction de la gravité de la violation et peut atteindre des millions d'euros.
Toute personne a le droit de définir des directives relatives à la conservation et à l'effacement de ses données personnelles après sa mort. Pour les personnes décédées, le traitement de leurs données personnelles doit se conformer aux règles applicables, à moins que la personne concernée n'ait expressément refusé ce traitement de son vivant.
Les présentes clauses ont pour objet de définir les exigences concrètes d'application du RGPD en matière de protection des données personnelles en France, afin de garantir que les données personnelles sont correctement protégées sur le territoire français, de protéger les droits légitimes des personnes concernées et de promouvoir un traitement légal et conforme des données. En pratique, les acteurs concernés doivent strictement se conformer à ces clauses et aux autres lois et règlements français applicables, et s'acquitter de leurs obligations en matière de protection des données.