GDPR

1. Introduction

Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles afin d’assurer la mise en conformité du droit national avec le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne.

Cette loi a modifié et complété la Loi Informatique et Libertés de 1978.
La Commission Nationale de l’Informatique et des Libertés, connue sous le nom de Commission Nationale de l’Informatique et des Libertés (CNIL), est l’autorité française chargée de contrôler, encadrer et faire appliquer les règles relatives à la protection des données personnelles.

Le cadre juridique français garantit ainsi un niveau élevé de protection des données conformément aux exigences européennes.

2. Champ d’application

Le RGPD et les dispositions françaises applicables concernent :

• toute organisation établie en France traitant des données personnelles ;
• toute entreprise proposant des biens ou services à des personnes situées en France ;
• ainsi que toute organisation surveillant le comportement de personnes présentes sur le territoire français.

Ces règles s’appliquent indépendamment du lieu où le traitement des données est effectué, dès lors que des données personnelles concernant des personnes en France sont impliquées.

Les traitements automatisés et certains traitements non automatisés organisés sous forme de fichiers sont également concernés.

Les activités strictement personnelles ou domestiques ne relèvent pas du champ d’application du RGPD.

3. Principes relatifs au traitement des données

Le traitement des données personnelles doit respecter les principes suivants :

• Licéité, loyenneté et transparence : les données doivent être traitées de manière légale et transparente.
• Limitation des finalités : les données ne peuvent être collectées que pour des objectifs précis et légitimes.
• Minimisation des données : seules les données strictement nécessaires doivent être collectées.
• Exactitude : les données doivent être exactes et régulièrement mises à jour.
• Limitation de la conservation : les données ne doivent pas être conservées au-delà de la durée nécessaire.
• Sécurité et confidentialité : des mesures techniques et organisationnelles doivent protéger les données contre toute perte, accès non autorisé ou divulgation.

4. Droits des personnes concernées

Conformément au RGPD et à la législation française, chaque personne dispose notamment des droits suivants :

• droit à l’information et droit d’accès ;
• droit de rectification des données inexactes ;
• droit à l’effacement des données (« droit à l’oubli ») ;
• droit à la limitation du traitement ;
• droit à la portabilité des données ;
• droit d’opposition au traitement de certaines données ;
• droit de retirer son consentement à tout moment lorsque le traitement repose sur celui-ci.

Pour les mineurs de moins de 15 ans, le traitement des données personnelles nécessite l’autorisation des parents ou du représentant légal conformément au droit français applicable.

5. Obligations des responsables de traitement et sous-traitants

Les responsables du traitement et les sous-traitants doivent :

• mettre en place des mesures de sécurité adaptées ;
• garantir la confidentialité des données ;
• respecter les instructions écrites du responsable du traitement ;
• assister dans le traitement des demandes liées aux droits des utilisateurs ;
• documenter les activités de traitement lorsque cela est requis.

En cas de violation de données personnelles, le responsable du traitement doit notifier la Commission Nationale de l’Informatique et des Libertés dans un délai maximal de 72 heures lorsque la réglementation l’exige.

Dans certaines situations, la désignation d’un Délégué à la Protection des Données (DPO) peut être obligatoire.

6. Transfert international des données

Lorsque des données personnelles sont transférées en dehors de l’Union européenne, des garanties appropriées doivent être mises en place afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment inclure :

• une décision d’adéquation adoptée par la Commission européenne ;
• l’utilisation des Clauses Contractuelles Types (SCCs) approuvées par l’Union européenne ;
• ou tout autre mécanisme reconnu par la réglementation applicable.

Les transferts internationaux sont réalisés conformément aux exigences du RGPD et aux recommandations des autorités compétentes.

7. Contrôle et sanctions

La Commission Nationale de l’Informatique et des Libertés dispose de pouvoirs de contrôle et de sanction étendus.

Elle peut notamment :

• adresser des avertissements ;
• ordonner la mise en conformité ;
• limiter ou suspendre certains traitements ;
• imposer des sanctions financières conformément au RGPD.

Les sanctions peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

La législation française prévoit également des dispositions spécifiques concernant la gestion des données personnelles après le décès d’une personne.

8. Contact

Pour toute question relative à la protection des données personnelles ou à l’exercice de vos droits, vous pouvez contacter notre service dédié via nos moyens de contact habituels.