GDPR

1. Introduction

Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles, afin de mettre en œuvre le Règlement général sur la protection des données (RGPD / GDPR) de l’Union européenne.

Cette loi modifie et complète la Loi Informatique et Libertés de 1978, qui constitue la base du droit français en matière de protection des données personnelles.

L’autorité nationale chargée de veiller au respect de ces règles est la Commission Nationale de l’Informatique et des Libertés (CNIL). Elle assure la supervision, l’orientation et l’application des dispositions du RGPD ainsi que des réglementations nationales correspondantes.

Grâce à cette législation, la France dispose aujourd’hui d’un cadre de protection des données conforme aux normes européennes.

2. Champ d’application

La réglementation française relative au RGPD s’applique :

• à tous les responsables du traitement et sous-traitants établis en France ;

• ainsi qu’aux organisations situées hors de France qui proposent des biens ou services à des personnes se trouvant en France ou qui surveillent leur comportement.

Elle s’applique indépendamment du lieu où le traitement des données est effectué, dès lors que des données personnelles de personnes situées en France sont concernées.

La réglementation couvre également :

• les traitements automatisés de données ;

• les traitements non automatisés lorsqu’ils font partie d’un système de fichiers structuré.

En revanche, les activités strictement personnelles ou domestiques ne sont pas soumises à cette réglementation.

3. Principes fondamentaux du traitement des données

Le traitement des données personnelles doit respecter plusieurs principes essentiels :

Licéité, loyauté et transparence
Les données doivent être traitées sur une base légale claire et les personnes concernées doivent être informées de manière transparente.

Limitation des finalités
Les données personnelles ne peuvent être collectées et utilisées que pour des objectifs précis et légitimes.

Minimisation des données
Seules les données strictement nécessaires à la réalisation des objectifs doivent être collectées.

Exactitude des données
Les informations doivent être exactes et régulièrement mises à jour.

Limitation de la conservation
Les données ne doivent être conservées que pendant la durée nécessaire à leur finalité, puis supprimées ou anonymisées.

Sécurité et confidentialité
Les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles afin de protéger les données contre tout accès non autorisé, perte ou altération.

4. Droits des personnes concernées

Conformément au RGPD et à la législation française, chaque personne dispose de plusieurs droits concernant ses données personnelles :

Droit à l’information et droit d’accès
Les individus peuvent savoir quelles données sont collectées à leur sujet et comment elles sont utilisées.

Droit de rectification
Ils peuvent demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli)
Dans certaines situations prévues par la loi, ils peuvent demander la suppression de leurs données.

Droit à la limitation du traitement
Dans certains cas, ils peuvent demander que l’utilisation de leurs données soit temporairement restreinte.

Droit à la portabilité des données
Les personnes peuvent recevoir leurs données dans un format structuré afin de les transférer vers un autre service.

Droit d’opposition
Ils peuvent s’opposer à certains traitements de leurs données, notamment lorsque ceux-ci reposent sur l’intérêt légitime ou l’intérêt public.

Pour les mineurs de moins de 15 ans, le traitement des données nécessite en principe le consentement des parents ou du représentant légal, et les informations doivent être présentées dans un langage clair et compréhensible.

5. Obligations des responsables de traitement et des sous-traitants

Les sous-traitants doivent agir uniquement sur instruction documentée du responsable de traitement.

Ils doivent également :

• mettre en place des mesures de sécurité appropriées pour protéger les données ;

• aider le responsable de traitement à répondre aux demandes des personnes concernées ;

• signaler toute violation de données personnelles au responsable de traitement sans délai.

En cas de violation de données, le responsable de traitement doit généralement notifier la CNIL dans un délai de 72 heures.

Les organisations doivent également :

• tenir un registre des activités de traitement ;

• réaliser, lorsque nécessaire, une analyse d’impact relative à la protection des données (DPIA) ;

• désigner dans certains cas un délégué à la protection des données (DPO) et le déclarer auprès de la CNIL.

6. Transfert international de données

Lorsque des données personnelles sont transférées en dehors de l’Union européenne, des garanties appropriées doivent être mises en place afin d’assurer un niveau de protection équivalent.

Cela peut inclure :

• une décision d’adéquation de la Commission européenne ;

• ou l’utilisation de clauses contractuelles types (Standard Contractual Clauses – SCC).

Après l’invalidation du mécanisme Privacy Shield le 16 juillet 2020, les entreprises françaises ont été invitées à utiliser les nouvelles clauses contractuelles types adoptées le 4 juin 2021 ou d’autres mécanismes légaux pour encadrer les transferts de données.

7. Contrôle et sanctions

La CNIL dispose de pouvoirs étendus pour contrôler le respect de la réglementation et sanctionner les manquements. Elle peut notamment :

• adresser des avertissements ou des mises en demeure ;

• limiter ou suspendre certaines opérations de traitement de données ;

• infliger des sanctions financières pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé.

Par ailleurs, la législation française permet aux personnes de définir des directives concernant l’utilisation de leurs données après leur décès. À défaut d’instructions, les données sont traitées conformément aux dispositions légales en vigueur.

8. Contact

Téléphone : +1 (425) 321-3662
E-mail :service@hazelwyn.com
Adresse :14805 WHITMAN AVE N APT 1,SHORELINE,WA 98133--6533,United States
Heures d’ouverture : du lundi au vendredi, de 9h00 à 18h00 (heure d’Europe centrale).