GDPR

I. Introduction

Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles afin de mettre en œuvre le Règlement général sur la protection des données (RGPD / GDPR) de l’Union européenne.
Cette loi a modifié et consolidé la Loi Informatique et Libertés de 1978.

La Commission Nationale de l’Informatique et des Libertés (CNIL) agit en tant qu’autorité nationale de régulation et est responsable de la supervision, de l’orientation et de l’application du RGPD ainsi que de ses règlements d’application en France.

Grâce à cette législation, la France a établi un système de protection des données personnelles conforme aux exigences de l’Union européenne.

II. Champ d’application

La réglementation française mettant en œuvre le RGPD s’applique :

• à tous les responsables de traitement ou sous-traitants établis en France ;

• ainsi qu’aux organisations situées en dehors de la France qui proposent des biens ou services à des personnes situées en France, ou qui surveillent leur comportement sur le territoire français.

Elle s’applique indépendamment du fait que le traitement des données soit effectué au sein de l’Union européenne ou en dehors de celle-ci, dès lors que des données personnelles de personnes situées en France sont concernées.

Elle couvre également :

• les traitements automatisés ;

• les traitements non automatisés faisant partie d’un système de fichiers.

Les activités strictement personnelles ou domestiques ne sont pas concernées par cette réglementation.

III. Principes du traitement des données

Le traitement des données personnelles doit respecter les principes suivants :

Licéité, loyauté et transparence :
Tout traitement doit reposer sur une base juridique claire et être communiqué de manière transparente aux personnes concernées.

Limitation des finalités :
Les données personnelles ne peuvent être collectées que pour des objectifs spécifiques et légitimes.

Minimisation des données :
Seules les données nécessaires à la réalisation de ces objectifs doivent être collectées.

Exactitude :
Les données doivent être exactes et tenues à jour.

Limitation de la conservation :
Les données ne doivent être conservées que pendant la durée nécessaire, puis supprimées ou anonymisées.

Sécurité et confidentialité :
Les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles afin de prévenir toute fuite, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit français, les individus disposent des droits suivants :

Droit à l’information et droit d’accès :
Obtenir des informations sur les données collectées et accéder à celles-ci.

Droit de rectification :
Demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) :
Demander la suppression des données lorsque les conditions légales sont remplies.

Droit à la limitation du traitement :
Limiter l’utilisation des données dans certaines situations.

Droit à la portabilité des données :
Recevoir les données dans un format structuré et les transférer à un autre responsable du traitement.

Droit d’opposition :
S’opposer au traitement des données basé sur l’intérêt légitime ou l’intérêt public.

Pour les mineurs de moins de 15 ans, le traitement des données nécessite le consentement des parents ou du tuteur légal, et les informations doivent être présentées dans un langage clair et compréhensible.

V. Obligations des sous-traitants et responsables de traitement

Les sous-traitants doivent :

• respecter strictement les instructions écrites du responsable du traitement ;

• mettre en œuvre des mesures de sécurité appropriées pour protéger les données ;

• assister le responsable du traitement dans le respect de ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit informer immédiatement le responsable du traitement, qui doit ensuite notifier la CNIL dans un délai de 72 heures.

Les responsables du traitement doivent également :

• tenir un registre des activités de traitement ;

• effectuer une analyse d’impact relative à la protection des données (DPIA) lorsque le traitement présente un risque élevé.

Certaines organisations doivent également nommer un Délégué à la Protection des Données (DPO) et l’enregistrer auprès de la CNIL.

VI. Transfert international de données

Lorsque des données personnelles sont transférées vers des pays situés en dehors de l’Union européenne, le responsable du traitement doit garantir que le pays destinataire offre un niveau de protection adéquat.

Cela peut être assuré par :

• une décision d’adéquation de la Commission européenne ;

• ou la signature des Clauses Contractuelles Types (CCT / SCCs) de l’Union européenne.

Depuis l’invalidation du Privacy Shield le 16 juillet 2020, les entreprises françaises doivent utiliser les nouvelles clauses contractuelles standard adoptées le 4 juin 2021 ou d’autres mécanismes légaux de transfert.

VII. Supervision et sanctions

La CNIL dispose de larges pouvoirs de contrôle et de sanction, notamment :

• émettre des avertissements ou des mises en demeure ;

• limiter ou interdire certaines opérations de traitement ;

• imposer des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Par ailleurs, la législation française permet aux personnes de déterminer le sort de leurs données personnelles après leur décès. En l’absence d’instructions, le traitement des données doit respecter les lois en vigueur.

Le cadre d’application du RGPD en France vise à protéger les droits relatifs aux données personnelles, renforcer la conformité des entreprises et favoriser la confiance numérique.

VIII. Coordonnées 

Téléphone :+1 (253) 390-1429
E-mail :solutions@hemloxer.com
Adresse :17840 32ND AVE S APT B4,SEATAC,WA 98188-4228,United States
Heures d’ouverture : du lundi au vendredi, de 9h00 à 18h00 (heure d’Europe centrale)