GDPR

1. Champ d’application de la présente déclaration

La présente déclaration s’applique à l’ensemble des traitements de données à caractère personnel soumis au Règlement Général sur la Protection des Données (RGPD).

Elle couvre notamment les traitements réalisés dans le cadre de la fourniture de biens ou de services à des personnes situées en France ou dans un État membre de l’Union européenne.

Son application demeure également requise lorsque des opérations de traitement effectuées en dehors de l’Union européenne concernent l’observation, l’analyse ou le suivi du comportement de personnes se trouvant sur le territoire de l’Union européenne.

Les dispositions de cette déclaration concernent aussi bien les données conservées sous format électronique que les informations contenues dans des dossiers papier structurés.

Les traitements réalisés exclusivement dans un contexte personnel ou domestique ne relèvent pas du champ d’application de la présente déclaration.

2. Principes applicables aux traitements de données

La protection des données personnelles constitue un principe fondamental encadrant l’ensemble des opérations de traitement.

Toute activité de traitement est organisée et mise en œuvre conformément aux principes suivants :

• traitement licite, loyal et transparent ;
• utilisation des données pour des finalités déterminées, explicites et légitimes ;
• collecte limitée aux informations strictement nécessaires aux objectifs poursuivis ;
• maintien de l’exactitude et de l’actualisation des données lorsque cela est approprié ;
• conservation des données pendant une durée adaptée aux finalités du traitement ;
• protection de la confidentialité, de l’intégrité et de la sécurité des informations traitées.

3. Droits reconnus aux personnes concernées

Conformément au RGPD, les personnes concernées bénéficient de plusieurs droits relatifs à leurs données personnelles.

Ces droits comprennent notamment :

• le droit à l’information ;
• le droit d’accès ;
• le droit de rectification ;
• le droit à l’effacement lorsque les conditions légales sont réunies ;
• le droit à la limitation du traitement ;
• le droit d’opposition dans les situations prévues par la réglementation ;
• le droit à la portabilité des données ;
• le droit de retirer son consentement lorsque le traitement repose sur celui-ci.

Le retrait du consentement n’affecte pas la validité des traitements réalisés légalement avant son retrait.

Toute personne estimant que le traitement de ses données n’est pas conforme à la réglementation applicable peut également introduire une réclamation auprès de l’autorité compétente en matière de protection des données.

Lorsque la réglementation l’exige, les utilisateurs âgés de moins de 15 ans peuvent être tenus d’obtenir l’autorisation préalable de leur représentant légal.

4. Obligations des prestataires et partenaires intervenant dans les traitements

Les prestataires et partenaires participant aux opérations de traitement de données personnelles, notamment dans les domaines de la logistique, du service clientèle, de l’hébergement ou de l’assistance technique, sont tenus de respecter des obligations appropriées en matière de protection des données.

Ces obligations peuvent notamment inclure :

• le traitement des données conformément aux instructions écrites reçues ;
• la mise en œuvre de mesures de sécurité adaptées ;
• la coopération nécessaire à l’exercice des droits des personnes concernées ;
• la notification des incidents de sécurité ou violations de données lorsque la réglementation l’impose ;
• la tenue des registres ou documents de traitement requis ;
• le respect des lois et réglementations applicables en matière de protection des données.

5. Transferts de données en dehors de l’Espace Économique Européen

Lorsqu’un transfert de données personnelles vers un pays situé hors de l’Espace Économique Européen (EEE) est nécessaire, des garanties appropriées sont mises en place afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment reposer sur :

• une décision d’adéquation adoptée par la Commission européenne ;
• les Clauses Contractuelles Types (CCT/SCC) approuvées par la Commission européenne ;
• des mesures de sécurité complémentaires telles que le chiffrement des données ou des mécanismes de contrôle des accès.

6. Autorité de contrôle compétente

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de veiller au respect de la réglementation applicable en matière de protection des données personnelles.

Dans le cadre de ses missions, la CNIL peut notamment :

• procéder à des contrôles ;
• exiger la mise en conformité des traitements ;
• demander la limitation ou la suspension de traitements non conformes ;
• mettre en œuvre les mesures prévues par les textes applicables.

Les manquements aux obligations relatives à la protection des données peuvent donner lieu aux mesures correctrices et sanctions prévues par la réglementation en vigueur.

7. Engagements de conformité

Afin d’assurer le respect des exigences du RGPD, nous nous engageons à :

• garantir aux utilisateurs un contrôle approprié sur leurs données personnelles ;
• fournir des informations claires, accessibles et transparentes concernant les traitements réalisés ;
• gérer les données personnelles de manière responsable ;
• mettre en œuvre des mesures techniques et organisationnelles adaptées afin de préserver la confidentialité et la sécurité des informations ;
• appliquer, lorsque cela est pertinent, les principes de protection des données dès la conception et de protection des données par défaut.