GDPR

1. Champ d’application de la présente déclaration

La présente déclaration s’applique à l’ensemble des traitements de données à caractère personnel relevant du Règlement Général sur la Protection des Données (RGPD).

Elle concerne notamment les traitements réalisés dans le cadre de la fourniture de biens ou de services à des personnes situées en France ou dans un autre État membre de l’Union européenne.

Elle demeure également applicable lorsque les opérations de traitement sont effectuées en dehors de l’Union européenne dès lors qu’elles sont liées à l’observation, à l’analyse ou au suivi du comportement de personnes se trouvant sur le territoire de l’Union européenne.

Les dispositions de la présente déclaration couvrent aussi bien les données conservées sous forme électronique que les informations contenues dans des dossiers papier structurés.

Les traitements réalisés exclusivement dans le cadre d’activités personnelles ou domestiques ne relèvent pas du champ d’application de cette déclaration.

2. Principes fondamentaux applicables aux traitements de données

La protection des données personnelles constitue un principe essentiel encadrant l’ensemble des activités de traitement.

À ce titre, les traitements sont organisés et mis en œuvre conformément aux principes suivants :

• traitement des données de manière licite, loyale et transparente ;
• utilisation des données uniquement pour des finalités déterminées et légitimes ;
• collecte limitée aux informations nécessaires à la réalisation des objectifs poursuivis ;
• maintien d’un niveau approprié d’exactitude des données ;
• conservation des informations pendant une durée adaptée aux finalités du traitement ;
• protection de la confidentialité, de l’intégrité et de la sécurité des données traitées.

3. Droits des personnes concernées

Conformément au RGPD, toute personne concernée dispose notamment des droits suivants :

• droit à l’information ;
• droit d’accès aux données ;
• droit de rectification ;
• droit à l’effacement lorsque les conditions légales sont réunies ;
• droit à la limitation du traitement ;
• droit d’opposition dans les cas prévus par la réglementation ;
• droit à la portabilité des données ;
• droit de retirer son consentement lorsque le traitement repose sur celui-ci.

Le retrait du consentement n’affecte pas la licéité des traitements réalisés avant cette décision.

Toute personne estimant que le traitement de ses données personnelles n’est pas conforme à la réglementation applicable peut également introduire une réclamation auprès de l’autorité compétente en matière de protection des données.

Lorsque la législation applicable l’exige, les utilisateurs âgés de moins de 15 ans peuvent être tenus d’obtenir l’autorisation préalable de leur représentant légal.

4. Obligations des partenaires et sous-traitants

Les partenaires commerciaux, prestataires de services et sous-traitants participant à des opérations impliquant des données personnelles, notamment dans les domaines de la logistique, du service clientèle, de l’hébergement ou de l’assistance technique, sont tenus de respecter des exigences appropriées en matière de protection des données.

Leurs obligations peuvent notamment inclure :

• traiter les données conformément aux instructions documentées reçues ;
• mettre en œuvre des mesures de sécurité adaptées ;
• coopérer dans le cadre de l’exercice des droits des personnes concernées ;
• signaler les incidents de sécurité ou violations de données lorsque la réglementation l’impose ;
• conserver les registres ou documents requis pour les traitements concernés ;
• respecter les dispositions applicables en matière de protection des données personnelles.

5. Transferts de données en dehors de l’Espace économique européen

Lorsqu’un transfert de données personnelles vers un pays situé hors de l’Espace économique européen (EEE) est nécessaire, des garanties appropriées sont mises en place afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment reposer sur :

• une décision d’adéquation adoptée par la Commission européenne ;
• les Clauses Contractuelles Types (CCT/SCC) approuvées par la Commission européenne ;
• des mesures de sécurité complémentaires telles que le chiffrement des données ou des mécanismes de contrôle des accès.

6. Contrôle par l’autorité compétente

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de veiller au respect des règles applicables à la protection des données personnelles.

Dans le cadre de ses missions, la CNIL peut notamment :

• réaliser des contrôles ;
• exiger la mise en conformité de certains traitements ;
• demander la limitation ou la suspension d’opérations non conformes ;
• mettre en œuvre les mesures prévues par la réglementation applicable.

Les manquements aux obligations relatives à la protection des données peuvent donner lieu aux mesures correctrices et mécanismes de sanction prévus par les textes en vigueur.

7. Engagements en matière de conformité

Afin de respecter les exigences du RGPD, nous nous engageons à :

• garantir aux utilisateurs un niveau approprié de maîtrise de leurs données personnelles ;
• fournir des informations claires et transparentes sur les traitements réalisés ;
• assurer une gestion responsable des données collectées ;
• mettre en œuvre des mesures techniques et organisationnelles adaptées pour préserver la confidentialité et la sécurité des informations ;
• appliquer, lorsque cela est pertinent, les principes de protection des données dès la conception et par défaut.