GDPR

1. Principes généraux de protection des données

La protection des données à caractère personnel constitue un principe fondamental applicable à l’ensemble des opérations de traitement.

Les activités de traitement sont organisées et mises en œuvre conformément aux principes suivants :

• traitement des données de manière licite, loyale et transparente ;
• collecte et utilisation des données pour des finalités déterminées, explicites et légitimes ;
• limitation des données collectées à celles strictement nécessaires aux objectifs poursuivis ;
• maintien de l’exactitude et de l’actualisation des informations lorsque cela est nécessaire ;
• conservation des données pendant une durée adaptée aux finalités du traitement ;
• mise en œuvre de mesures destinées à garantir la confidentialité, l’intégrité et la sécurité des informations traitées.

2. Champ d’application de la présente déclaration

La présente déclaration s’applique à tout traitement de données personnelles relevant du champ d’application du Règlement Général sur la Protection des Données (RGPD).

Elle couvre notamment les traitements réalisés dans le cadre de l’offre de biens ou de services à des personnes situées en France ou au sein de l’Union européenne.

Elle s’applique également lorsque des opérations de traitement, même effectuées en dehors de l’Union européenne, concernent l’observation, l’analyse ou le suivi de comportements de personnes se trouvant sur le territoire de l’Union européenne.

Son champ d’application inclut aussi bien les données conservées sous forme électronique que les informations contenues dans des dossiers papier structurés.

Les traitements réalisés exclusivement dans le cadre d’activités personnelles ou domestiques ne relèvent pas de la présente déclaration.

3. Droits des personnes concernées

Conformément au RGPD, les personnes concernées disposent de plusieurs droits relatifs à leurs données personnelles, notamment :

• le droit à l’information ;
• le droit d’accès ;
• le droit de rectification ;
• le droit à l’effacement lorsque les conditions légales sont réunies ;
• le droit à la limitation du traitement ;
• le droit d’opposition dans les cas prévus par la réglementation ;
• le droit à la portabilité des données ;
• le droit de retirer son consentement lorsque le traitement repose sur celui-ci.

Le retrait du consentement n’affecte pas la légalité des traitements effectués avant son retrait.

Toute personne estimant que ses données personnelles sont traitées en violation des dispositions applicables peut également introduire une réclamation auprès de l’autorité compétente en matière de protection des données.

Lorsque la législation applicable l’exige, les utilisateurs âgés de moins de 15 ans peuvent être tenus d’obtenir l’autorisation préalable de leur représentant légal.

4. Obligations des prestataires et partenaires intervenant dans le traitement des données

Les partenaires et prestataires participant à des opérations impliquant des données personnelles, notamment dans les domaines de la logistique, du service clientèle, de l’hébergement ou de l’assistance technique, sont tenus de respecter des exigences appropriées en matière de protection des données.

Leurs obligations peuvent notamment inclure :

• traiter les données uniquement sur la base d’instructions documentées ;
• mettre en œuvre des mesures de sécurité adaptées ;
• contribuer à l’exercice des droits des personnes concernées ;
• signaler les incidents de sécurité ou violations de données lorsque la réglementation l’exige ;
• conserver les documents et registres nécessaires aux obligations de conformité ;
• respecter l’ensemble des dispositions applicables en matière de protection des données.

5. Transferts de données en dehors de l’Espace Économique Européen

Lorsqu’un transfert de données personnelles vers un pays situé en dehors de l’Espace Économique Européen (EEE) est nécessaire, des garanties appropriées sont mises en place afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment reposer sur :

• une décision d’adéquation adoptée par la Commission européenne ;
• les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne ;
• des mesures complémentaires de sécurité telles que le chiffrement des données ou des mécanismes renforcés de contrôle des accès.

6. Contrôle réglementaire et autorité de supervision

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de veiller à l’application des règles relatives à la protection des données personnelles.

Dans le cadre de ses missions, cette autorité peut notamment :

• réaliser des contrôles ;
• exiger la mise en conformité de certains traitements ;
• demander la limitation ou la suspension de traitements non conformes ;
• mettre en œuvre les mesures prévues par les textes applicables.

Les manquements aux obligations relatives à la protection des données peuvent donner lieu aux mesures correctrices ou aux sanctions prévues par la législation en vigueur.

7. Engagements en matière de conformité

Afin d’assurer le respect des exigences du RGPD, nous nous engageons à :

• préserver la maîtrise des utilisateurs sur leurs données personnelles ;
• fournir des informations claires et transparentes concernant les traitements effectués ;
• administrer les données de manière responsable et conforme aux exigences réglementaires ;
• mettre en œuvre des mesures techniques et organisationnelles appropriées afin de protéger la confidentialité et la sécurité des données ;
• appliquer, lorsque cela est pertinent, les principes de protection des données dès la conception (« Privacy by Design ») et de protection des données par défaut (« Privacy by Default »).