GDPR

1. Champ d’application de la présente déclaration

La présente déclaration s’applique à toute opération de traitement de données à caractère personnel entrant dans le champ d’application du Règlement Général sur la Protection des Données (RGPD/GDPR).

Elle concerne notamment les traitements réalisés dans le cadre de la fourniture de biens ou de services à des personnes situées en France ou dans un État membre de l’Union européenne.

Ses dispositions demeurent également applicables lorsque des activités de traitement sont effectuées en dehors de l’Union européenne dès lors qu’elles impliquent l’observation, l’analyse ou l’évaluation de comportements de personnes se trouvant sur le territoire de l’Union.

La présente déclaration couvre aussi bien les données conservées sous format électronique que les informations contenues dans des dossiers papier structurés.

Les traitements réalisés exclusivement dans le cadre d’activités personnelles ou domestiques ne relèvent pas de son champ d’application.

2. Principes applicables aux traitements de données

La protection des données personnelles constitue un principe fondamental applicable à l’ensemble des activités de traitement.

Dans ce cadre, les traitements sont organisés et mis en œuvre conformément aux principes suivants :

• Les données sont traitées de manière licite, loyale et transparente ;
• Les traitements poursuivent des finalités déterminées, explicites et légitimes ;
• Seules les données nécessaires à la réalisation des objectifs poursuivis sont collectées ;
• Les informations font l’objet de mesures visant à préserver leur exactitude ;
• Les durées de conservation sont définies en fonction des finalités concernées ;
• La confidentialité, l’intégrité et la sécurité des données sont protégées par des mesures appropriées.

3. Droits reconnus aux personnes concernées

Conformément aux dispositions du RGPD, toute personne concernée dispose notamment des droits suivants :

• Droit à l’information ;
• Droit d’accès à ses données personnelles ;
• Droit de rectification ;
• Droit à l’effacement lorsque les conditions légales sont réunies ;
• Droit à la limitation du traitement ;
• Droit d’opposition dans les cas prévus par la réglementation ;
• Droit à la portabilité des données ;
• Droit de retirer son consentement lorsque le traitement repose sur celui-ci.

Le retrait du consentement n’affecte pas la légalité des traitements effectués avant sa révocation.

Toute personne estimant que le traitement de ses données personnelles n’est pas conforme aux exigences légales applicables peut également introduire une réclamation auprès de l’autorité compétente en matière de protection des données.

Lorsque la réglementation applicable l’exige, les utilisateurs âgés de moins de 15 ans peuvent être tenus d’obtenir l’autorisation préalable de leur représentant légal.

4. Obligations des partenaires et sous-traitants

Les partenaires, prestataires et sous-traitants participant au traitement de données personnelles, notamment dans les domaines de la logistique, du service clientèle, de l’hébergement du site ou des services techniques, sont tenus de respecter des obligations appropriées en matière de protection des données.

Ces obligations comprennent notamment :

• Le traitement des données conformément aux instructions documentées reçues ;
• La mise en œuvre de mesures de sécurité adaptées ;
• L’assistance nécessaire à l’exercice des droits des personnes concernées ;
• La notification des incidents de sécurité ou violations de données lorsque la loi l’exige ;
• La conservation des registres ou documents requis relatifs aux activités de traitement ;
• Le respect des lois et réglementations applicables en matière de protection des données.

5. Transferts internationaux de données

Lorsqu’un transfert de données personnelles vers un pays situé en dehors de l’Espace Économique Européen (EEE) est nécessaire, des garanties appropriées sont mises en place afin d’assurer un niveau de protection adéquat.

Ces garanties peuvent notamment inclure :

• Une décision d’adéquation adoptée par la Commission européenne ;
• Les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne ;
• Des mesures complémentaires de sécurité telles que le chiffrement des données ou des mécanismes de contrôle des accès.

6. Contrôle réglementaire et supervision

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité chargée de veiller au respect de la réglementation applicable en matière de protection des données personnelles.

Dans le cadre de ses missions légales, la CNIL peut notamment :

• Réaliser des contrôles ;
• Exiger la mise en conformité des traitements ;
• Demander la limitation ou la suspension d’activités de traitement non conformes ;
• Mettre en œuvre les mesures prévues par la législation applicable.

Les manquements aux obligations relatives à la protection des données personnelles peuvent donner lieu aux mesures correctrices et sanctions prévues par les textes applicables.

7. Engagements en matière de conformité

Afin d’assurer le respect des exigences du RGPD, nous nous engageons à :

• Garantir aux utilisateurs une maîtrise appropriée de leurs données personnelles ;
• Fournir des informations claires, accessibles et transparentes concernant les traitements réalisés ;
• Assurer une gestion responsable des données personnelles ;
• Mettre en œuvre des mesures techniques et organisationnelles adaptées afin de préserver la confidentialité et la sécurité des informations ;
• Appliquer, lorsque cela est approprié, les principes de protection des données dès la conception (« Privacy by Design ») et de protection des données par défaut (« Privacy by Default »).