RGPD
Ⅰ. Champ d’application
Les dispositions présentes encadrent les opérations impliquant des données à caractère personnel concernant des utilisateurs situés en France ou dans l’Union européenne.
Elles couvrent les situations dans lesquelles des biens ou services sont proposés à des personnes se trouvant en France, ainsi que les cas où leur comportement est analysé ou suivi, même si les opérations de traitement sont réalisées en dehors du territoire de l’Union européenne.
Les règles s’appliquent aussi bien aux données conservées sous forme numérique qu’aux informations archivées dans des supports papier structurés.
Les activités réalisées exclusivement dans un cadre personnel ou domestique ne relèvent pas du présent dispositif.
Ⅱ. Principes applicables au traitement
Toute opération portant sur des données personnelles doit respecter plusieurs exigences fondamentales :
le traitement doit reposer sur une base légale et être effectué de manière loyale et transparente ;
les données collectées doivent répondre à des finalités déterminées et rester limitées à ce qui est nécessaire ;
le volume d’informations doit être réduit au strict nécessaire et maintenu à jour ;
les informations ne sont conservées que pendant la durée justifiée par leur finalité ;
des mesures doivent être mises en place afin de préserver l’intégrité et la confidentialité des données et d’éviter tout accès non autorisé ou toute divulgation.
Ⅲ. Droits des personnes concernées
Conformément au Règlement général sur la protection des données (RGPD), chaque utilisateur dispose notamment des droits suivants :
droit à l’information, à l’accès aux données et à leur rectification ;
droit à l’effacement des informations personnelles (droit à l’oubli) ;
possibilité de limiter certains traitements ou de s’y opposer ;
droit à la portabilité des données ;
faculté de retirer un consentement précédemment accordé.
Pour les personnes âgées de moins de quinze ans, toute autorisation doit être donnée par un parent ou un représentant légal.
Ⅳ. Obligations des sous-traitants
Les partenaires impliqués dans le traitement des données, notamment dans les domaines de la logistique, du support client ou de l’hébergement technique, sont tenus de :
réaliser les opérations uniquement sur la base d’instructions documentées ;
mettre en œuvre des dispositifs de sécurité appropriés ;
apporter leur assistance lors de la gestion des demandes formulées par les utilisateurs concernant leurs données ;
signaler tout incident lié à une violation de données ;
conserver les registres relatifs aux activités de traitement ;
désigner, lorsque cela est requis, un délégué à la protection des données (DPO) et effectuer les notifications nécessaires auprès de la CNIL.
Ⅴ. Transfert international de données
Lorsque des informations personnelles sont transférées en dehors de l’Espace économique européen, un niveau de protection adéquat doit être assuré.
Ce niveau peut notamment reposer sur :
une décision d’adéquation adoptée par la Commission européenne ;
la mise en place de clauses contractuelles types (SCC) ;
des mesures complémentaires telles que le chiffrement des données ou des mécanismes de contrôle d’accès.
Ⅵ. Autorité de contrôle et sanctions
La Commission Nationale de l’Informatique et des Libertés (CNIL) dispose de pouvoirs lui permettant notamment :
de procéder à des vérifications et audits ;
d’ordonner la suspension ou l’interdiction de traitements non conformes ;
d’appliquer des sanctions financières pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Ⅶ. Cadre de conformité
Les opérations de traitement reposent sur les orientations suivantes :
maintenir la capacité des utilisateurs à exercer un contrôle sur leurs informations personnelles ;
assurer la clarté et la responsabilité dans la gestion des données ;
réduire les risques liés à la confidentialité grâce à des mesures techniques et organisationnelles adaptées.
Ⅷ. Coordonnées de contact
Adresse :
12601 68th Ave S Apt 22D, Seattle, Washington 98178-4164, États-Unis
Téléphone :
+1 (253) 304-4698
E-mail :
Heures d’ouverture :
Lundi – Vendredi : 9h00–18h00 (CET)
Ⅸ. Représentant au titre de l’article 27 du RGPD
Un représentant au sein de l’Union européenne est désigné afin de traiter les demandes relatives à l’accès, à la rectification ou à la suppression des données personnelles.