Téléphone : +1 (410) 510-2248
E-mail : contact@elvatorio.com
Adresse : 1431 MIDDLETOWN RD,ANNAPOLIS,MD 21409,United States
Horaires d’ouverture : du lundi au vendredi, de 9h00 à 18h00 (heure d’Europe centrale)
GDPR
I. Introduction
Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles afin de mettre en œuvre le Règlement général sur la protection des données (RGPD) de l’Union européenne.
Cette loi a révisé et modernisé la loi « Informatique et Libertés » de 1978. La Commission Nationale de l’Informatique et des Libertés (CNIL) agit en tant qu’autorité nationale chargée de contrôler, d’accompagner et de faire respecter le RGPD ainsi que ses règles d’application en France.
Grâce à ce cadre juridique, la France dispose d’un système de protection des données personnelles aligné sur les standards européens.
II. Champ d’application
La réglementation française relative au RGPD s’applique :
À toute organisation agissant en tant que responsable du traitement ou sous-traitant établie en France ;
Ainsi qu’aux organismes situés hors de France qui offrent des biens ou des services à des personnes se trouvant en France, ou qui observent leur comportement sur le territoire français.
Peu importe que le traitement ait lieu dans l’Union européenne ou en dehors : dès lors que des données personnelles concernant des personnes situées en France sont traitées, la réglementation s’applique.
Elle concerne aussi bien les traitements automatisés que les traitements non automatisés intégrés dans un système de fichiers.
Les activités purement personnelles ou domestiques sont exclues de son champ d’application.
III. Principes applicables au traitement des données
Licéité, loyauté et transparence : Le traitement doit reposer sur une base juridique valable et être expliqué de manière claire aux personnes concernées.
Limitation des finalités : Les données ne peuvent être utilisées que pour des objectifs précis et légitimes.
Minimisation des données : Seules les informations strictement nécessaires doivent être collectées.
Exactitude : Les données doivent être correctes et mises à jour si nécessaire.
Limitation de la conservation : Les données ne doivent pas être conservées au-delà de la durée nécessaire, puis elles doivent être supprimées ou rendues anonymes.
Sécurité et confidentialité : Des mesures techniques et organisationnelles appropriées doivent être mises en place pour éviter toute fuite, modification ou perte de données.
IV. Droits des personnes
En vertu du RGPD et de la législation française, chaque personne dispose de plusieurs droits :
Droit d’être informé et droit d’accès : Savoir quelles données sont collectées et comment elles sont utilisées, et y accéder.
Droit de rectification : Faire corriger des informations inexactes ou incomplètes.
Droit à l’effacement : Demander la suppression des données lorsque la loi le permet.
Droit à la limitation : Restreindre temporairement l’utilisation des données dans certaines situations.
Droit à la portabilité : Recevoir ses données dans un format structuré et les transmettre à un autre organisme.
Droit d’opposition : Refuser un traitement fondé sur l’intérêt légitime ou l’intérêt public.
Pour les mineurs de moins de 15 ans, le consentement des parents ou du représentant légal est requis, et les informations doivent être présentées dans un langage simple et compréhensible.
V. Obligations des acteurs du traitement
Le sous-traitant doit respecter strictement les instructions écrites du responsable du traitement.
Des mesures de sécurité adaptées doivent être mises en place pour protéger les données.
Le sous-traitant doit aider le responsable du traitement à respecter ses obligations légales, notamment en cas de demande d’exercice des droits.
En cas de violation de données, le responsable du traitement doit notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance.
Le responsable du traitement doit tenir un registre des activités et, lorsque le traitement présente un risque élevé, réaliser une analyse d’impact relative à la protection des données.
Certaines organisations ont l’obligation de désigner un délégué à la protection des données (DPO) et d’en informer la CNIL.
VI. Transferts de données hors de l’Union européenne
Lorsqu’un transfert de données personnelles vers un pays tiers est envisagé, il est nécessaire de garantir un niveau de protection adéquat.
Cela peut être assuré par :
Une décision d’adéquation de la Commission européenne ;
Ou la mise en place des clauses contractuelles types de l’Union européenne.
Depuis l’invalidation du « Privacy Shield » le 16 juillet 2020, les entreprises doivent recourir aux nouvelles clauses contractuelles types adoptées le 4 juin 2021 ou à un autre mécanisme légalement reconnu.
VII. Contrôle et sanctions
La CNIL dispose de pouvoirs étendus, notamment :
Adresser des avertissements et exiger des mesures correctives ;
Limiter ou interdire certains traitements ;
Infliger des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Par ailleurs, la loi française permet à toute personne de définir des directives concernant l’utilisation de ses données après son décès. En l’absence d’instructions, les données sont traitées conformément aux règles en vigueur.
Le cadre français du RGPD vise à protéger efficacement les droits des individus, à renforcer la conformité des organisations et à promouvoir la confiance dans l’environnement numérique.
VIII. Coordonnées de contact
Téléphone : +1 (410) 510-2248
E-mail : contact@elvatorio.com
Adresse : 1431 MIDDLETOWN RD,ANNAPOLIS,MD 21409,United States
Horaires d’ouverture : du lundi au vendredi, de 9h00 à 18h00 (heure d’Europe centrale)