Protection des données personnelles et conformité au RGPD

1. Introduction

Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles, afin de mettre en œuvre le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne.

Cette loi a modifié et consolidé la Loi Informatique et Libertés de 1978.
La Commission Nationale de l’Informatique et des Libertés (CNIL), autorité nationale de protection des données, est chargée de superviser, d’orienter et d’appliquer le RGPD ainsi que ses dispositions d’application en France.

Grâce à ce cadre juridique, la France a établi un système de protection des données personnelles conforme aux exigences de l’Union européenne.

2. Champ d’application

Les règles d’application du RGPD en France s’appliquent :

• à tous les responsables de traitement et sous-traitants établis en France ;

• ainsi qu’aux organisations situées en dehors de la France qui proposent des biens ou des services à des personnes situées en France ou qui surveillent leur comportement sur le territoire français.

Peu importe que le traitement des données soit effectué au sein de l’Union européenne ou en dehors, dès lors qu’il concerne des données personnelles de personnes situées en France, ces règles s’appliquent.

Le règlement couvre à la fois :

• les traitements automatisés de données,

• et les traitements non automatisés lorsqu’ils font partie d’un système de fichiers.

Les activités strictement personnelles ou domestiques ne sont pas concernées par ce cadre juridique.

3. Principes du traitement des données

Le traitement des données personnelles doit respecter les principes suivants :

Licéité, loyauté et transparence
Tout traitement doit reposer sur une base légale claire et être communiqué de manière transparente aux personnes concernées.

Limitation des finalités
Les données personnelles ne doivent être collectées que pour des objectifs déterminés, explicites et légitimes.

Minimisation des données
Seules les données strictement nécessaires à la réalisation de ces objectifs doivent être collectées.

Exactitude
Les données doivent être exactes et mises à jour lorsque cela est nécessaire.

Limitation de la conservation
Les données ne doivent être conservées que pendant la durée nécessaire, puis supprimées ou anonymisées.

Sécurité et confidentialité
Les responsables du traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles appropriées afin de prévenir tout accès non autorisé, perte, modification ou divulgation des données.

4. Droits des personnes concernées

Conformément au RGPD et à la législation française, les personnes disposent des droits suivants :

Droit à l’information et droit d’accès
Les personnes peuvent savoir quelles données sont collectées et comment elles sont traitées.

Droit de rectification
Les personnes peuvent demander la correction de données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli)
Dans certaines conditions prévues par la loi, les personnes peuvent demander la suppression de leurs données.

Droit à la limitation du traitement
Dans certains cas, les personnes peuvent demander la restriction de l’utilisation de leurs données.

Droit à la portabilité des données
Les personnes peuvent recevoir leurs données dans un format structuré et les transférer à un autre responsable du traitement.

Droit d’opposition
Les personnes peuvent s’opposer au traitement de leurs données fondé sur l’intérêt légitime ou l’intérêt public.

Pour les mineurs de moins de 15 ans, le traitement des données nécessite le consentement des parents ou du représentant légal, et les informations doivent être présentées dans un langage clair et compréhensible.

5. Obligations des sous-traitants et responsables du traitement

Les sous-traitants doivent :

• respecter strictement les instructions écrites du responsable du traitement ;

• mettre en œuvre des mesures de sécurité appropriées pour protéger les données ;

• aider le responsable du traitement à respecter ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données personnelles, le sous-traitant doit en informer immédiatement le responsable du traitement, qui devra notifier l’incident à la CNIL dans un délai de 72 heures.

Les responsables du traitement doivent également :

• tenir un registre des activités de traitement ;

• réaliser une analyse d’impact relative à la protection des données (DPIA) dans les situations à haut risque.

Certaines organisations doivent désigner un Délégué à la Protection des Données (DPO) et en informer la CNIL.

6. Transferts internationaux de données

Lorsque des données personnelles sont transférées en dehors de l’Union européenne, le responsable du traitement doit garantir que le pays destinataire offre un niveau de protection adéquat.

Cela peut être assuré par :

• une décision d’adéquation de la Commission européenne ;

• ou la signature des Clauses Contractuelles Types (CCT / SCCs) approuvées par l’Union européenne.

Après l’invalidation du mécanisme « Privacy Shield » le 16 juillet 2020, les entreprises françaises doivent utiliser les nouvelles clauses contractuelles types adoptées le 4 juin 2021 ou d’autres mécanismes juridiques conformes.

7. Contrôle et sanctions

La CNIL dispose de larges pouvoirs de contrôle et de sanction, notamment :

• émettre des avertissements et ordonner des mesures correctives ;

• restreindre ou interdire certains traitements de données ;

• infliger des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu.

La législation française permet également aux personnes de définir des directives concernant l’utilisation de leurs données après leur décès.
En l’absence d’instructions, le traitement des données doit respecter la législation en vigueur.

Le cadre français d’application du RGPD vise à protéger les droits fondamentaux des individus, renforcer la conformité des entreprises et favoriser la confiance numérique.

8. Contact

Pour toute question concernant la protection des données personnelles ou l’application du RGPD, vous pouvez contacter notre service dédié via les coordonnées suivantes :

Téléphone :+1(385)308-3779

E-mail :hello@majestwood.com

Adresse :730 S 1200 E,SALT LAKE CITY,UT 84102,United States

Heures d’ouverture : du lundi au vendredi, de 9h00 à 18h00 (heure d’Europe centrale – CET).