GDPR

1. Introduction

Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles, afin de mettre en œuvre le Règlement général sur la protection des données (RGPD) de l’Union européenne.
Cette loi a modifié et consolidé la Loi Informatique et Libertés de 1978. La Commission Nationale de l’Informatique et des Libertés (CNIL), en tant qu’autorité nationale de régulation, est chargée de superviser, guider et faire appliquer le RGPD ainsi que ses dispositions d’application en France.
Ainsi, la France a établi un système de protection des données personnelles conforme aux exigences de l’Union européenne.

2. Champ d’application

La réglementation française mettant en œuvre le RGPD s’applique :

• à tous les responsables de traitement ou sous-traitants établis en France ;

• ainsi qu’aux organisations situées hors de France qui offrent des biens ou des services à des personnes se trouvant en France, ou qui surveillent leur comportement sur le territoire français.

Que le traitement des données ait lieu au sein de l’Union européenne ou à l’étranger, dès lors qu’il concerne des données personnelles de personnes situées en France, cette réglementation s’applique.
Elle couvre à la fois les traitements automatisés et les traitements non automatisés faisant partie d’un système de fichiers.
Les activités purement personnelles ou domestiques sont exclues de ce champ d’application.

3. Principes du traitement des données

• Licéité, loyauté et transparence : tout traitement doit reposer sur une base légale claire et être communiqué de manière transparente aux personnes concernées.

• Limitation des finalités : les données personnelles ne peuvent être collectées que pour des objectifs déterminés et légitimes.

• Minimisation des données : seules les données strictement nécessaires à la réalisation de ces objectifs doivent être collectées.

• Exactitude : les données doivent être exactes et mises à jour lorsque nécessaire.

• Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire, puis supprimées ou anonymisées.

• Sécurité et confidentialité : les responsables de traitement et les sous-traitants doivent mettre en place des mesures techniques et organisationnelles pour prévenir toute violation, altération ou perte de données.

4. Droits des personnes concernées

Conformément au RGPD et à la législation française, les individus disposent notamment des droits suivants :

• Droit à l’information et d’accès : connaître et accéder aux données collectées ainsi qu’aux modalités de leur traitement.

• Droit de rectification : demander la correction de données inexactes ou incomplètes.

• Droit à l’effacement (droit à l’oubli) : demander la suppression des données lorsque les conditions légales sont remplies.

• Droit à la limitation du traitement : limiter l’utilisation future des données dans certaines situations.

• Droit à la portabilité des données : recevoir les données dans un format structuré et les transférer à un autre responsable de traitement.

• Droit d’opposition : s’opposer au traitement fondé sur l’intérêt légitime ou l’intérêt public.

Pour les mineurs de moins de 15 ans, le traitement des données nécessite le consentement des parents ou du tuteur légal, et les informations doivent être présentées dans un langage clair et compréhensible.

5. Obligations des sous-traitants

Les sous-traitants doivent :

• respecter strictement les instructions écrites du responsable de traitement ;

• mettre en place des mesures de sécurité appropriées pour protéger les données ;

• assister le responsable de traitement dans le respect de ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant doit immédiatement en informer le responsable de traitement, qui devra notifier la CNIL dans un délai de 72 heures.

Le responsable de traitement doit également tenir un registre des activités de traitement et réaliser, lorsque cela est nécessaire, une analyse d’impact relative à la protection des données (DPIA).

Certaines organisations sont tenues de désigner un Délégué à la protection des données (DPO) et de le déclarer auprès de la CNIL.

6. Transfert international de données

Lorsque des données personnelles sont transférées vers des pays situés en dehors de l’Union européenne, le responsable de traitement doit garantir que le pays destinataire offre un niveau de protection adéquat.
Cela peut être assuré notamment par :

• une décision d’adéquation de la Commission européenne ;

• ou la signature de clauses contractuelles types de l’Union européenne (SCCs).

Après l’invalidation du Privacy Shield le 16 juillet 2020, les entreprises françaises doivent utiliser les nouvelles clauses contractuelles types adoptées le 4 juin 2021 ou tout autre mécanisme légal autorisé pour les transferts internationaux de données.

7. Contrôle et sanctions

La CNIL dispose de pouvoirs étendus de contrôle et de sanction, notamment :

• émettre des avertissements ou des mises en demeure ;

• limiter ou interdire certains traitements de données ;

• infliger des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Par ailleurs, la législation française permet aux individus de définir des directives concernant l’utilisation de leurs données après leur décès. En l’absence de telles directives, leur traitement doit respecter les dispositions légales en vigueur.

Le cadre d’application du RGPD en France vise à protéger les droits des personnes, renforcer la conformité des entreprises et favoriser la confiance dans l’économie numérique.

8. Coordonnées