1. Introduction
Le 20 juin 2018, la France a adopté la loi n° 2018-493 relative à la protection des données personnelles afin de mettre en œuvre le Règlement général sur la protection des données (RGPD) de l'Union européenne.
Cette loi modifie et intègre la loi Informatique et Libertés de 1978. La Commission nationale de l'informatique et des libertés (CNIL) est l'autorité nationale chargée de superviser, contrôler et faire appliquer le RGPD et ses dispositions en France.
Ce cadre établit un système harmonisé de protection des données personnelles conforme aux exigences européennes.
2. Champ d'application
Le règlement RGPD en France s'applique :
aux responsables de traitement ou sous-traitants établis sur le territoire français ;
aux entités situées en dehors de la France mais qui offrent des biens ou services à des personnes en France ou surveillent leur comportement.
Il s'applique que le traitement ait lieu au sein ou en dehors de l'Union européenne dès lors qu'il concerne des données de personnes situées en France.
Il couvre également les traitements automatisés et non automatisés faisant partie d'un système de classement. Les activités purement personnelles ou domestiques sont exclues.
3. Principes de traitement des données
Les données personnelles doivent être traitées selon les principes suivants :
licéité, loyauté et transparence : le traitement doit reposer sur une base légale et être clairement communiqué ;
limitation des finalités : les données doivent être collectées pour des objectifs déterminés, explicites et légitimes ;
minimisation des données : seules les données strictement nécessaires doivent être collectées ;
exactitude : les données doivent être tenues à jour et corrigées si nécessaire ;
limitation de la conservation : les données ne doivent pas être conservées plus longtemps que nécessaire ;
intégrité et confidentialité : des mesures techniques et organisationnelles doivent garantir la sécurité des données.
4. Droits des personnes concernées
Conformément au RGPD et à la législation française, les personnes disposent des droits suivants :
droit d’accès et d’information sur les données collectées ;
droit de rectification des données inexactes ou incomplètes ;
droit à l’effacement (droit à l’oubli) dans les conditions prévues par la loi ;
droit à la limitation du traitement ;
droit à la portabilité des données ;
droit d’opposition au traitement fondé sur l’intérêt légitime ou l’intérêt public.
Pour les mineurs de moins de 15 ans, le consentement parental est requis et les informations doivent être fournies dans un langage clair et compréhensible.
5. Obligations des responsables et sous-traitants
Les sous-traitants doivent suivre strictement les instructions écrites du responsable de traitement.
Ils doivent mettre en place des mesures de sécurité appropriées pour protéger les données personnelles.
Ils doivent assister le responsable dans le respect de ses obligations légales, notamment en matière de demandes des personnes concernées.
En cas de violation de données, le sous-traitant doit informer immédiatement le responsable, qui doit notifier la CNIL dans un délai de 72 heures.
Les responsables doivent tenir un registre des activités de traitement et réaliser une analyse d’impact (DPIA) lorsque le traitement présente un risque élevé.
Certaines organisations doivent désigner un Délégué à la protection des données (DPO) et le notifier à la CNIL.
6. Transferts internationaux de données
Tout transfert de données personnelles vers un pays hors de l’Union européenne doit garantir un niveau de protection adéquat.
Cela peut être assuré par :
une décision d’adéquation de la Commission européenne ;
ou la mise en place de clauses contractuelles types (SCC) approuvées par l’Union européenne.
Depuis l’invalidation du Privacy Shield en juillet 2020, les entreprises doivent utiliser les nouveaux modèles de clauses contractuelles types ou d’autres mécanismes légaux de transfert.
7. Contrôle et application
La CNIL dispose de larges pouvoirs de contrôle et de sanction, notamment :
avertissements et mises en demeure ;
limitation ou interdiction de traitements ;
amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu.
La loi française permet également aux individus de définir le sort de leurs données après leur décès. En l’absence de directives, le traitement des données reste soumis à la législation en vigueur.
Ce cadre vise à renforcer la protection des données personnelles, garantir la conformité des entreprises et renforcer la confiance numérique.
8. Contact
Téléphone du service client :+1 (281) 222-8600
E-mail :solutions@torlidor.com
Adresse :4314 Cadmus St,Houston,TX 77022,United States
Horaires d'ouverture : du lundi au vendredi, de 9 h 00 à 12 h 00 et de 14 h 00 à 18 h 00 (heure d'Europe centrale, CET)