GDPR

I. Introduction

Le 20 juin 2018, la France a adopté la Loi n° 2018-493 relative à la protection des données personnelles afin d’assurer la mise en œuvre du Règlement général sur la protection des données (RGPD) au niveau national.
Cette loi a modifié et consolidé la Loi Informatique et Libertés du 6 janvier 1978.

La Commission Nationale de l’Informatique et des Libertés (CNIL), en tant qu’autorité nationale de contrôle, est chargée de superviser, d’orienter et de faire appliquer le RGPD ainsi que ses dispositions d’exécution en France.

La France dispose ainsi d’un cadre de protection des données à caractère personnel conforme aux exigences de l’Union européenne.

II. Champ d’application

Les dispositions françaises d’application du RGPD s’appliquent :

À tout responsable du traitement ou sous-traitant établi sur le territoire français ;

Ainsi qu’aux organismes situés hors de France qui offrent des biens ou des services à des personnes se trouvant en France, ou qui surveillent leur comportement sur le territoire français.

Indépendamment du lieu où le traitement est effectivement réalisé, dès lors que des données personnelles concernant des personnes situées en France sont concernées, la réglementation est applicable.

Elle couvre à la fois les traitements automatisés et les traitements non automatisés faisant partie d’un système de fichiers.

Les activités strictement personnelles ou domestiques sont exclues du champ d’application.

III. Principes relatifs au traitement des données

Licéité, loyauté et transparence : tout traitement doit reposer sur une base juridique claire et être porté à la connaissance de la personne concernée de manière transparente.

Limitation des finalités : les données personnelles ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

Minimisation des données : seules les données strictement nécessaires à la réalisation des finalités poursuivies peuvent être collectées.

Exactitude : les données doivent être exactes et, si nécessaire, tenues à jour.

Limitation de la conservation : les données ne doivent être conservées que pendant la durée nécessaire, puis supprimées ou anonymisées.

Intégrité et confidentialité : les responsables du traitement et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de prévenir toute violation, altération ou perte de données.

IV. Droits des personnes concernées

Conformément au RGPD et au droit français, toute personne dispose notamment des droits suivants :

Droit à l’information et droit d’accès : obtenir confirmation du traitement de ses données et y accéder.

Droit de rectification : faire corriger des données inexactes ou incomplètes.

Droit à l’effacement (droit à l’oubli) : obtenir la suppression des données lorsque les conditions légales sont réunies.

Droit à la limitation du traitement : restreindre l’utilisation des données dans certaines situations.

Droit à la portabilité : recevoir les données dans un format structuré et les transmettre à un autre responsable du traitement.

Droit d’opposition : s’opposer à un traitement fondé sur l’intérêt légitime ou l’intérêt public.

Pour les mineurs de moins de 15 ans, le traitement des données requiert le consentement des titulaires de l’autorité parentale, et les informations doivent être formulées en des termes clairs et compréhensibles.

V. Obligations des responsables du traitement et des sous-traitants

Le sous-traitant agit uniquement sur instruction écrite du responsable du traitement.

Des mesures de sécurité appropriées doivent être mises en place afin d’assurer la protection des données.

Le sous-traitant doit assister le responsable du traitement dans l’exécution de ses obligations légales, notamment pour répondre aux demandes des personnes concernées.

En cas de violation de données, le sous-traitant informe sans délai le responsable du traitement, lequel doit notifier la CNIL dans un délai de 72 heures lorsque cela est requis.

Le responsable du traitement doit tenir un registre des activités de traitement et réaliser une analyse d’impact relative à la protection des données (AIPD/DPIA) en cas de risque élevé.

Certaines entités sont tenues de désigner un délégué à la protection des données (DPO) et d’en informer la CNIL.

VI. Transferts internationaux de données

En cas de transfert de données personnelles vers un pays situé hors de l’Union européenne, le responsable du traitement doit s’assurer que le pays destinataire garantit un niveau de protection adéquat.

Cette garantie peut résulter :

D’une décision d’adéquation adoptée par la Commission européenne ;

Ou de la conclusion de clauses contractuelles types (CCT/SCCs) approuvées par l’Union européenne.

À la suite de l’invalidation du mécanisme dit « Privacy Shield » le 16 juillet 2020, les entreprises françaises ont été tenues d’adopter les nouvelles clauses contractuelles types de l’Union européenne (version du 4 juin 2021) ou tout autre mécanisme de transfert conforme au droit applicable.

VII. Contrôle et sanctions

La CNIL dispose de pouvoirs étendus de contrôle et de sanction, notamment :

L’émission d’avertissements et d’injonctions de mise en conformité ;

La limitation ou l’interdiction des traitements ;

L’imposition d’amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Par ailleurs, le droit français permet à toute personne de définir des directives relatives au sort de ses données après son décès. À défaut d’instructions spécifiques, le traitement demeure soumis aux dispositions légales en vigueur.

Le cadre français d’application du RGPD vise à garantir les droits des personnes, renforcer la conformité des organisations et favoriser la confiance numérique.

VIII. Coordonnées de contact

Téléphone : +1 (341) 666-5097

E-mail : care@lumarivo.com

Adresse : 1819 ORCHARD AVE,GLENDALE,CA 91206,United States

Heures d’ouverture : du lundi au vendredi, de 9h00 à 18h00 (heure d’Europe centrale)