Règlement Général sur la protection des données (RGPD) depuis le 25 Mai 2018

-

Comme vous le savez, lors d'une commande vous avez besoin de nous fournir au minimum les informations nous permettant de vous livrer. Vos données personnelles que vous renseignez pour le traitement de votre commandes sont stockées dans des Datas Centers en France, sécurisées par l'hébergeur de notre site marchand. Vos données ne sont cédées, partagées ou vendues à des tiers.

Vous avez un accès 24h/24 à vos informations en modification. Si vous souhaitez les supprimer votre compte il suffit d'en faire la demande au service client en cliquant sur : CONTACT

-

Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est une nouvelle réglementation de l’Union Européenne sur la protection des données à caractère personnel. Il appelle à des mesures de protection plus spécifiques dans les systèmes des organisations, des accords de protection des données plus nuancés, une approche plus protectrice des consommateurs et des divulgations plus détaillées sur les pratiques de l’organisation en matière de protection des données à caractère personnel.

Le RGPD remplace le cadre régulatoire actuel de l’UE relatif à la protection des données, qui a été institué en 1995 (communément connu sous le nom de « directive sur la protection des données »). La Directive sur la Protection des Données imposait aux États membres de l’UE de l’intégrer dans leur droit interne, ce qui a conduit à une fragmentation du paysage juridique de la protection des données dans l’UE. Pour sa part, le RGPD est un règlement de l’UE ayant des effets directs dans tous les États membres, c’est-à-dire qu’il n’est pas nécessaire de le transposer dans le droit interne des États membres de l’UE pour qu’il produise des effets obligatoires. Ceci renforcera la cohérence et l’application harmonieuse de la réglementation dans l’UE

Le traitement des données personnelles est un concept élargi dans le cadre du RGPD
Le RGPD réglemente la façon dont les organisations traitent les données à caractère personnel d’individus ressortissants d’États membres de l’UE. Les « données personnelles » et le « traitement » sont des termes fréquemment employés dans la législation, et bien comprendre leur signification dans le cadre du RGPD est essentiel à la compréhension du champ d’application de ce règlement :

Sont des données à caractère personnel toutes les informations concernant un individu identifié ou identifiable. Il s’agit d’un concept extensif dans la mesure où il inclut toutes les informations qui peuvent être utilisées en tant que telles ou qui, combinées à d’autres éléments d’informations, peuvent servir à identifier une personne. Les données à caractère personnel n’incluent pas seulement le nom ou l’adresse email d’une personne. Elles intègrent aussi d’autres informations comme les informations financières et même, dans certains cas, les adresses IP. En outre, certaines catégories de données à caractère personnel font l’objet d’un degré de protection plus élevé en raison de leur nature sensible. Ces catégories de données sont les informations sur l’origine raciale ou ethnique d’un individu, ses opinions politiques, ses croyances religieuses ou philosophiques, son appartenance à des organisations syndicales, ses données génétiques ou biométriques, les données se rapportant à son état de santé, les informations sur la vie sexuelle de la personne ou son orientation sexuelle, et les informations concernant son casier judiciaire.

Le traitement des données à caractère personnel est l’activité clé de laquelle découlent les obligations liées au RGPD. Le traitement désigne toute opération ou ensemble d’opérations accomplies sur des données à caractère personnel ou ensembles de données à caractère personnel, par des moyens automatisés ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. En termes pratiques, cela signifie que tout procédé permettant la conservation ou la consultation de données à caractère personnel est considéré comme du traitement.

Concepts clés: responsables du traitement et sous-traitants
Dans le règlement de l’UE, deux types d’entités peuvent traiter des données à caractère personnel – les responsables du traitement et les sous-traitants.

Le responsable du traitement (« responsable ») est l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Le sous-traitant (« sous-traitant ») est l’entité qui traite des données à caractère personnel pour le compte du responsable du traitement.

Il est important de déterminer, activité par activité, si l’entité traitant les données à caractère personnel est un responsable ou un sous-traitant. Cet exercice de localisation permet à une organisation de comprendre les droits et les obligations relative à chacune de ses opérations de traitement de données.

Nous exécutons certaines opérations de traitement de données pour lesquelles on en est responsable, et d’autres pour lesquelles on agit en qualité de sous-traitant. Une bonne illustration de ce double rôle est le traitement de transactions par cartes de paiement via nos partenaires financiers ( Banques, Plates formes de paiements ). L’exécution de telles transactions nécessite le traitement de données à caractère personnel, comme le nom du porteur de la carte, le numéro de carte, la date d’expiration de la carte et le code CVC. Les données concernant le porteur de la carte sont transmises par nous aux partenaires financiers, par l’intermédiaire des services sécurisées mises à disposition par ces derniers. Le prestataire financier utilise ensuite les données pour compléter la transaction dans le système des réseaux de cartes de crédit, qui est une fonction que Stripe accomplit en qualité de sous-traitant. Cependant, Stripe utilise aussi les données pour se mettre en conformité avec ses obligations réglementaires (comme les procédures Know-Your-Customer (“KYC”) et la prévention du blanchiment d’argent (Anti-Money-Laundering (“AML”)), et dans ce rôle, Stripe est un responsable de traitement.

Fondement juridique du traitement de données à caractère personnel dans le RGPD
Il convient ensuite de déterminer si une activité de traitement de données particulière est conforme au RGPD. En application du RGPD, chaque opération de traitement de données accomplie par un responsable ou un sous-traitant doit reposer sur un fondement juridique. Le RGPD reconnaît six fondements juridiques pour le traitement des données à caractère personnel de ressortissants d’États membres de l’UE (dans le RGPD, il est fait référence aux individus ressortissants d’États membres de l’UE sous le vocable de « personne concernée »). Ces six fondements, énumérés aux alinéas a à f de l’article 6(1) du RGPD, sont :

La personne concernée a
CONSENTI
au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
Le traitement est
NÉCESSAIRE À L’EXÉCUTION D’UN CONTRAT
auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
Le traitement est nécessaire au
RESPECT D’UNE OBLIGATION LÉGALE
à laquelle le responsable du traitement est soumis ;
Le traitement est nécessaire à la
SAUVEGARDE DES INTÉRÊTS VITAUX
de la personne concernée ou d’une autre personne physique ;
Le traitement est nécessaire à l’exécution d’une mission
D’INTÉRÊT PUBLIC
ou relevant de
L’EXERCICE DE L’AUTORITÉ PUBLIQUE
dont est investi le responsable du traitement ; ou
Le traitement est nécessaire aux fins des
INTÉRÊTS LÉGITIMES
poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.
Il existe des similarités entre la liste des traitements autorisés en application du RGPD et celle de la directive sur la protection des données. En revanche, il existe aussi des divergences importantes.

Comparé au régime applicable sous l’empire de la directive sur le traitement des données, les modifications apportées par le RGPD qui suscitent le plus de discussions concernent le resserrement des exigences que doit revêtir le consentement (premier élément de la liste ci-dessus). Les conditions du consentement dans la directive incluent des éléments comme (i) le consentement doit être vérifiable, (ii) la demande d’autorisation doit être clairement distincte des autres questions, (iii) la personne concernée doit être informée de son droit de retirer son consentement au traitement. En outre, un consentement plus astreignant (« consentement explicite ») doit être recueilli en cas de traitement de données sensibles.

Un autre élément important à souligner est l’intérêt légitime (élément 6 de la liste ci-dessus). Lorsqu’elle fonde le traitement de données à caractère personnel sur un « intérêt légitime », l’organisation qui s’en prévaut doit être consciente qu’elle doit se livrer à une mise en balance des intérêts par rapport à la finalité poursuivie autour de ce critère. Afin de satisfaire le principe de responsabilité posé par le RGPD, une organisation doit documenter sa mise en conformité avec l’examen de mise en balance des intérêts qui précise la méthode qu’elle a suivie et les arguments sur lesquels elle s’est fondée pour conclure que l’examen de pesée des intérêts est satisfait.

Droits des individus en application du RGPD

En application de la directive sur la protection des données, les ressortissants de l’UE bénéficiaient de certains droits basiques par rapport à leurs données à caractère personnel. Les droits de ces ressortissants continuent de s’appliquer sous l’empire du RGDP, qui introduit des éléments de clarification. Le tableau ci-dessous compare les droits des ressortissants sous la directive sur la protection des données et sous celui du RGPD.

DROIT DE LA PERSONNE CONCERNÉE DIRECTIVE SUR LA PROTECTION DES DONNÉES RGPD
REQUÊTE CONCERNANT L’ACCÈS À DES DONNÉES L‘individu a le droit de savoir si des données à caractère personnel le concernant sont traitées, quelles sont-elles et comment elles sont traitées. Le champ d’application de ce droit a été étendu par le RGPD. Par exemple, lorsqu’il effectue une demande de consultation, l’individu doit recevoir de plus amples informations, y compris des informations sur leurs droits en matière de protection des données à caractère personnel en application du RGPD qui n’existaient pas auparavant, comme le droit à la portabilité des données.
DROIT D’OPPOSITION Un individu peut interdire un certain nombre d’opérations de traitement des données lorsqu’il dispose de raisons convaincantes. Les individus peuvent aussi s’opposer au traitement de leurs données à des fins de démarchage direct. Le RGPD a étendu le champ d’application de ce droit en comparaison de la directive sur la protection des données.
DROIT DE RECTIFICATION OU D’EFFACEMENT Les individus peuvent demander que les données incomplètes soient complétées ou que les données incorrectes soient corrigées afin de s’assurer que le traitement des données à caractère personnel est en conformité avec les principes applicables concernant la protection des données. La position du RGPD est matériellement la même, mais le RGPD a ajouté des protections procédurales supplémentaires.
DROIT À LA LIMITATION DU TRAITEMENT Aucun droit à la limitation du traitement. Cependant, la directive sur la protection des données donne aux individus le droit de demander le blocage de leurs données à caractère personnel lorsque les opérations de traitement ne sont pas en conformité avec les principes de protection des données, par exemple lorsque les données sont incomplètes ou inexactes. Le RGPD offre aux individus le droit de demander la limitation du traitement de leurs données à caractère personnel dans certaines circonstances, y compris lorsque l’individu conteste l’exactitude des données.
DROIT À L’EFFACEMENT (DROIT À L’OUBLI) Les individus ont le droit de demander l’effacement de leurs données personnelles si les opérations de traitement ne sont pas conformes aux principes de protection des données. Par conséquent, ce droit est très restrictif. Le RGPD a considérablement renforcé ce droit. Par exemple, le droit à l’oubli peut être exercé lorsque les données à caractère personnel ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été collectées, ou l’individu retire son consentement au traitement et aucun autre fondement juridique ne soutient la poursuite du traitement.
DROIT À LA PORTABILITÉ DES DONNÉES. La directive sur la protection des données ne mentionne pas explicitement la « portabilité des données » en tant que droit de la personne concernée. Les États membres de l’UE peuvent avoir intégré des droits additionnels similaires au droit à la portabilité dans leur droit interne Les individus peuvent demander que les données à caractère personnel détenues par un responsable de traitement leur soient fournies ou soient transmises à un autre responsable de traitement.