Champ d’application de la déclaration
La présente déclaration encadre les traitements de données personnelles soumis au Règlement général sur la protection des données, GDPR.
Elle concerne les traitements réalisés dans le cadre de la fourniture de biens ou de services à des personnes situées en France ou dans l’Union européenne.
Elle s’applique également lorsque le traitement est effectué en dehors de l’Union européenne, dès lors qu’il porte sur l’observation ou l’analyse du comportement de personnes se trouvant dans l’Union européenne.
La présente déclaration couvre les données conservées sous forme électronique ainsi que les informations contenues dans des fichiers papier structurés.
Les traitements effectués exclusivement dans un cadre personnel ou familial ne relèvent pas du champ d’application de cette déclaration.
Principes applicables au traitement des données
La protection des données personnelles constitue une exigence fondamentale dans l’ensemble des opérations de traitement.
Tout traitement de données personnelles est organisé de manière à respecter les principes suivants : les données sont traitées de façon licite, loyale et transparente ; elles sont utilisées uniquement pour des finalités déterminées, explicites et légitimes ; seules les données nécessaires à ces finalités sont collectées ; les informations traitées doivent être exactes ; leur durée de conservation est définie en fonction des objectifs poursuivis ; leur confidentialité, leur intégrité et leur sécurité doivent être protégées.
Engagements en matière de conformité
Afin de respecter les exigences du GDPR, nous nous engageons à préserver le contrôle des utilisateurs sur leurs données personnelles.
Nous veillons à fournir des informations claires et transparentes sur les traitements réalisés, à gérer les données personnelles de manière responsable et à mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger leur confidentialité et leur sécurité.
Lorsque cela est pertinent, les principes de protection des données dès la conception et par défaut sont pris en compte dans l’organisation des traitements.
Droits des personnes concernées
Conformément au GDPR, les personnes concernées disposent des droits suivants : droit à l’information, droit d’accès, droit de rectification, droit à l’effacement lorsque les conditions légales sont réunies, droit à la limitation du traitement, droit d’opposition dans les cas prévus par la loi, droit à la portabilité des données et droit de retirer leur consentement lorsque le traitement repose sur celui-ci.
Le retrait du consentement n’affecte pas la licéité des traitements effectués avant ce retrait.
Si une personne estime que le traitement de ses données personnelles n’est pas conforme aux règles applicables, elle peut introduire une réclamation auprès de l’autorité de contrôle compétente en matière de protection des données.
Pour les utilisateurs âgés de moins de 15 ans, l’autorisation du représentant légal peut être requise lorsque la loi l’exige.
Obligations des partenaires et prestataires
Les partenaires et prestataires participant aux traitements de données personnelles, notamment dans les domaines de la logistique, du service client, de l’hébergement du site et des services techniques, sont tenus de respecter des obligations appropriées en matière de protection des données.
Ces obligations comprennent notamment le traitement des données sur la base d’instructions écrites, la mise en place de mesures de sécurité adaptées, la coopération nécessaire à l’exercice des droits des personnes concernées, le signalement des incidents de sécurité ou des violations de données lorsque la loi l’exige, la conservation des registres de traitement nécessaires et le respect de la réglementation applicable en matière de protection des données.
Transferts de données hors de l’Espace économique européen
Lorsque des données personnelles sont transférées vers un pays situé en dehors de l’Espace économique européen, EEE, des garanties appropriées sont mises en place afin d’assurer un niveau suffisant de protection des données.
Ces garanties peuvent inclure une décision d’adéquation adoptée par la Commission européenne, les clauses contractuelles types, SCC, approuvées par la Commission européenne, ainsi que des mesures de sécurité complémentaires telles que le chiffrement des données ou le contrôle des accès.
Contrôle par l’autorité compétente
En France, la Commission nationale de l’informatique et des libertés, CNIL, assure le contrôle de l’application des règles relatives à la protection des données personnelles.
Dans le cadre de ses missions, la CNIL peut effectuer des contrôles, demander la mise en conformité des traitements concernés, exiger la limitation ou la suspension de traitements non conformes et prendre les mesures prévues par les lois et règlements applicables.
Les manquements aux obligations relatives à la protection des données personnelles peuvent donner lieu aux mesures correctrices et aux mécanismes de sanction prévus par la réglementation applicable.