Règlement Général sur la protection des données (RGPD) depuis le 25 Mai 2018
Comme vous le savez, lors d’une commande vous avez besoin de nous fournir au minimum les informations nous permettant de vous
livrer. Vos données personnelles que vous renseignez pour le traitement de votre commandes sont stockées dans des Datas Centers en
France, sécurisées par l’hébergeur de notre site marchand. Vos données ne sont cédées, partagées ou vendues à des tiers.
Vous avez un accès 24h/24 à vos informations en modification. Si vous souhaitez les supprimer votre compte il suffit d’en faire la
demande au service client en cliquant sur : CONTACT
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est une nouvelle réglementation de l’Union Européenne sur la protection
des données à caractère personnel. Il appelle à des mesures de protection plus spécifiques dans les systèmes des organisations, des
accords de protection des données plus nuancés, une approche plus protectrice des consommateurs et des divulgations plus détaillées
sur les pratiques de l’organisation en matière de protection des données à caractère personnel.
Le RGPD remplace le cadre régulatoire actuel de l’UE relatif à la protection des données, qui a été institué en 1995 (communément
connu sous le nom de « directive sur la protection des données »). La Directive sur la Protection des Données imposait aux États
membres de l’UE de l’intégrer dans leur droit interne, ce qui a conduit à une fragmentation du paysage juridique de la protection
des données dans l’UE. Pour sa part, le RGPD est un règlement de l’UE ayant des effets directs dans tous les États membres, c’est-
à-dire qu’il n’est pas nécessaire de le transposer dans le droit interne des États membres de l’UE pour qu’il produise des effets
obligatoires. Ceci renforcera la cohérence et l’application harmonieuse de la réglementation dans l’UE
Le traitement des données personnelles est un concept élargi dans le cadre du RGPD
Le RGPD réglemente la façon dont les organisations traitent les données à caractère personnel d’individus ressortissants d’États
membres de l’UE. Les « données personnelles » et le « traitement » sont des termes fréquemment employés dans la législation, et bien
comprendre leur signification dans le cadre du RGPD est essentiel à la compréhension du champ d’application de ce règlement :
Sont des données à caractère personnel toutes les informations concernant un individu identifié ou identifiable. Il s’agit d’un
concept extensif dans la mesure où il inclut toutes les informations qui peuvent être utilisées en tant que telles ou qui, combinées
à d’autres éléments d’informations, peuvent servir à identifier une personne. Les données à caractère personnel n’incluent pas
seulement le nom ou l’adresse email d’une personne. Elles intègrent aussi d’autres informations comme les informations financières
et même, dans certains cas, les adresses IP. En outre, certaines catégories de données à caractère personnel font l’objet d’un degré
de protection plus élevé en raison de leur nature sensible. Ces catégories de données sont les informations sur l’origine raciale ou
ethnique d’un individu, ses opinions politiques, ses croyances religieuses ou philosophiques, son appartenance à des organisations
syndicales, ses données génétiques ou biométriques, les données se rapportant à son état de santé, les informations sur la vie
sexuelle de la personne ou son orientation sexuelle, et les informations concernant son casier judiciaire.
Le traitement des données à caractère personnel est l’activité clé de laquelle découlent les obligations liées au RGPD. Le
traitement désigne toute opération ou ensemble d’opérations accomplies sur des données à caractère personnel ou ensembles de données
à caractère personnel, par des moyens automatisés ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, la
conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la
diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la
destruction. En termes pratiques, cela signifie que tout procédé permettant la conservation ou la consultation de données à
caractère personnel est considéré comme du traitement.
Concepts clés: responsables du traitement et sous-traitants
Dans le règlement de l’UE, deux types d’entités peuvent traiter des données à caractère personnel – les responsables du traitement
et les sous-traitants.
Le responsable du traitement (« responsable ») est l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et
les moyens du traitement. Le sous-traitant (« sous-traitant ») est l’entité qui traite des données à caractère personnel pour le
compte du responsable du traitement.
Il est important de déterminer, activité par activité, si l’entité traitant les données à caractère personnel est un responsable ou
un sous-traitant. Cet exercice de localisation permet à une organisation de comprendre les droits et les obligations relative à
chacune de ses opérations de traitement de données.
Nous exécutons certaines opérations de traitement de données pour lesquelles on en est responsable, et d’autres pour lesquelles on
agit en qualité de sous-traitant. Une bonne illustration de ce double rôle est le traitement de transactions par cartes de paiement
via nos partenaires financiers ( Banques, Plates formes de paiements ). L’exécution de telles transactions nécessite le traitement
de données à caractère personnel, comme le nom du porteur de la carte, le numéro de carte, la date d’expiration de la carte et le
code CVC. Les données concernant le porteur de la carte sont transmises par nous aux partenaires financiers, par l’intermédiaire des
services sécurisées mises à disposition par ces derniers. Le prestataire financier utilise ensuite les données pour compléter la
transaction dans le système des réseaux de cartes de crédit, qui est une fonction que Stripe accomplit en qualité de sous-traitant.
Cependant, Stripe utilise aussi les données pour se mettre en conformité avec ses obligations réglementaires (comme les procédures
Know-Your-Customer (“KYC”) et la prévention du blanchiment d’argent (Anti-Money-Laundering (“AML”)), et dans ce rôle, Stripe est un
responsable de traitement.
Fondement juridique du traitement de données à caractère personnel dans le RGPD
Il convient ensuite de déterminer si une activité de traitement de données particulière est conforme au RGPD. En application du
RGPD, chaque opération de traitement de données accomplie par un responsable ou un sous-traitant doit reposer sur un fondement
juridique. Le RGPD reconnaît six fondements juridiques pour le traitement des données à caractère personnel de ressortissants
d’États membres de l’UE (dans le RGPD, il est fait référence aux individus ressortissants d’États membres de l’UE sous le vocable de
« personne concernée »). Ces six fondements, énumérés aux alinéas a à f de l’article 6(1) du RGPD, sont :
La personne concernée a
CONSENTI
au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
Le traitement est
NÉCESSAIRE À L’EXÉCUTION D’UN CONTRAT
auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
Le traitement est nécessaire au
RESPECT D’UNE OBLIGATION LÉGALE
à laquelle le responsable du traitement est soumis ;
Le traitement est nécessaire à la
SAUVEGARDE DES INTÉRÊTS VITAUX
de la personne concernée ou d’une autre personne physique ;
Le traitement est nécessaire à l’exécution d’une mission
D’INTÉRÊT PUBLIC
ou relevant de
L’EXERCICE DE L’AUTORITÉ PUBLIQUE
dont est investi le responsable du traitement ; ou
Le traitement est nécessaire aux fins des
INTÉRÊTS LÉGITIMES
poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits
fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.
Il existe des similarités entre la liste des traitements autorisés en application du RGPD et celle de la directive sur la protection
des données. En revanche, il existe aussi des divergences importantes.
Comparé au régime applicable sous l’empire de la directive sur le traitement des données, les modifications apportées par le RGPD
qui suscitent le plus de discussions concernent le resserrement des exigences que doit revêtir le consentement (premier élément de
la liste ci-dessus). Les conditions du consentement dans la directive incluent des éléments comme (i) le consentement doit être
vérifiable, (ii) la demande d’autorisation doit être clairement distincte des autres questions, (iii) la personne concernée doit
être informée de son droit de retirer son consentement au traitement. En outre, un consentement plus astreignant (« consentement
explicite ») doit être recueilli en cas de traitement de données sensibles.
Un autre élément important à souligner est l’intérêt légitime (élément 6 de la liste ci-dessus). Lorsqu’elle fonde le traitement de
données à caractère personnel sur un « intérêt légitime », l’organisation qui s’en prévaut doit être consciente qu’elle doit se
livrer à une mise en balance des intérêts par rapport à la finalité poursuivie autour de ce critère. Afin de satisfaire le principe
de responsabilité posé par le RGPD, une organisation doit documenter sa mise en conformité avec l’examen de mise en balance des
intérêts qui précise la méthode qu’elle a suivie et les arguments sur lesquels elle s’est fondée pour conclure que l’examen de pesée
des intérêts est satisfait.
Droits des individus en application du RGPD
En application de la directive sur la protection des données, les ressortissants de l’UE bénéficiaient de certains droits basiques
par rapport à leurs données à caractère personnel. Les droits de ces ressortissants continuent de s’appliquer sous l’empire du RGDP,
qui introduit des éléments de clarification. Le tableau ci-dessous compare les droits des ressortissants sous la directive sur la
protection des données et sous celui du RGPD.
DROIT DE LA PERSONNE CONCERNÉE DIRECTIVE SUR LA PROTECTION DES DONNÉES RGPD
REQUÊTE CONCERNANT L’ACCÈS À DES DONNÉES :
L’individu a le droit de savoir si des données à caractère personnel le concernant sont traitées, quelles sont-elles et comment
elles sont traitées.Le champ d’application de ce droit a été étendu par le RGPD. Par exemple, lorsqu’il effectue une demande de
consultation, l’individu doit recevoir de plus amples informations, y compris des informations sur leurs droits en matière de
protection des données à caractère personnel en application du RGPD qui n’existaient pas auparavant, comme le droit à la portabilité
des données.
DROIT D’OPPOSITION:
Un individu peut interdire un certain nombre d’opérations de traitement des données lorsqu’il dispose de raisons convaincantes. Les
individus peuvent aussi s’opposer au traitement de leurs données à des fins de démarchage direct. Le RGPD a étendu le champ
d’application de ce droit en comparaison de la directive sur la protection des données.
DROIT DE RECTIFICATION OU D’EFFACEMENT:
Les individus peuvent demander que les données incomplètes soient complétées ou que les données incorrectes soient corrigées afin de
s’assurer que le traitement des données à caractère personnel est en conformité avec les principes applicables concernant la
protection des données.La position du RGPD est matériellement la même, mais le RGPD a ajouté des protections procédurales
supplémentaires.
DROIT À LA LIMITATION DU TRAITEMENT:
Aucun droit à la limitation du traitement. Cependant, la directive sur la protection des données donne aux individus le droit de
demander le blocage de leurs données à caractère personnel lorsque les opérations de traitement ne sont pas en conformité avec les
principes de protection des données, par exemple lorsque les données sont incomplètes ou inexactes.Le RGPD offre aux individus le
droit de demander la limitation du traitement de leurs données à caractère personnel dans certaines circonstances, y compris lorsque
l’individu conteste l’exactitude des données.
DROIT À L’EFFACEMENT (DROIT À L’OUBLI):
Les individus ont le droit de demander l’effacement de leurs données personnelles si les opérations de traitement ne sont pas
conformes aux principes de protection des données. Par conséquent, ce droit est très restrictif. Le RGPD a considérablement renforcé
ce droit. Par exemple, le droit à l’oubli peut être exercé lorsque les données à caractère personnel ne sont plus nécessaires au
regard de la finalité pour laquelle elles ont été collectées, ou l’individu retire son consentement au traitement et aucun autre
fondement juridique ne soutient la poursuite du traitement.
DROIT À LA PORTABILITÉ DES DONNÉES:
La directive sur la protection des données ne mentionne pas explicitement la « portabilité des données » en tant que droit de la
personne concernée. Les États membres de l’UE peuvent avoir intégré des droits additionnels similaires au droit à la portabilité
dans leur droit interne Les individus peuvent demander que les données à caractère personnel détenues par un responsable de
traitement leur soient fournies ou soient transmises à un autre responsable de traitement.