Politique de Notification de Violation de Données Personnelles
Bolaméa · Protection des données · RGPD Article 33 & 34
Politique de Notification de
Violation de Données Personnelles
Bolaméa s'engage à traiter toute violation de données personnelles avec la plus grande réactivité, transparence et responsabilité — conformément au RGPD, à la Loi Informatique et Libertés et aux réglementations applicables dans l'ensemble des pays de l'Union européenne où nous livrons.
Préambule
Objet & champ d'application
La présente politique définit les procédures que Bolaméa (Dramé Oumarou, entreprise individuelle, R.C.S. Versailles 898 633 532) met en œuvre en cas de violation de données personnelles affectant ses clients. Elle s'applique à l'ensemble des données collectées via la boutique en ligne bolamea.com et couvre les consommateurs résidant en France ainsi que dans les 26 autres États membres de l'Union européenne où Bolaméa livre ses produits.
Qu'est-ce qu'une violation de données personnelles ?
Au sens de l'article 4 §12 du RGPD (Règlement (UE) 2016/679), une violation de données personnelles est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »
Personnes concernées chez Bolaméa
Les données personnelles susceptibles d'être impliquées dans une violation concernent les clients ayant passé commande sur bolamea.com : nom, prénom, adresse postale de livraison, adresse électronique, numéro de téléphone et historique d'achat. Les données de paiement (numéros de carte bancaire) ne sont jamais stockées sur les serveurs de Bolaméa : elles sont gérées exclusivement par nos prestataires certifiés (Shopify Payments, PayPal, Klarna).
Périmètre géographique de cette politique
Cette politique s'applique à tous les clients de Bolaméa résidant dans les pays suivants :
- France (pays d'établissement de Bolaméa)
- Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie
- Danemark, Espagne, Estonie, Finlande, Grèce, Hongrie
- Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte
- Pays-Bas, Pologne, Portugal, Roumanie, Slovaquie, Slovénie
- Suède, Tchéquie
Délai réglementaire impératif — 72 heures
L'article 33 du RGPD impose une obligation absolue : toute violation de données présentant un risque pour les droits et libertés des personnes concernées doit être notifiée à l'autorité de contrôle compétente (en France : la CNIL) dans un délai maximal de 72 heures après la prise de connaissance de la violation. Ce délai est impératif et non négociable. En cas de dépassement, une justification documentée doit être fournie à l'autorité.
Classification
Types de violations de données identifiées
Le RGPD distingue trois catégories de violations de données selon leur nature. Bolaméa applique une procédure de réponse adaptée à chaque type, avec des niveaux d'urgence différenciés en fonction des risques potentiels pour ses clients.
Violation de confidentialité
Divulgation ou accès non autorisé aux données personnelles de clients Bolaméa par un tiers non habilité. Exemples concrets pour notre activité :
- Accès frauduleux à la base de données clients Shopify
- Envoi d'un e-mail de confirmation de commande à la mauvaise adresse
- Transmission d'une liste d'adresses à un tiers non autorisé
- Piratage du compte administrateur de la boutique
Violation d'intégrité
Modification non autorisée ou accidentelle des données personnelles de clients. Exemples pour bolamea.com :
- Altération d'adresses de livraison dans la base de données
- Modification non autorisée du statut ou de l'historique de commandes
- Corruption de données suite à une mise à jour défaillante
- Erreur dans les données transmises au transporteur
Violation de disponibilité
Perte ou suppression accidentelle ou définitive de données personnelles, empêchant leur accès. Exemples :
- Suppression accidentelle de la base de données clients
- Panne irréversible de serveur sans sauvegarde disponible
- Chiffrement par ransomware rendant les données inaccessibles
- Perte physique d'un support contenant des données clients
Données spécifiquement traitées par Bolaméa et leur sensibilité
Bolaméa collecte des données personnelles dans le cadre de la vente de bolas de grossesse (bijoux de maternité) et d'ebooks numériques. La nature même de nos produits — des bijoux destinés aux femmes enceintes — implique que certaines données pourraient, dans un contexte de violation, révéler indirectement une information sur l'état de grossesse d'une cliente, ce qui constitue une donnée de santé protégée par l'article 9 du RGPD. Bolaméa traite cette dimension avec une vigilance particulière dans l'évaluation du risque lié à toute violation potentielle, conformément aux lignes directrices du Comité Européen de la Protection des Données (CEPD).
Procédure interne
Procédure interne de gestion d'une violation
Dès la détection ou la suspicion d'une violation de données, Bolaméa applique une procédure en cinq étapes structurées, conformément aux lignes directrices du Comité Européen de la Protection des Données (CEPD — Guidelines 01/2021 on Examples regarding Data Breach Notification).
Détection & Confinement
Dès la détection d'une anomalie ou d'une violation potentielle, Bolaméa procède immédiatement au confinement de l'incident pour en limiter la portée. Cette étape comprend :
- Identification de la source et de l'étendue de la violation
- Isolement des systèmes ou comptes compromis
- Suspension temporaire des accès potentiellement affectés
- Notification interne au responsable de traitement (Dramé Oumarou)
- Prise de contact avec le support de sécurité Shopify si nécessaire
Évaluation & Documentation
Bolaméa évalue le niveau de risque de la violation pour déterminer les obligations de notification applicables. Cette évaluation porte sur :
- Nature des données concernées (coordonnées, commandes, etc.)
- Nombre de personnes potentiellement affectées
- Type de violation (confidentialité, intégrité, disponibilité)
- Probabilité et gravité des conséquences pour les clients
- Risque de révélation indirecte d'une grossesse (données sensibles)
- Documentation complète dans le Registre des Violations (art. 33 §5 RGPD)
Notification à la CNIL (72 h)
Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, Bolaméa notifie la CNIL dans les 72 heures via le portail officiel notifications.cnil.fr. La notification contient obligatoirement :
- Description de la nature de la violation
- Catégories et nombre approximatif de personnes concernées
- Catégories et nombre approximatif de fichiers de données concernés
- Coordonnées du responsable de traitement
- Conséquences probables de la violation
- Mesures prises ou envisagées pour y remédier
Notification aux personnes concernées
Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des clients concernés (article 34 RGPD), Bolaméa les informe directement et sans délai injustifié par e-mail personnalisé. Le message inclut :
- Description claire et simple de ce qui s'est passé
- Nature des données potentiellement compromises
- Coordonnées du responsable de traitement
- Conséquences probables de la violation
- Mesures adoptées et recommandations pratiques
- Droits des personnes et recours disponibles
Remédiation, Suivi & Enregistrement au Registre des Violations
Une fois l'incident maîtrisé, Bolaméa engage les actions correctives nécessaires pour prévenir toute récurrence et documente l'intégralité de la gestion de l'incident dans son Registre des Violations, conservé pendant une durée minimale de 5 ans conformément à l'article 33 §5 du RGPD. Cette étape comprend l'audit de sécurité post-incident, la mise à jour des mesures techniques et organisationnelles (MTO), le suivi de la résolution avec les prestataires concernés (Shopify, PayPal, transporteurs), la clôture du dossier auprès de la CNIL et, si nécessaire, la mise à jour de la présente politique.
Autorité de contrôle
Notification à la CNIL et aux autorités européennes
En tant qu'entreprise établie en France, Bolaméa relève de la compétence de la CNIL (Commission Nationale de l'Informatique et des Libertés) comme autorité de contrôle principale (chef de file) pour le traitement des données de ses clients européens, conformément au mécanisme du guichet unique (articles 56 et suivants du RGPD).
CNIL
Autorité de contrôle française — chef de file pour les traitements transfrontaliers de Bolaméa dans l'ensemble de l'Union européenne.
Guichet unique RGPD · Art. 56Le mécanisme du guichet unique permet à Bolaméa de ne notifier qu'une seule autorité (la CNIL) en cas de violation transfrontalière, celle-ci se chargeant d'en informer les autorités homologues des autres États membres concernés.
Coordonnées de la CNIL
| Dénomination | Commission Nationale de l'Informatique et des Libertés (CNIL) |
| Adresse postale | 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France |
| Portail de notification | notifications.cnil.fr |
| Site officiel | www.cnil.fr |
| Délai de notification | 72 heures maximum après prise de connaissance (art. 33 RGPD) |
| Compétence territoriale | France + 26 pays UE (mécanisme guichet unique) |
| Base légale | RGPD (UE) 2016/679 — Articles 33 et 56 |
Autorités de contrôle homologues dans les autres pays de livraison
Via le mécanisme du guichet unique, la CNIL coordonne avec les autorités de contrôle homologues de chaque pays concerné par une violation transfrontalière. À titre d'information, voici les autorités compétentes dans les principaux pays où Bolaméa livre ses produits : AEPD (Espagne), Garante (Italie), BfDI (Allemagne), APD / GBA (Belgique), Datatilsynet (Danemark et Norvège), Tietosuojavaltuutettu (Finlande), IMY (Suède), DPC (Irlande), UODO (Pologne), ANSPDCP (Roumanie), DPA (Grèce), NAIH (Hongrie), ÚOOÚ (Tchéquie), OPC (Autriche), CNPD (Luxembourg), IDPC (Malte), APA (Croatie). Ces autorités disposent de pouvoirs de contrôle, d'enquête et de sanction dans leurs pays respectifs.
Communication clients
Comment Bolaméa vous notifie en cas de violation
L'article 34 du RGPD impose une obligation de communication directe aux personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Bolaméa s'engage à respecter cette obligation avec clarté et réactivité.
Quand devez-vous être notifié ?
Violation à risque élevé — Notification obligatoire
Vous serez notifié directement et sans délai si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, par exemple : vol d'identité, discrimination, préjudice financier, atteinte à la réputation ou, dans le contexte de Bolaméa, révélation indirecte de votre état de grossesse à des tiers non autorisés.
Violation à risque modéré — Notification CNIL uniquement
Si la violation est susceptible d'engendrer un risque pour vos droits (mais non un risque élevé), Bolaméa notifie la CNIL mais peut ne pas vous contacter directement. Dans ce cas, l'information pourra être rendue accessible via un avis public sur notre site bolamea.com ou par tout autre moyen équivalent.
Violation sans risque — Enregistrement interne
Si la violation est peu susceptible d'engendrer un risque pour vos droits et libertés (par exemple, une perte de données immédiatement récupérée depuis une sauvegarde sans accès tiers), Bolaméa documente l'incident dans son registre interne des violations sans obligation de notification externe.
Contenu de notre message de notification
Identité & coordonnées de Bolaméa
Nom complet, adresse, numéro de téléphone et adresse électronique du responsable de traitement (Dramé Oumarou — contact@bolamea.com) pour vous permettre d'obtenir des informations complémentaires.
Description claire de la violation
Explication simple et compréhensible de ce qui s'est passé : nature de l'incident, date et heure de survenance estimées, données potentiellement concernées vous concernant.
Conséquences probables
Description des risques potentiels pour vous en termes concrets : risque d'usurpation d'identité, risque de prospection non souhaitée, risque de divulgation de vos données à des tiers, etc.
Mesures prises & recommandations pratiques
Description des actions correctives déjà mises en œuvre par Bolaméa et recommandations concrètes que vous pouvez appliquer pour vous protéger (changement de mot de passe, vigilance sur les e-mails suspects, signalement bancaire le cas échéant).
Vos droits & recours disponibles
Rappel de l'ensemble de vos droits RGPD (accès, rectification, effacement, opposition), coordonnées pour les exercer auprès de Bolaméa et recours possible auprès de la CNIL ou de l'autorité de contrôle de votre pays de résidence.
Cas particuliers
Cas d'exonération de notification directe aux clients
L'article 34 §3 du RGPD prévoit trois situations dans lesquelles la notification directe aux personnes concernées n'est pas obligatoire. Bolaméa documente systématiquement le recours à l'une de ces exceptions dans son registre des violations.
Données rendues inintelligibles
Si Bolaméa démontre que les données personnelles violées avaient été protégées par des mesures techniques appropriées (notamment un chiffrement robuste de bout en bout) rendant les données inaccessibles à toute personne non autorisée, la notification directe aux clients n'est pas requise. Dans ce cas, la violation est néanmoins enregistrée dans le registre interne et signalée à la CNIL si le risque résiduel le justifie.
Mesures correctives immédiates et efficaces
Si Bolaméa a pris des mesures correctives immédiates et efficaces garantissant que le risque élevé identifié n'est plus susceptible de se matérialiser pour les personnes concernées, la notification directe peut être évitée. Ces mesures doivent être documentées, proportionnées à la nature de la violation et leur efficacité doit être vérifiable et vérifiée avant toute décision de ne pas notifier.
Effort disproportionné — Avis public
Si la notification individuelle exigerait des efforts disproportionnés (par exemple, en cas de violation affectant un très grand nombre de personnes non identifiables individuellement), Bolaméa peut recourir à une communication publique équivalente. Dans ce cas, un avis clair et visible sera publié sur la page d'accueil de bolamea.com et sur nos réseaux sociaux (Facebook, Pinterest) afin d'informer les personnes concernées par tout moyen atteignant un effet équivalent.
Importance du contexte produit Bolaméa
La nature des produits vendus par Bolaméa — des bolas de grossesse destinés aux femmes enceintes — confère une dimension particulière à l'évaluation du risque en cas de violation. Une base de données clients de Bolaméa révèle potentiellement, par déduction, l'état de grossesse d'une personne, ce qui constitue une donnée relevant de la catégorie particulière de l'article 9 du RGPD (données de santé). Bolaméa applique donc systématiquement une présomption de risque élevé lors de l'évaluation de toute violation impliquant sa base de données clients, sauf démonstration contraire documentée et vérifiable.
Prévention
Mesures de prévention et de sécurité mises en œuvre
Bolaméa met en œuvre un ensemble de mesures techniques et organisationnelles (MTO) conformément au principe de « protection des données dès la conception et par défaut » (Privacy by Design & Privacy by Default — article 25 du RGPD) pour réduire au maximum le risque de violation de données.
Mesures techniques
Chiffrement SSL/TLS sur l'intégralité du site
Toutes les communications entre votre navigateur et bolamea.com sont chiffrées via TLS 1.2 / TLS 1.3. Les données en transit ne peuvent pas être interceptées par un tiers. Le certificat SSL est géré automatiquement par Shopify via Let's Encrypt.
Zéro stockage de données bancaires
Bolaméa ne stocke aucune donnée de carte bancaire sur ses propres serveurs. L'intégralité du traitement des paiements est déléguée à des prestataires certifiés PCI-DSS Niveau 1 (Shopify Payments, PayPal, Klarna) via des protocoles de tokenisation sécurisés.
Infrastructure Shopify sécurisée
Notre boutique est hébergée sur Shopify, qui assure la protection DDoS via Cloudflare, les sauvegardes automatiques des données, la surveillance de sécurité 24h/24 et 7j/7 et les mises à jour automatiques de l'infrastructure.
Contrôle d'accès strict & authentification
L'accès au back-office de la boutique Bolaméa est strictement limité au responsable autorisé, avec une authentification à deux facteurs (2FA) activée sur tous les comptes administrateurs, conformément aux bonnes pratiques ANSSI.
Mesures organisationnelles
Minimisation des données collectées
Conformément au principe de minimisation (art. 5 §1 c) du RGPD), Bolaméa ne collecte que les données strictement nécessaires au traitement des commandes. Aucune donnée superflue n'est demandée ou conservée. Les données clients sont supprimées à l'expiration de leur durée légale de conservation.
Registre des violations tenu à jour
Bolaméa tient et maintient un registre interne de toutes les violations de données, qu'elles aient ou non donné lieu à une notification externe (art. 33 §5 RGPD). Ce registre est conservé pendant une durée minimale de 5 ans et disponible sur demande des autorités de contrôle.
Sélection rigoureuse des sous-traitants
Tous les sous-traitants de Bolaméa (Shopify Inc., PayPal Europe, Klarna Bank AB, transporteurs) sont sélectionnés sur la base de leur conformité au RGPD et disposent de leurs propres politiques de sécurité et de violation de données documentées et accessibles.
Revue périodique des pratiques de sécurité
Bolaméa procède à une revue annuelle de ses mesures de sécurité et de sa présente politique de violation de données, et les met à jour chaque fois que cela est nécessaire en raison d'une évolution technique, légale ou liée à son activité commerciale.
Sous-traitants
Violations impliquant nos sous-traitants
Conformément à l'article 28 du RGPD, Bolaméa a conclu des accords de traitement de données (DPA — Data Processing Agreements) avec ses principaux sous-traitants. En cas de violation survenant chez l'un d'eux, les obligations de notification restent à la charge de Bolaméa en tant que responsable de traitement.
Shopify Inc. — Hébergeur & plateforme
Rôle : Sous-traitant principal pour l'hébergement de bolamea.com, la gestion du panier, des commandes et de la base de données clients.
En cas de violation Shopify : Shopify s'engage contractuellement à notifier Bolaméa sans délai injustifié de toute violation affectant ses données. Bolaméa dispose alors de 72 heures à compter de cette notification pour alerter la CNIL si le risque le justifie. Shopify dispose de sa propre politique de violation de données détaillée sur shopify.com/security.
Prestataires de paiement
PayPal (Europe) S.à r.l. et Cie, S.C.A. — Agréé par la CSSF luxembourgeoise. Klarna Bank AB (publ.) — Agréé par la Finansinspektionen suédoise. Shopify Payments — PCI-DSS Niveau 1.
Important : Ces prestataires ne transmettent jamais à Bolaméa les données complètes de carte bancaire de ses clients. En cas de violation chez l'un d'eux concernant les données de paiement, ils notifient directement les autorités compétentes (CSSF, Finansinspektionen) et informent Bolaméa et les clients affectés selon leurs propres procédures réglementaires.
Transporteurs et prestataires logistiques
Les transporteurs utilisés par Bolaméa pour la livraison dans les 27 pays de l'UE reçoivent uniquement les données strictement nécessaires à la livraison (nom, prénom, adresse postale, numéro de téléphone de contact). En cas de violation de données chez un transporteur impliquant ces informations, Bolaméa applique la même procédure d'évaluation et de notification que pour toute autre violation, en tenant compte du risque spécifique lié à la divulgation d'adresses postales de clients (risque d'hameçonnage ciblé, de livraison frauduleuse, d'usurpation d'identité).
Prestataire d'e-mailing — Shopify Email & notifications
Les communications par e-mail avec les clients Bolaméa (confirmations de commande, notifications d'expédition, newsletter avec consentement) sont gérées via les outils intégrés de Shopify. En cas de violation affectant la liste des abonnés à la newsletter ou les adresses e-mail clients, Bolaméa évalue le risque et applique la procédure de notification appropriée. Les clients abonnés à la newsletter peuvent se désabonner à tout moment via le lien de désinscription inclus dans chaque e-mail.
Vos droits
Vos droits en cas de violation de vos données
En cas de violation de données vous concernant, vous disposez de l'intégralité de vos droits RGPD, renforcés par les protections spécifiques applicables dans votre pays de résidence au sein de l'Union européenne.
Droit d'accès renforcé
En cas de violation, vous pouvez demander à Bolaméa de vous confirmer si vos données ont été compromises, quelles données spécifiques sont concernées et quelle est l'étendue exacte de la violation vous concernant. Bolaméa s'engage à vous fournir ces informations dans un délai maximum d'un mois (art. 12 §3 RGPD).
Droit à l'effacement prioritaire
En cas de violation, vous pouvez demander l'effacement immédiat de vos données personnelles chez Bolaméa. Cette demande sera traitée en priorité. Bolaméa procédera à l'effacement dans les meilleurs délais, sauf si la conservation est nécessaire pour des raisons légales impératives (obligations comptables, litiges en cours).
Droit d'opposition et de limitation
Vous avez le droit de vous opposer à tout traitement ultérieur de vos données ou d'en demander la limitation dans l'attente de la résolution de l'incident. Ce droit est exercé sans condition de justification en cas de violation avérée. Bolaméa traitera votre demande immédiatement.
Recours disponibles par pays de résidence
Comment trouver l'autorité de votre pays ?
Le Comité Européen de la Protection des Données (CEPD) met à disposition la liste complète des autorités de contrôle de l'Union européenne sur son site officiel : edpb.europa.eu/about-edpb/about-edpb/members_fr. Chaque autorité dispose d'un portail en ligne permettant de déposer une plainte ou une demande de renseignements en lien avec la gestion de vos données personnelles par un responsable de traitement tel que Bolaméa.
Registre interne
Registre des violations & obligations documentaires
L'article 33 §5 du RGPD impose à tout responsable de traitement de documenter toutes les violations de données, qu'elles aient ou non donné lieu à une notification aux autorités ou aux personnes concernées. Bolaméa tient ce registre à jour en permanence.
| Élément documentaire | Contenu conservé par Bolaméa |
|---|---|
| Date et heure de détection | Moment précis où Bolaméa a pris connaissance de la violation potentielle |
| Nature de la violation | Type (confidentialité / intégrité / disponibilité) et description factuelle de l'incident |
| Données et personnes concernées | Catégories de données affectées et estimation du nombre de personnes touchées |
| Conséquences probables | Évaluation des risques pour les droits et libertés des personnes concernées |
| Mesures correctives adoptées | Actions techniques et organisationnelles mises en place pour contenir et remédier à la violation |
| Décision de notification ou non | Justification documentée de la décision de notifier ou non la CNIL et/ou les personnes concernées |
| Référence CNIL (si applicable) | Numéro de dossier CNIL attribué lors de la notification, date et contenu de la notification |
| Notifications aux personnes (si applicable) | Date d'envoi, contenu du message, canaux utilisés (e-mail, avis public) et nombre de personnes notifiées |
| Sous-traitants impliqués | Identification du ou des sous-traitants concernés (Shopify, PayPal, Klarna, transporteur) et nature de leur implication |
| Durée de conservation du dossier | Minimum 5 ans à compter de la clôture du dossier, conformément aux obligations légales françaises et au RGPD |
Accès au registre par les autorités de contrôle
Le registre des violations de Bolaméa est tenu à la disposition de la CNIL et de toute autre autorité de contrôle compétente sur simple demande, conformément aux obligations de coopération prévues par l'article 31 du RGPD. Ce registre peut faire l'objet d'un contrôle lors d'une inspection ou d'une enquête de la CNIL, notamment en cas de plainte d'un client ou de signalement externe d'une violation de données.
Responsable de traitement
Identité du responsable de traitement
Conformément à l'article 13 du RGPD, Bolaméa vous informe de l'identité complète du responsable de traitement de vos données personnelles et des coordonnées à utiliser pour toute demande relative à une violation de données.
| Rubrique | Information |
|---|---|
| Responsable de traitement | Dramé Oumarou, commerçant individuel (EI) |
| Nom commercial | Bolaméa |
| Numéro SIREN | 898 633 532 |
| Numéro SIRET | 898 633 532 00012 |
| Immatriculation | R.C.S. Versailles — 898 633 532 |
| Adresse du siège | 17 A Rue du Muguet, 78120 Rambouillet, France |
| Adresse électronique (DPO / RGPD) | contact@bolamea.com |
| Téléphone | +33 6 46 72 85 70 |
| Horaires de contact | Lundi au vendredi, 9h00–17h00 (heure de Paris — GMT+1) |
| Site internet | https://bolamea.com |
| Hébergeur | Shopify Inc. — 151 O'Connor Street, Ottawa, Ontario K2P 2L8, Canada |
| Autorité de contrôle principale | CNIL — www.cnil.fr — 3 Place de Fontenoy, 75334 Paris Cedex 07 |
| Portail de notification violations | notifications.cnil.fr |
| Délai de notification légal | 72 heures maximum après prise de connaissance (art. 33 RGPD) |
| Base légale du traitement | Exécution du contrat de vente (art. 6 §1 b) RGPD) — Obligations légales (art. 6 §1 c) RGPD) |
Contact
Nous contacter en cas de violation ou de suspicion
Si vous suspectez une violation de vos données personnelles chez Bolaméa, ou si vous avez des questions relatives à cette politique, contactez-nous immédiatement par l'un des canaux suivants. Nous nous engageons à accuser réception de votre signalement dans les 24 heures ouvrées.
Chat en ligne
Via le chat disponible sur bolamea.com
Disponible aux heures d'ouverture
Pour signalement urgent uniquement
En cas de doute, signalez immédiatement
Si vous pensez que vos données personnelles ont été compromises suite à une interaction avec bolamea.com (e-mail suspect se présentant comme Bolaméa, demande inhabituelle d'informations, transaction non reconnue), signalez-le immédiatement à contact@bolamea.com avec l'objet « Signalement de sécurité ». Vous pouvez également signaler tout incident de cybersécurité sur la plateforme nationale cybermalveillance.gouv.fr (France) ou contacter l'autorité de contrôle de votre pays de résidence.
Cadre légal
Cadre réglementaire complet applicable
La présente politique s'inscrit dans un cadre réglementaire européen et français précis. Voici les textes de référence qui fondent chacune de nos obligations en matière de notification de violation de données personnelles.
RGPD — Règlement (UE) 2016/679
- Art. 4 §12 — Définition de la violation de données personnelles
- Art. 5 — Principes relatifs au traitement des données
- Art. 9 — Catégories particulières de données (dont santé)
- Art. 25 — Protection des données dès la conception (Privacy by Design)
- Art. 28 — Obligations relatives aux sous-traitants
- Art. 31 — Coopération avec l'autorité de contrôle
- Art. 33 — Notification à l'autorité de contrôle (72 heures)
- Art. 34 — Communication aux personnes concernées
- Art. 56 — Mécanisme du guichet unique
- Art. 83 — Amendes administratives (jusqu'à 20 M€ ou 4% CA)
Droit français applicable
- Loi n°78-17 du 6 janvier 1978 modifiée (Informatique et Libertés)
- Décret n°2019-536 du 29 mai 2019 (application RGPD en France)
- LCEN — Loi n°2004-575 du 21 juin 2004
- Lignes directrices CNIL sur les violations de données (mise à jour 2022)
Réglementations européennes complémentaires
- Directive ePrivacy 2002/58/CE — Communications électroniques
- Directive NIS2 (UE) 2022/2555 — Cybersécurité des réseaux
- DSA — Règlement (UE) 2022/2065 — Services numériques
- Directive (UE) 2019/771 — Vente de biens aux consommateurs
- Directive (UE) 2019/2161 — Modernisation droit des consommateurs
- CEPD Guidelines 01/2021 — Exemples de violations de données
- CEPD Guidelines 9/2022 — Notification de violations
Sanctions applicables en cas de non-conformité
Le non-respect des obligations de notification de violation de données est sanctionné par l'article 83 §4 du RGPD :
- Défaut de notification à la CNIL : jusqu'à 10 000 000 € d'amende ou 2% du CA mondial annuel
- Défaut de notification aux personnes : jusqu'à 10 000 000 € ou 2% du CA mondial
- Violation grave des principes fondamentaux : jusqu'à 20 000 000 € ou 4% du CA mondial