Règles d’entreprise contraignantes – Politique relative aux sous-traitants

INTRODUCTION À LA PRÉSENTE POLITIQUE

Les présentes règles d’entreprise contraignantes relatives aux sous-traitants (Binding Corporate Rules Processor Policy) et leurs annexes (composant la « Politique ») définissent l’approche adoptée par Avature Group (tel que défini ci-dessous) concernant la protection et la gestion des données à caractère personnel par les Membres du groupe Avature qui adhèrent à ces règles lorsqu’ils traitent des informations pour le compte d’un tiers responsable du traitement (tel que défini ci-dessous).

Le groupe d’entreprises Avature (« Avature Group ») est une organisation qui opère dans plusieurs pays et dont la vocation est d’apporter de nouvelles technologies, de nouvelles idées et de nouvelles solutions en réponse aux défis que rencontrent ses clients. Avature Group fournit notamment des solutions logicielles de pointe en matière d’acquisition et de gestion des talents qui répondent aux besoins spécifiques des clients, s’adaptent à leurs objectifs de transformation particuliers et offrent un avantage concurrentiel une fois déployées au sein de l’organisation de chaque client.

Outre les autres définitions prévues par la présente Politique, voici ci-après les définitions correspondant aux termes suivants :

« Législation locale applicable » : toute loi nationale ou locale relative à la protection des données (y compris, le cas échéant, la loi européenne sur la protection des données) applicable au Membre du groupe concerné.

« client » : un tiers responsable du traitement pour lequel un Membre du groupe fournit un service ;

« données à caractère personnel des clients » : les données à caractère personnel des employés (et autres membres du personnel) d’un client que les Membres du groupe traitent pour le compte d’un client (responsable du traitement) dans le cadre des services qui lui sont fournis. Les données à caractère personnel des clients ne comprennent pas les données à caractère personnel nécessaires au fonctionnement du service (c.-à-d. les données de facturation), qui sont traitées par les Membres du groupe en leur qualité de responsables du traitement et sont donc exclues de la présente Politique ;

« responsable du traitement » : la personne physique ou morale, l’autorité publique, l’agence ou un autre organisme qui, seul(e) ou conjointement avec d’autres, détermine les finalités et les modalités du traitement des données à caractère personnel ;

« accord de traitement des données » : un contrat ou tout autre type d’instrument juridique contenant les conditions générales relatives au traitement des données ;

« sous-traitant » : une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

« Europe » : les pays de l’Espace économique européen (« EEE ») ;

« Loi européenne sur la protection des données » : le RGPD et toute législation relative à la protection des données d’un État membre de l’UE, notamment la législation locale implémentant les exigences du RGPD, y compris la législation subordonnée, dans chaque cas tel qu’amendé périodiquement ;

« RGPD » : règlement de l’Union européenne (UE) 2016/679 (Règlement général sur la protection des données) ;

« Membre du groupe » : les membres d’Avature Group qui ont adhéré à la présente Politique ;

« Membre responsable BCR » : il s’agit d’Avature Spain, S.L.U ;

« données à caractère personnel » ou « données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou par référence à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;

« traitement de données » : toute opération ou ensemble d’opérations effectuées par un Membre du groupe sur des données à caractère personnel ou des ensembles de données à caractère personnel à l’aide, ou en l’absence, de procédés automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la limitation, l’effacement ou la destruction de données ;

« profilage » : toute forme de traitement automatisé consistant à utiliser des données à caractère personnel pour évaluer certains aspects personnels d’une personne physique, notamment pour analyser ou prédire des éléments relatifs à la performance au travail, à la situation économique, à la santé, aux préférences personnelles, aux centres d’intérêt, à la fiabilité, au comportement, à la localisation ou aux déplacements de cette personne physique ;

« catégories particulières de données à caractère personnel », « données sensibles » : les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, les données génétiques, les données biométriques utilisées pour identifier de manière unique une personne physique, les données relatives à la santé ou les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique ; et

« autorité de contrôle » ou « autorité de contrôle compétente » : une autorité publique indépendante établie dans une juridiction européenne chargée de surveiller l’application de la législation européenne en matière de protection des données, afin de protéger les libertés et droits fondamentaux des personnes physiques dans le cadre du traitement ; et

« Tiers » : toute entité qui n’est pas Membre du groupe.

La présente Politique s’applique à toutes les données à caractère personnel des clients traitées par les Membres du groupe en tant que sous-traitants et/ou sous-traitants ultérieurs, dans le cadre de leurs activités commerciales habituelles au cours de la fourniture de services à un client.

Les Membres du groupe et leurs employés doivent se conformer pleinement à la présente Politique et la respecter dans le cadre du traitement des données à caractère personnel des clients, en leur qualité de prestataires de services (sous-traitant ou sous-traitant ultérieur) auprès d’un client.

La présente Politique s’ajoute aux exigences spécifiques en matière de protection des données ou aux règles de confidentialité qui pourraient s’appliquer à un secteur d’activité ou à une fonction au sein d’Avature Group, ou qui sont exigées par la législation applicable, sans les annuler ni les remplacer.

La présente Politique, ainsi que la liste des Membres du groupe actuels et leurs coordonnées, sont publiées sur l’intranet de l’entreprise et sur le site Web accessible au public ici.

PARTIE I : CONTEXTE ET ACTIONS

Qu’est-ce que la loi sur la protection des données ?

La législation européenne en matière de protection des données accorde le droit aux citoyens de contrôler la manière dont leurs données à caractère personnel sont traitées. En vertu de la législation européenne en matière de protection des données, lorsqu’une organisation traite des données à caractère personnel à ses propres fins, elle est considérée comme responsable du traitement de ces informations et sa responsabilité première consiste donc à veiller au respect des exigences réglementaires. Par exemple, lorsque nous sommes l’employeur, nous sommes responsables du traitement des données à caractère personnel que nous traitons au sujet de nos employés.

En revanche, lorsqu’une organisation traite des informations pour le compte d’une autre entité (un responsable du traitement) (par exemple, pour fournir un service), celle-ci est considérée comme un sous-traitant des données : (i) le responsable du traitement sera principalement responsable de sa propre conformité et de celle de son ou de ses sous-traitants ; et (ii) le sous-traitant sera responsable, entre autres, du respect d’obligations telles que celles énoncées dans les articles 28 et 30 du RGPD.

Quelles sont les répercussions de la législation européenne en matière de protection des données sur les Membres du groupe au niveau international ?

La législation européenne en matière de protection des données n’autorise pas les transferts de données à caractère personnel vers des pays, territoires ou organisations internationales situés en dehors de l’Europe qui ne garantissent pas un niveau adéquat de protection des droits des personnes en matière de confidentialité des données. Étant donné que la Commission européenne considère que le niveau de protection proposé par certains des pays dans lesquels les Membres du groupe opèrent est insuffisant, des garanties appropriées doivent être mises en place pour répondre aux exigences de la législation européenne en matière de protection des données.

Comment les Membres du groupe peuvent-ils y remédier ?

Les Membres du groupe doivent prendre les mesures nécessaires pour s’assurer que leur traitement de données à caractère personnel à l’international est sécurisé et, par conséquent, licite. L’objectif de la présente Politique est donc de définir un cadre permettant de répondre aux normes énoncées dans la législation européenne en matière de protection des données et, par conséquent, de garantir un niveau de protection adéquat pour toutes les données à caractère personnel des clients qui sont transférées aux Membres du groupe ou traitées par ces Membres en tant que sous-traitants et/ou sous-traitants ultérieurs.

Comme prévu ci-dessus, en vertu de la législation européenne en matière de protection des données, les sous-traitants doivent conclure un accord de traitement des données avec les responsables du traitement, qui respecte les obligations telles que celles prévues à l’article 28 du RGPD. Cet accord régira, entre autres, les transferts internationaux de données effectués vers et/ou par le sous-traitant. À cet égard, lorsque les clients des Membres du groupe considèrent que la présente Politique offre des garanties appropriées, un lien vers la présente Politique sera inclus dans l’accord conclu avec ce client, ainsi qu’au minimum, les éléments suivants :

des dispositions contractuelles visant à rendre la présente Politique exécutoire par les clients concernés ;
l’engagement des clients concernés à informer les personnes concernées (i) des transferts internationaux impliquant des catégories particulières de données à caractère personnel ; (ii) de l’existence de sous-traitants basés en dehors de l’Europe ; et (iii) de l’existence de la présente Politique (en mettant à leur disposition, sur demande, une copie de cette Politique et de l’accord pertinent en vigueur) ;
une description claire (i) des mesures de confidentialité et de sécurité implémentées ; et (ii) des instructions et du traitement des données ; et
une clarification sur (i) le fait que les données sont susceptibles d’être sous-traitées à l’intérieur ou à l’extérieur d’Avature Group ; et (ii) si cette autorisation préalable exprimée par le client est générale ou doit être donnée spécifiquement pour chaque nouvelle activité de sous-traitement.

Dans de tels cas, si un client démontre qu’il a subi un préjudice et qu’il est probable que ce préjudice est survenu en raison d’une violation de la présente Politique (rendue contraignante en vertu de l’accord de traitement des données visé ci-dessus), il incombera au Membre responsable BCR de démontrer que le Membre du groupe établi en dehors de l’Europe (ou un sous-traitant ultérieur tiers établi en dehors de l’Europe) n’est pas responsable de la violation, ou qu’aucune violation n’a eu lieu. En outre, un client ayant conclu un accord de traitement des données avec un Membre du groupe qui intègre la présente Politique, peut faire valoir cette Politique devant les juridictions européennes, si la loi le permet et sous réserve des conditions de l’accord de traitement des données, à l’encontre (i) de tout Membre du groupe qui traite les données à caractère personnel du client pour le compte de ce client lorsqu’il s’agit d’une violation de la Politique causée par ce Membre du groupe ; et, par ailleurs, (ii) du Membre responsable BCR en cas de violation de la Politique par un Membre du groupe en dehors de l’Europe (ou un sous-traitant ultérieur tiers établi en dehors de l’Europe).

La présente Politique est juridiquement contraignante et s’applique à tous les Membres du groupe et à leurs employés lorsque ces Membres du groupe traitent les données à caractère personnel des clients, que ce soit manuellement ou par des moyens automatisés. Elle impose aux Membres du groupe qui traitent les données à caractère personnel des clients en tant que sous-traitants et/ou sous-traitants ultérieurs de se conformer aux règles énoncées dans la Partie II de la présente Politique ainsi qu’aux Politiques et procédures énoncées dans les annexes de la Partie III de la présente Politique.

Quelles sont les données à caractère personnel concernées par la présente Politique ?

Les données à caractère personnel traitées dans le cadre de la présente Politique incluent les données à caractère personnel des clients, en particulier les données à caractère personnel concernant les employés actuels, passés et potentiels ou d’autres membres du personnel (tels que les stagiaires, les personnels détachés ou les travailleurs indépendants) des clients, partagées par ces derniers dans le cadre de la configuration ou de l’accord convenu, qui comprennent principalement les données suivantes : (a) les informations personnelles et les coordonnées (p. ex. nom, âge, date de naissance, coordonnées, numéros d’identification délivrés par le gouvernement (tels que numéros de sécurité sociale, numéros de permis de conduire ou numéros d’identification nationaux) ; (b) les informations relatives aux talents, au recrutement, aux candidatures, à l’éducation et à la formation (p. ex. parcours académique, expérience professionnelle, CV, notes prises par les utilisateurs au sujet des qualités et des qualifications du personnel) ; et (c) les informations financières (p. ex. numéros de compte bancaire fournis par le personnel des clients dans le seul but de recevoir des paiements de salaire, et les informations sur les personnes à charge et les contacts en cas d’urgence).

En outre, des catégories particulières de données à caractère personnel peuvent être traitées par les Membres du groupe lorsque cela s’avère nécessaire et requis ou autorisé par la législation locale applicable aux fins décrites dans la section suivante. En particulier, les informations médicales et de santé (notamment le numéro de sécurité sociale), ou l’orientation sexuelle, raciale, Politique, ethnique, idéologique ou religieuse des personnes (uniquement à des fins de conformité avec la législation sur l’égalité des chances ou comme l’exigent et le permettent les lois applicables au responsable du traitement dans les juridictions où le responsable du traitement collecte les données).

Pour quelles finalités les données à caractère personnel sont-elles transférées dans le cadre de la présente Politique ?

Les transferts de données à caractère personnel des clients dans le cadre de la présente Politique ont lieu entre les Membres du groupe à l’échelle mondiale (voir la localisation de tous les Membres du groupe ici), quelle que soit l’origine des données, dans le but de fournir les services requis aux clients (tel que convenu dans le cadre d’un accord), ce qui implique, entre autres, l’accès aux données à caractère personnel des clients afin de : (i) stocker ces données pour le compte des clients ; (ii) leur fournir des services d’assistance technique ; (iii) effectuer des services de configuration ou de reconfiguration dans les instances pertinentes selon les instructions des clients ; (iv) effectuer les opérations de traitement nécessaires pour fournir les différentes fonctionnalités des services offerts aux clients ; et (v) assurer la sécurité et la disponibilité des services.

Informations supplémentaires

Avature Group dispose d’une équipe de spécialistes de la protection des données (incluant un Délégué à la protection des données du groupe [tel que ce terme est défini ci-dessous] à la tête de l’équipe) chargé de veiller à ce que tous les Membres du groupe respectent strictement la législation applicable en matière de protection des données (« Équipe chargée de la confidentialité »). Si vous avez des questions concernant les dispositions de la présente Politique, vos droits en vertu de la présente Politique ou toute autre question relative à la protection des données, vous pouvez prendre contact avec l’équipe chargée de la confidentialité à l’adresse ci-dessous. L’équipe chargée de la confidentialité traitera la question, la transmettra à la personne ou au service approprié au sein d’Avature Group ou fera remonter le problème au Délégué à la protection des données d’Avature Group (« Délégué à la protection des données »), le cas échéant.

À l’attention de : L’équipe chargée de la confidentialité

Formulaire en ligne : https://www.avature.net/contact-privacy-officer/

L’équipe chargée de la confidentialité veille à ce que les modifications apportées à la présente Politique soient notifiées conformément à l’Annexe 5.

En cas d’insatisfaction concernant la manière dont un Membre du groupe a traité vos données à caractère personnel, Avature Group dispose d’une procédure distincte pour le traitement des réclamations, détaillée dans la partie III, Annexe 3.

PARTIE II : OBLIGATIONS DU SOUS-TRAITANT

Trois sections composent la partie II de la présente Politique :

La section A porte sur les principes de base de la législation européenne en matière de protection des données que tout Membre du groupe doit respecter lorsqu’il traite et transfère des données à caractère personnel de clients en tant que sous-traitant et/ou sous-traitant ultérieur pour le compte d’un tiers responsable du traitement.
La section B aborde les engagements pratiques pris par les Membres du groupe envers les autorités de contrôle compétentes lorsqu’ils traitent des données à caractère personnel de clients en tant que sous-traitants pour le compte de ces derniers.
La section C décrit les droits des tiers bénéficiaires que les Membres du groupe ont accordés aux personnes concernées en leur qualité de sous-traitants en vertu de la présente Politique.

SECTION A : PRINCIPES DE BASE

RÈGLE 1 – TRANSPARENCE, ÉQUITÉ ET LÉGALITÉ

Règle 1A – Les Membres du groupe veilleront à ce que le respect de la présente Politique n’entre pas en conflit avec les lois sur la protection des données le cas échéant.

Champs d’application de la présente Politique et :

la législation locale applicable exige un niveau de protection plus élevé que celui prévu par la présente Politique, ce niveau de protection plus élevé prévaudra sur la présente Politique ; ou
si la législation locale applicable empêche les Membres du groupe de s’acquitter de leurs obligations ou a un effet substantiel sur leur capacité à le faire en vertu de la présente Politique, les Membres du groupe suivront la procédure indiquée dans la règle 12.

Règle 1B – Les Membres du groupe aideront et assisteront un client à se conformer à ses obligations en vertu de la législation européenne en matière de protection des données dans un délai raisonnable et dans la mesure où cela est raisonnablement possible.

Les Membres du groupe, compte tenu de la nature du traitement et des informations dont ils disposent, dans un délai raisonnable et dans la mesure où cela est raisonnablement possible, et comme cela peut être requis en vertu des accords de traitement des données conclus avec leurs clients et/ou de la législation locale applicable, aideront les clients sur demande à se conformer à leurs obligations en tant que responsables du traitement en vertu de la législation européenne en matière de protection des données. Par exemple, les Membres du groupe feront preuve de transparence concernant les activités des sous-traitants ultérieurs afin que leurs clients puissent informer correctement les individus.

RÈGLE 2 – VEILLER À CE QUE LES DONNÉES À CARACTÈRE PERSONNEL SOIENT TRAITÉES UNIQUEMENT POUR UNE FINALITÉ CONNUE

Règle 2 – Les Membres du groupe ne traitent les données à caractère personnel de leurs clients que pour le compte de ces derniers et conformément à leurs instructions.

Les Membres du groupe et leurs employés respecteront la Politique et ne traiteront les données à caractère personnel des clients que conformément aux termes de l’accord de traitement des données qu’ils ont conclu avec leurs clients concernant ce traitement, et qui contient les termes exigés par la législation européenne en matière de protection des données dans la mesure où elle a trait à l’engagement d’un sous-traitant, notamment pour la question des transferts de données à caractère personnel des clients vers des destinations situées en dehors de l’Europe, sauf si la législation européenne à laquelle les Membres du groupe sont soumis en dispose autrement. Dans ce cas, les Membres du groupe informeront le client de cette exigence légale avant d’effectuer le traitement, à moins que cette loi n’interdise une telle information pour des raisons impérieuses d’intérêt public.

Si, pour une raison quelconque, les Membres du groupe ne sont pas en mesure de se conformer à la présente règle ou aux obligations qui leur incombent en vertu de la présente Politique dans le cadre d’un accord de traitement des données conclu avec un client, ils en informeront ce dernier dans les plus brefs délais. Les clients des Membres du groupe peuvent alors suspendre le transfert de données à caractère personnel de clients qui leur sont destinées et/ou de résilier le contrat, en fonction des termes du contrat avec les Membres du groupe.

À la résiliation de la fourniture des services liés au traitement des données à un client, les Membres du groupe et leurs sous-traitants ultérieurs agiront conformément aux instructions du client et supprimeront ou restitueront les données à caractère personnel du client et supprimeront leurs copies et certifieront au client que cela a bien été effectué, sauf si la législation qui leur est imposée exige la conservation des données à caractère personnel du client. Dans ce cas, les Membres du groupe informeront le client et veilleront à ce que ces informations restent confidentielles et ne traiteront les données à caractère personnel du client que conformément aux instructions du client ou aux exigences de la législation locale applicable.

Les Membres du groupe informeront immédiatement leur client s’ils estiment qu’une instruction enfreint la législation européenne en matière de protection des données.

RÈGLE 3 – ASSURER LA QUALITÉ DES DONNÉES

Règle 3 – Les Membres du groupe aideront et assisteront les clients à maintenir l’exactitude et l’actualisation de leurs données à caractère personnel dans la mesure du possible.

Les Membres du groupe se conformeront à toute instruction de leurs clients afin de les aider à se conformer à leur obligation de maintenir les données à caractère personnel des clients exactes et à jour.

Lorsqu’il leur est requis de le faire sur instruction de leurs clients, les Membres du groupe supprimeront, anonymiseront, actualiseront ou corrigeront les données à caractère personnel des clients. Lorsque, pour des raisons techniques, il est impossible de supprimer les données à caractère personnel des clients, les Membres du groupe en informent leurs clients et prennent des mesures pour que ces données à caractère personnel ne soient plus traitées.

Les Membres du groupe informeront les autres Membres du groupe ou tout sous-traitant ultérieur tiers à qui les données à caractère personnel des clients ont été divulguées en conséquence, afin qu’ils puissent mettre à jour leurs enregistrements.

RÈGLE 4 – RESPECTER LES DROITS INDIVIDUELS

Règle 4 – Les Membres du groupe aideront les clients à respecter les droits des individus.

Les Membres du groupe agiront conformément aux instructions de leurs clients et prendront toutes les mesures techniques et organisationnelles appropriées pour permettre à leurs clients de remplir leurs obligations en matière de respect des droits des personnes concernées. Notamment les droits suivants :

le droit d’accès en vertu duquel la personne concernée a le droit d’obtenir la confirmation que des données à caractère personnel la concernant font ou non l’objet d’un traitement et, le cas échéant, l’accès aux données à caractère personnel et aux informations relatives à ce traitement ;
le droit de rectification en vertu duquel la personne concernée a le droit d’obtenir la rectification de toute donnée à caractère personnel qui pourrait être erronée ou incomplète ;
le droit à l’effacement ou « droit à l’oubli », en vertu duquel la personne concernée a le droit d’obtenir l’effacement de ses données à caractère personnel dans un délai raisonnable lorsque l’un des motifs suivants s’applique : (i) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ; (ii) la personne concernée retire le consentement sur lequel le traitement est fondé et lorsqu’il n’existe pas d’autre motif légal permettant le traitement ; (iii) la personne concernée s’oppose au traitement et, le cas échéant, il n’existe aucun motif légitime prépondérant permettant le traitement ; (iv) les données à caractère personnel ont été traitées illégalement ; (v) les données à caractère personnel doivent être effacées en vertu d’une obligation légale ; ou (vi) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information à un enfant ;
le droit à la limitation du traitement, en vertu duquel la personne concernée a le droit de demander la limitation du traitement de ses données à caractère personnel lorsque l’un des éléments suivants s’applique :(i) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant la période nécessaire pour vérifier l’exactitude des données à caractère personnel ; (ii) le traitement est illégal et la personne concernée s’oppose à l’effacement des données à caractère personnel et demande plutôt la limitation de leur utilisation ; (iii) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement, mais elles sont requises par la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ; ou (iv) la personne concernée a formé une opposition au traitement en attendant de vérifier si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée ;
le droit de faire notifier à chaque destinataire auquel les données à caractère personnel ont été communiquées, toute rectification, tout effacement des données à caractère personnel ou toute limitation du traitement, sauf si cela s’avère impossible ou entraîne des efforts disproportionnés. La personne concernée peut également demander à être informée des destinataires en question ;
le droit à la portabilité des données, en vertu duquel la personne concernée a le droit de recevoir les données à caractère personnel la concernant, qu’elle a fournies à un responsable du traitement, dans un format structuré, et de transmettre ces données à un autre responsable du traitement lorsque le traitement est fondé sur le consentement ou qu’il est nécessaire à l’exécution d’un contrat et que le traitement est effectué par des moyens automatisés ;
le droit d’opposition, en vertu duquel la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, à tout moment, à un traitement de données à caractère personnel la concernant, fondé sur l’intérêt public ou légitime, y compris le profilage. Le responsable du traitement ne devra plus traiter les données à caractère personnel, à moins que le responsable du traitement ne démontre l’existence de motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. Lorsque des données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de marketing, ce qui inclut le profilage dans la mesure où il est lié à ce marketing, comme décrit dans la règle 7 ;
le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques ou qui a des répercussions significatives sur la personne concernée (le cas échéant, comme décrit dans la règle 8) ; et
de retirer à tout moment le consentement donné pour un traitement spécifique. Il doit être aussi facile de donner son consentement que de le retirer.

Notamment dans le cas où un Membre du groupe reçoit une demande de la part d’une personne exerçant ses droits, le Membre du groupe transmettra rapidement cette demande au client concerné et ne répondra pas à cette demande à moins d’y être autorisé. Les Membres du groupe suivront les étapes énoncées dans la procédure relative aux droits des personnes concernées (voir l’Annexe 1).

RÈGLE 5 – SÉCURITÉ ET CONFIDENTIALITÉ

Règle 5A – Les Membres du groupe implémentent les mesures de sécurité techniques et organisationnelles appropriées requises par la législation locale applicable, comme stipulé dans un contrat avec un client.

Lorsque les Membres du groupe fournissent à leurs clients un service qui implique le traitement de données à caractère personnel, le contrat entre les Membres du groupe et leurs clients impose des obligations clairement énoncées en matière de sécurité de ces informations qui respecteront au minimum les exigences de la législation européenne en matière de protection des données, afin de garantir la mise en place par les Membres du groupe de mesures de sécurité techniques et organisationnelles appropriées visant à assurer un niveau de sécurité des données à caractère personnel des clients adapté au risque présenté par le traitement.

Les Membres du groupe respecteront les mesures de sécurité et d’organisation énoncées dans les contrats conclus avec leurs clients et aideront ces derniers à implémenter des mesures de sécurité techniques et organisationnelles appropriées en vue de faciliter le respect de la présente Politique dans la pratique (telles que la protection des données dès la conception et par défaut), dans la mesure du raisonnable, en tenant compte de l’état de l’art, du coût de l’implémentation, des risques pour les personnes, de la nature, du périmètre, du contexte et de la finalité du traitement.

Règle 5B – Les Membres du groupe informeront les clients de toute violation de données à caractère personnel.

En cas de violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès à des données à caractère personnel de clients transmises, stockées ou traitées d’une autre manière (« violation de données à caractère personnel »), la personne qui prend connaissance de la violation de données à caractère personnel au sein du Membre du groupe concerné en informe le Délégué à la protection des données d’Avature ainsi que l’équipe sécurité, dans un délai raisonnable et dans tous les cas, dans les vingt-quatre (24) heures à compter du moment où elle en prend connaissance, en suivant les étapes définies dans la Politique d’Avature en matière de réponse à une violation de données à caractère personnel.

Une fois que le Délégué à la protection des données d’Avature a reçu les informations concernant la violation de données à caractère personnel, il évaluera, en collaboration avec l’équipe juridique, s’il s’agit d’une violation de données à caractère personnel ou, au contraire, d’un incident de sécurité n’ayant pas affecté les données à caractère personnel. Le Délégué à la protection des données d’Avature, en collaboration avec l’équipe juridique, analysera les détails de la violation de données à caractère personnel et en informera le client sans délai injustifié et conformément aux termes du contrat avec ce client (dans tous les cas, au plus tard 72 heures après en avoir pris connaissance).

Si des sous-traitants ultérieurs sont désignés conformément à la règle 5C ci-dessous, ces derniers informeront le client et le Membre du groupe chargé du traitement de toute violation de données à caractère personnel dans un délai raisonnable (dans tous les cas, au plus tard 72 heures après en avoir pris connaissance).

Les violations de données à caractère personnel subies par les Membres du groupe ainsi que par les sous-traitants ultérieurs tiers, comprenant les faits, les effets de ces incidents et les mesures correctives prises, seront documentées dans un rapport de violation de données à caractère personnel, lequel sera mis à la disposition du client sur demande.

Règle 5C – Les Membres du groupe se conformeront aux exigences des clients en ce qui concerne la désignation de tout sous-traitant ultérieur interne et externe.

Les Membres du groupe informeront leurs clients lorsque le traitement entrepris en leur nom sera effectué par un sous-traitant ultérieur interne et externe, et se conformeront aux exigences particulières des clients concernant la désignation des sous-traitants ultérieurs, telles qu’elles sont énoncées dans les conditions du contrat qu’ils ont conclu avec eux, et obtiendront notamment l’autorisation écrite préalable, spécifique ou générale, des clients pour la désignation de tout sous-traitant ultérieur.

Lorsque les clients ont transmis une autorisation générale écrite, les Membres du groupe veillent à ce que des informations actualisées concernant leur désignation de sous-traitants ultérieurs soient constamment accessibles à ces clients, afin de leur permettre de s’y opposer, avant que les données ne soient transférées à un nouveau sous-traitant ultérieur. Si, après avoir examiné ces informations, un client s’oppose à la désignation d’un sous-traitant ultérieur pour traiter les données à caractère personnel des clients en son nom, ce client sera autorisé à prendre les mesures compatibles avec les termes de son contrat conclu avec les Membres du groupe et prévues à la règle 2 de la partie II de la présente Politique (c.-à-d. les clients des Membres du groupe peuvent alors suspendre le transfert de données à caractère personnel de clients qui sont destinées aux Membres du groupe et/ou résilier le contrat, en fonction des termes de leur contrat avec les Membres du groupe).

Règle 5D – Les Membres du groupe veilleront à ce que les sous-traitants ultérieurs internes et externes s’engagent à respecter des dispositions qui concordent avec (i) les termes des contrats conclus avec leurs clients et (ii) la présente Politique, et notamment à ce que le sous-traitant ultérieur adopte des mesures de sécurité appropriées et équivalentes.

Les Membres du groupe sont tenus de désigner uniquement des sous-traitants ultérieurs internes et externes présentant des garanties suffisantes au regard des engagements pris par les Membres du groupe dans le cadre de la présente Politique. Ces sous-traitants ultérieurs doivent notamment être capables de mettre en place des mesures techniques et organisationnelles appropriées qui régiront leur traitement des données à caractère personnel du client, auxquelles ils auront accès conformément aux termes des contrats entre les Membres du groupe et leur client.

Pour se conformer à cette règle, lorsqu’un sous-traitant ultérieur a accès aux données à caractère personnel d’un client qui relèvent de la présente Politique, les Membres du groupe prendront des dispositions en vue de s’assurer qu’ils ont mis en place des mesures de sécurité techniques et organisationnelles appropriées afin de protéger les données à caractère personnel du client, et imposeront des obligations contractuelles strictes par écrit au sous-traitant ultérieur, conformément à la législation européenne en matière de protection des données. Cela comprend les exigences les suivantes :

des engagements de la part du sous-traitant ultérieur concernant son assistance dans le respect de la législation applicable, la préservation de la qualité des données, l’application des principes de transparence et de limitation des finalités, des droits des personnes et de la sécurité de ces informations, conformément aux engagements figurant dans la présente Politique (et notamment, sans s’y limiter, les règles 1, 2, 3, 4, 5A et 5B ci-dessus) et aux termes des contrats que les Membres du groupe ont conclus avec leurs clients en ce qui concerne le traitement en question ;
que le sous-traitant ultérieur n’agira que sur instruction des Membres du groupe lorsqu’il traite les données à caractère personnel des clients ;
des garanties appropriées (au sens de la législation européenne en matière de protection des données) en ce qui concerne les transferts de données à caractère personnel des clients à un sous-traitant ultérieur tiers établi dans un pays situé en dehors de l’Europe et jugé par les autorités de contrôle comme n’offrant pas un niveau adéquat de protection des droits des individus en matière de confidentialité des données ; et
de telles obligations qui peuvent être nécessaires pour garantir que les engagements du sous-traitant ultérieur reflètent ceux pris par les Membres du groupe dans la présente Politique, dans la mesure où celle-ci est applicable aux sous-traitants ultérieurs.

SECTION B : ENGAGEMENTS CONCRETS

RÈGLE 6 – CONFORMITÉ ET RESPONSABILITÉ

Règle 6A – Les Membres du groupe disposeront d’un personnel et d’un soutien appropriés pour garantir et superviser le respect de la vie privée conformément à la présente Politique dans l’ensemble de l’entreprise, et mettront à la disposition du client toutes les informations nécessaires pour démontrer cette conformité.

Avature Group a désigné une équipe de spécialistes de la protection des données (dirigée par un Délégué à la protection des données du groupe) chargée d’assurer et de superviser le respect strict de la présente Politique par tous les Membres du groupe au quotidien. En outre, Avature Group dispose d’une équipe chargée des risques et d’une équipe sécurité qui aident l’équipe chargée de la confidentialité à traiter les aspects techniques de la conformité à la législation sur la protection de la vie privée.

Le Délégué à la protection des données bénéficie du soutien de la direction au plus haut niveau hiérarchique pour l’accomplissement de ses tâches (à laquelle il rend compte directement et qu’il informe également si des questions ou des problèmes se posent dans l’exercice de ses fonctions, comme décrit ci-après), et il a les responsabilités suivantes :

diriger l’équipe chargée de la confidentialité, en assurant également la coordination avec l’équipe de gestion des risques et l’équipe sécurité pour les aspects techniques de la conformité en matière de protection de la vie privée ;
implémenter/informer et surveiller les pratiques, Politiques et questions liées à la protection de la vie privée au sein d’Avature Group, comprenant l’attribution des responsabilités, la sensibilisation et la formation du personnel impliqué dans les opérations de traitement, ainsi que les audits correspondants ;
faire remonter les problèmes à l’encadrement supérieur pour qu’ils soient dûment examinés conformément aux pratiques normales acceptables ;
coopérer et collaborer avec les autorités de contrôle compétentes ; et
servir de point de contact pour les autorités de contrôle compétentes et les personnes concernées pour les questions ou les demandes relatives au traitement des données à caractère personnel.

L’équipe de spécialistes de la protection des données assiste le Délégué à la protection des données dans le respect des obligations susmentionnées et, plus précisément, dans la gestion de la conformité en matière de protection des données au quotidien (notamment en traitant les plaintes locales des personnes concernées, en surveillant la conformité des Politiques de l’entreprise au niveau local et en signalant au Délégué à la protection des données les problèmes majeurs en matière de protection de la vie privée).

Les Membres du groupe veilleront à ce que les coordonnées du Délégué à la protection des données (ou celles de l’équipe chargée de la confidentialité) soient toujours publiées conjointement avec la Politique.

Lorsque cela s’avère nécessaire pour des raisons de complexité et de volume de la tâche spécifique, l’équipe chargée de la confidentialité est assistée d’un conseiller externe.

Règle 6B – Les Membres du groupe qui traitent des données à caractère personnel tiendront un registre écrit (y compris sous forme électronique) de leurs activités de traitement, et mettront ce registre à disposition des autorités de contrôle compétentes sur demande.

Les enregistrements de traitement des données tenus par les Membres du groupe, agissant en tant que sous-traitants pour un client responsable du traitement, comporteront :

le nom et les coordonnées du Membre du groupe et, le cas échéant, du représentant du Membre du groupe et du Délégué à la protection des données ;
le nom et les coordonnées de chaque client pour le compte duquel les Membres du groupe traitent des données à caractère personnel et, le cas échéant, le représentant du client et du Délégué à la protection des données ;
les catégories de traitement effectué pour le compte de chaque client ;
des informations sur le ou les pays tiers vers lesquels les données à caractère personnel sont transférées, y compris l’identification de ce pays tiers ou de cette organisation internationale, et la documentation relative aux garanties appropriées ;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles utilisées pour protéger les données à caractère personnel.

Les registres de traitement des données tenus par les Membres du groupe seront consignés par écrit, y compris sous forme électronique, et seront mis à la disposition des autorités de contrôle compétentes sur demande.

RÈGLE 7 – FORMATION

Règle 7 – Les Membres du groupe fourniront une formation appropriée aux employés ayant un accès permanent ou régulier aux données à caractère personnel des clients, qui participent au traitement des données à caractère personnel des clients ou au développement d’outils utilisés pour traiter ces données à caractère personnel.

Les Membres du groupe fourniront une formation appropriée et actualisée à tous les employés, en particulier à ceux qui ont un accès permanent ou régulier aux données à caractère personnel des clients et/ou qui sont impliqués dans le traitement de ces données à caractère personnel ou dans le développement d’outils utilisés pour traiter ces données à caractère personnel. Cette formation sera dispensée une fois par an au minimum et portera, entre autres, sur les procédures de gestion des demandes d’accès aux données à caractère personnel par les autorités publiques.

RÈGLE 8 – AUDIT

Règle 8 – Les Membres du groupe se conformeront au protocole d’audit figurant à l’Annexe 2.

Les Membres du groupe se conformeront au protocole d’audit en procédant à des audits internes réguliers et en autorisant des audits externes si nécessaire, conformément au processus d’évaluation formel stipulé dans le Protocole d’audit. Les résultats de ces audits seront communiqués conformément à l’Annexe 2.

RÈGLE 9 – TRAITEMENT DES RÉCLAMATIONS

Règle 9 – Les Membres du groupe se conformeront à la procédure de traitement des réclamations décrite à l’Annexe 3.

Les Membres du groupe se conformeront à la procédure de traitement des réclamations décrite à l’Annexe 3 afin de traiter les réclamations des personnes concernées et de prévoir des mesures de protection pour le traitement des données à caractère personnel par les Membres du groupe. Les Membres du groupe permettent également aux tiers bénéficiaires d’exercer leurs droits comme énoncé dans la section C de la présente Politique.

RÈGLE 10 – COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE

Règle 10 – Les Membres du groupe se conformeront à la procédure de coopération décrite à l’Annexe 4.

Les Membres du groupe se conformeront à la procédure de coopération décrite à l’Annexe 4 et coopéreront, accepteront d’être audités et inspectés par les autorités de contrôle en ce qui concerne la présente Politique ; ils tiendront également compte de leurs avis et se conformeront à leurs décisions sur toutes les questions liées à la présente Politique.

ARTICLE 11 – ACTUALISATION DES RÈGLES

Article 11 – Les Membres du groupe se conformeront à la procédure de mise à jour définie dans l’Annexe 5.

Les Membres du groupe se conformeront à la procédure de mise à jour figurant dans l’Annexe 5 et communiqueront, sans délai, toute mise à jour de la présente Politique et de la liste des Membres du groupe aux autorités de contrôle compétentes, aux clients concernés et aux Membres du groupe.

RÈGLE 12 – ACTION LORSQUE LA LÉGISLATION NATIONALE A UNE INCIDENCE SUR LA CONFORMITÉ DE LA Politique

Règle 12A – Les Membres du groupe s’engagent à n’utiliser la présente Politique comme outil de transfert que lorsqu’ils ont dûment évalué que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par les entités importatrices, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l’accès des autorités publiques, ne les empêchent pas de s’acquitter des obligations qui leur incombent en vertu de la présente Politique.

Les Membres du groupe n’utiliseront la présente Politique comme outil de protection des transferts internationaux qu’après avoir évalué que la législation et les pratiques des pays tiers de destination applicables au traitement des données à caractère personnel par les entités importatrices, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l’accès des autorités publiques, ne les empêchent pas de s’acquitter des obligations qui leur incombent en vertu de la présente Politique. Il est entendu que la législation et les pratiques qui respectent l’essence des droits et libertés fondamentaux et ne vont pas au-delà de ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23 (1) du RGPD, ne sont pas en contradiction avec la présente Politique.

Lors de l’évaluation de la législation et des pratiques des pays tiers susceptibles d’avoir une incidence sur le respect des engagements stipulés dans la présente Politique, les Membres du groupe tiennent dûment compte des éléments suivants en particulier :

les circonstances spécifiques des transferts ou de la série des transferts, et de tout transfert ultérieur envisagé au sein du même pays tiers ou vers un autre pays tiers, y compris :
les finalités pour lesquelles les données sont transférées et traitées ;
les types d’entités impliquées dans le traitement (l’entité importatrice et tout autre destinataire d’un transfert ultérieur) ;
le secteur dans lequel le transfert ou la série de transferts a lieu ;
les catégories et le format des données à caractère personnel transférées ;
le lieu du traitement, y compris le stockage ;
les canaux de transmission utilisés ;
la législation et les pratiques des pays tiers de destination pertinentes au regard des circonstances du transfert, notamment celles obligeant à divulguer des données aux autorités publiques ou autorisant l’accès de ces autorités, ainsi que celles prévoyant l’accès à ces données pendant le transit entre les pays des entités exportatrices et ceux des entités importatrices, ainsi que les restrictions et garanties applicables ;
toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par la présente Politique, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans les pays de destination.

Lorsque des garanties autres que celles prévues par la présente Politique doivent être mises en place, le Membre responsable BCR et le Délégué à la protection des données en sont informés et participent à l’évaluation.

Les Membres du groupe documentent de manière appropriée cette évaluation ainsi que les mesures complémentaires sélectionnées et implémentées, et mettent cette documentation à la disposition de l’autorité de contrôle compétente sur demande.

Les Membres du groupe agissant en tant qu’entités importatrices devront informer rapidement les entités exportatrices ainsi que le client (dans la mesure où ce dernier n’est pas l’entité exportatrice) si, lors de l’utilisation de la présente Politique comme outil de transfert, et pendant la durée de l’adhésion, ils ont des raisons de croire qu’ils sont ou sont devenus soumis à des lois ou pratiques qui les empêcheraient de remplir leurs obligations au titre de cette Politique, des instructions reçues du client et/ou de leurs obligations découlant du contrat avec ce dernier, y compris en cas de modification de la législation dans le pays tiers ou suite à une mesure (telle qu’une demande de divulgation). Ces informations doivent également être communiquées au Membre responsable BCR et au Délégué à la protection des données.

Après vérification de la notification, l’entité exportatrice concernée (dans la mesure où il s’agit d’un Membre du groupe), ainsi que le Membre responsable BCR et le Délégué à la protection des données, s’engagent à identifier rapidement des mesures supplémentaires (p. ex des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l’entité exportatrice et/ou l’entité importatrice (le cas échéant et de manière pertinente en consultation avec le client) afin de leur permettre de remplir leurs obligations au titre de la présente Politique. Il en sera de même si une entité exportatrice a des raisons de croire qu’une entité importatrice n’est plus en mesure de remplir ses obligations au titre de la présente Politique.

Lorsque l’entité exportatrice concernée, ainsi que le Membre responsable BCR et le Délégué à la protection des données, estiment que la Politique, même accompagnée de mesures supplémentaires, ne peut être respectée pour un transfert ou une série de transferts, ou si cela leur est demandé par le client (le cas échéant) ou l’autorité de contrôle compétente, elle s’engage à suspendre le transfert ou la série de transferts en question, ainsi que tous les transferts pour lesquels la même évaluation et le même raisonnement aboutiraient à un résultat similaire, jusqu’à ce que la conformité soit à nouveau garantie ou que le transfert prenne fin.

À la suite d’une telle suspension, l’entité exportatrice doit mettre fin au transfert ou à la série de transferts si la présente Politique ne peut être respectée et si la conformité n’est pas rétablie dans un délai d’un mois à compter de la suspension. Dans ce cas, les données à caractère personnel qui ont été transférées avant la suspension, ainsi que toute copie de ces données, doivent, au choix de l’entité exportatrice, lui être renvoyées ou être détruites dans leur intégralité.

Le Membre responsable BCR et le Délégué à la protection des données informeront tous les autres Membres du groupe de l’évaluation effectuée et de ses résultats afin que les mesures supplémentaires identifiées soient appliquées dans le cas où le même type de transferts serait effectué par un autre Membre du groupe ou, si des mesures supplémentaires efficaces ne pouvaient être mises en place, et les transferts en question seront suspendus ou prendront fin.

Les entités exportatrices surveillent également, de manière continue et, le cas échéant, en collaboration avec les entités importatrices, les développements dans les pays tiers vers lesquels les entités exportatrices ont transféré des données à caractère personnel, pouvant avoir une incidence sur l’évaluation initiale du niveau de protection et sur les décisions prises en conséquence concernant ces transferts.

Règle 12B – Les Membres du groupe agissant en tant qu’entités importatrices s’assureront, lorsqu’ils reçoivent une demande juridiquement contraignante de la part d’une autorité publique en vertu des lois du pays de destination concernant la divulgation de données à caractère personnel transférées conformément à la Politique ou lorsqu’ils ont connaissance d’un accès direct par les autorités publiques aux données à caractère personnel transférées conformément à la Politique en vertu des lois du pays de destination, d’aviser rapidement l’entité exportatrice concernée, le client (dans la mesure où il ne s’agit pas de l’entité exportatrice), les autorités de contrôle pertinentes et, si possible, la personne concernée (si nécessaire avec l’aide de l’entité exportatrice).

Les Membres du groupe agissant en qualité d’entités importatrices aviseront rapidement l’entité exportatrice concernée, le client (dans la mesure où il ne s’agit pas de l’entité exportatrice), les autorités de contrôle pertinentes (c.-à-d. notamment, le cas échéant, celle de l’entité exportatrice et, l’autorité de contrôle du client) s’il ne s’agit pas de la même et, dans la mesure du possible, la personne concernée (si nécessaire, avec l’aide de l’entité exportatrice) en cas de :

réception d’une demande juridiquement contraignante de la part d’une autorité publique en vertu de la législation du pays de destination ou d’un autre pays tiers, en vue de la divulgation de données à caractère personnel transférées conformément à la Politique ; cette notification comprendra des informations relatives aux données à caractère personnel demandées, à l’autorité requérante, au fondement juridique de la demande et à la réponse fournie ;
prise de connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu de la Politique, conformément aux lois du pays de destination ; cette notification inclura toutes les informations dont dispose l’entité importatrice.

S’il leur est interdit d’aviser l’entité exportatrice concernée, le client (dans la mesure où il ne s’agit pas de l’entité exportatrice), les autorités de contrôle pertinentes et/ou la personne concernée (si nécessaire avec l’aide de l’entité exportatrice), les Membres du groupe agissant en tant qu’entités importatrices déploieront des efforts raisonnables pour obtenir une dérogation à l’interdiction, en vue de communiquer autant d’informations que possible et dans les meilleurs délais, et documenteront leurs efforts raisonnables afin de pouvoir les démontrer sur demande. Si, dans les cas susmentionnés, et en dépit des efforts raisonnables, l’entité importatrice n’est pas en mesure d’aviser les autorités de contrôle compétentes, elle leur fournira chaque année des informations générales relatives aux demandes reçues.

Les Membres du groupe agissant en tant qu’entités importatrices fourniront à l’entité exportatrice concernée et au client (dans la mesure où il ne s’agit pas de l’entité exportatrice), à intervalles réguliers et au moins une fois par an, autant d’informations pertinentes que possible concernant les demandes reçues (notamment, le nombre de demandes, le type de données demandées, l’autorité ou les autorités requérantes, si des demandes ont été contestées et l’issue de ces contestations, etc.). S’il leur est partiellement ou totalement interdit de fournir à l’entité exportatrice concernée ou au client (dans la mesure où il ne s’agit pas de l’entité exportatrice) les informations susmentionnées, ils les en informent sans délai injustifié.

Les Membres du groupe agissant en tant qu’entités importatrices conserveront les informations susmentionnées aussi longtemps que les données seront soumises aux garanties prévues par la Politique et les mettront à la disposition des autorités de contrôle compétentes sur demande.

Les Membres du groupe agissant en tant qu’entités importatrices examineront la légalité de la demande de divulgation, notamment si elle reste dans le cadre des pouvoirs accordés à l’autorité publique requérante, et contesteront la demande si, après une évaluation minutieuse, ils concluent qu’il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations internationales applicables et des principes de réciprocité internationale. Les Membres du groupe agissant en tant qu’entités importatrices chercheront, dans les mêmes conditions, des possibilités de recours. Lorsqu’ils contestent une demande, les Membres du groupe agissant en tant qu’entités importatrices cherchent à obtenir des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait statué sur son bien-fondé. Ils ne divulguent pas les données à caractère personnel demandées tant qu’ils n’y sont pas contraints par les règles de procédure en vigueur.

Les Membres du groupe agissant en tant qu’entités importatrices documenteront leur évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, rendront cette documentation accessible à l’entité exportatrice concernée, au client (dans la mesure où il ne s’agit pas de l’entité exportatrice) et aux autorités de contrôle compétentes.

Les Membres du groupe agissant en tant qu’entités importatrices fourniront la quantité minimale d’informations autorisée lorsqu’ils répondront à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

En tout état de cause, les Membres du groupe veilleront à ce que les transferts de données à caractère personnel qu’ils effectuent vers une autorité publique en vertu de la présente Politique ne soient pas de grande ampleur, disproportionnés ou indiscriminés d’une manière qui irait au-delà de ce qui est nécessaire dans une société démocratique.

RÈGLE 13 – NON-RESPECT DE LA POLITIQUE ET RÉSILIATION

Règle 13A – Les Membres du groupe seront effectivement liés par la Politique et sont en mesure de s’y conformer.

Lorsqu’un Membre du groupe agissant en tant qu’entité importatrice ne peut se conformer à la Politique, quelle qu’en soit la raison, il en informe rapidement l’entité exportatrice concernée et/ou le client (dans la mesure où il ne s’agit pas de l’entité exportatrice). Si le Membre du groupe enfreint la Politique ou n’est pas en mesure de s’y conformer, l’entité exportatrice concernée et/ou le client (dans la mesure où il ne s’agit pas de l’entité exportatrice) a/aura le droit de suspendre le transfert.

Le Membre du groupe doit, au choix de l’entité exportatrice et/ou du client (dans la mesure où il ne s’agit pas de l’entité exportatrice), restituer ou supprimer immédiatement l’intégralité des données à caractère personnel qui ont été transférées dans le cadre de la Politique dans le cas où :

l’entité exportatrice et/ou le client (dans la mesure où il ne s’agit pas de l’entité exportatrice) a suspendu le transfert, et la conformité de la présente Politique n’est pas rétablie dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ; ou
le Membre du groupe enfreint de manière substantielle ou persistante la Politique ou ne se conforme pas à une décision contraignante d’un tribunal ou d’une autorité de contrôle compétent concernant ses obligations en vertu de la Politique.

Cela vaut également pour toute copie des données. Le Membre du groupe atteste la suppression des données auprès de l’entité exportatrice et/ou du client (dans la mesure où il ne s’agit pas de l’entité exportatrice). Jusqu’à la suppression ou la restitution des données, le Membre du groupe continue de veiller au respect de la Politique. Si la législation locale applicable interdit au Membre du groupe de restituer ou de supprimer les données à caractère personnel transférées, le Membre du groupe garantit qu’il continuera d’assurer le respect de la Politique et qu’il ne traitera les données que dans la mesure et pour la durée requises par la loi.

Règle 13B – Les Membres du groupe qui ne sont plus liés à la Politique veilleront à ce que les données à caractère personnel soient conservées, restituées ou supprimées de manière appropriée, selon le cas.

Les Membres du groupe agissant en tant qu’entités importatrices qui ne sont plus liés à la Politique peuvent conserver (dans la mesure où cela est nécessaire pour se conformer à la législation locale applicable), restituer ou supprimer les données à caractère personnel reçues dans le cadre de la Politique. Si l’entité exportatrice ou le client (dans la mesure où il ne s’agit pas de l’entité exportatrice) et le Membre du groupe agissant en tant qu’entité importatrice conviennent que les données peuvent être conservées par ce dernier, la protection prévue par la présente Politique doit être maintenue.

SECTION C : DROITS DES TIERS BÉNÉFICIAIRES

Lorsque les données à caractère personnel d’un client sont traitées en vertu de la présente Politique par un Membre du groupe agissant en tant que sous-traitant dans le cadre d’un accord de traitement des données avec un client, la personne dont les données à caractère personnel sont transférées à un Membre du groupe en dehors de l’Europe en vertu de cet accord de traitement des données, aura le droit, en tant que tiers bénéficiaire, de faire appliquer les éléments suivants directement à l’encontre du sous-traitant :
- Les règles 1B, 2, 3, 4, 5, 6B, 9, 10 et 12 de la Politique ;
- le droit d’accéder à la Politique via net/legal, ou le wiki interne disponible ici, ou d’obtenir une copie papier de la Politique ainsi qu’une liste des Membres du groupe liés par la présente Politique via le formulaire en ligne d’Avature Group disponible ici https://www.avature.net/contact-privacy-officer/; et
- le droit de faire appliquer les dispositions de la section C (a), (c), (d), (e), (f) et (g) accordant des droits de tiers bénéficiaire et fixant les règles de responsabilité et de compétence en vertu de la Politique.
Lorsque les données à caractère personnel d’un client sont traitées en vertu de la présente Politique par un Membre du groupe agissant en tant que sous-traitant dans le cadre d’un accord de traitement des données conclu avec un client, et que la personne dont les données à caractère personnel sont transférées conformément au point a) ci-dessus, n’est pas en mesure d’introduire une réclamation contre le client parce que : i) le client a disparu ou a cessé d’exister en droit ou est devenu insolvable ; et ii) aucune entité succédant au client n’a pris en charge l’ensemble des obligations légales de ce dernier par contrat ou en vertu de la loi, cette personne aura le droit, en tant que tiers bénéficiaire, de faire valoir les éléments suivants directement à l’encontre du sous-traitant :
- les règles 1B, 2, 3, 4, 5, 6A, 9, 10 et 12 de la Politique ;
- le droit d’accéder à la Politique via net/legal, ou le wiki interne disponible ici, ou d’obtenir une copie papier de la Politique ainsi qu’une liste des Membres du groupe liés par la présente Politique via le formulaire en ligne d’Avature Group disponible ici https://www.avature.net/contact-privacy-officer/; et
- le droit de faire appliquer les dispositions de la section C (b), (c), (d), (e), (f), (g) et (h) accordant des droits de tiers bénéficiaire et fixant les règles de responsabilité et de compétence en vertu de la Politique.
La présente Politique garantit que les personnes visées à la section C (a) et (b) ci-dessus sont en mesure de faire valoir les droits décrits dans ces sections en ayant la possibilité de :
- déposer une réclamation : les personnes concernées peuvent déposer une réclamation auprès d’un Membre du groupe (conformément à la procédure de traitement des réclamations décrite à l’Annexe 3) et auprès de l’autorité de contrôle compétente de l’État membre dans lequel la violation présumée s’est produite, ou dans lequel la personne travaille ou réside habituellement ; et/ou
- engager des poursuites: les personnes concernées peuvent engager une procédure contre les Membres du groupe devant les tribunaux d’un État membre où le Membre du groupe dispose d’un établissement, ou dans l’État membre où se situe la résidence habituelle de la personne.
Lorsque le Membre du groupe et le client impliqué dans le même traitement sont jugés responsables de tout préjudice causé par ce traitement, les personnes visées aux sections C a) et b) ci-dessus auront droit à une indemnisation pour l’ensemble du préjudice, directement de la part du Membre du groupe.
Les personnes visées à la section C (a) et (b) ci-dessus peuvent également demander une juste réparation au Membre BCR responsable, notamment pour toute violation des dispositions des sections concernées et, le cas échéant, recevoir une indemnisation de la part du Membre responsable BCR pour l’intégralité des dommages, qu’ils soient matériels ou moraux, résultant directement d’une violation de ces dispositions par :
- tout Membre du groupe établi en dehors de l’Europe agissant en tant que sous-traitant ; ou
- tout sous-traitant ultérieur tiers établi en dehors de l’Europe et agissant au nom des Membres du groupe, conformément à la décision d’un tribunal ou d’une autre autorité compétente.
Le Membre responsable BCR veillera à ce que toute mesure nécessaire soit prise pour remédier à toute violation de la présente Politique par un Membre du groupe établi en dehors de l’Europe ou par tout sous-traitant ultérieur tiers établi en dehors de l’Europe qui traite des données à caractère personnel de clients pour le compte d’un client.
Pour éviter toute ambiguïté, les particuliers bénéficieront des droits des tiers bénéficiaires tels que décrits dans la présente section C et les tribunaux européens ou les autorités de contrôle compétentes auront compétence comme si la violation des dispositions décrites dans la présente section C ou de l’une d’entre elles avait été causée par le Membre responsable BCR. Le Membre responsable BCR ne peut se prévaloir d’un manquement d’un sous-traitant ultérieur (interne ou externe) à ses obligations pour se soustraire à ses propres responsabilités.
En cas de réclamation au titre de la présente section C faisant état d’une personne ayant subi un préjudice tel que décrit ci-dessus et lorsque cette personne peut démontrer que le préjudice est probablement survenu en raison d’une violation de la présente Politique, les Membres du groupe ont convenu que la charge de la preuve afin de démontrer qu’un Membre du groupe situé en dehors de l’Europe (ou tout sous-traitant ultérieur tiers établi en dehors de l’Europe et agissant pour le compte d’un Membre du groupe) n’est pas responsable de la violation, ou qu’aucune violation n’a eu lieu, incombera au Membre responsable BCR. Lorsque le Membre responsable BCR peut prouver que le Membre du groupe situé en dehors de l’Europe n’est pas responsable de l’acte, il peut se décharger de toute responsabilité.

PARTIE III : ANNEXES

Annexe 1

Procédure relative aux droits des personnes concernées

Demandes adressées au Membre du groupe lorsque celui-ci est un sous-traitant
1. Lorsqu’un Membre du groupe traite des informations pour le compte d’un responsable du traitement (ex. un client auquel il fournit un service), le Membre du groupe est considéré comme un sous-traitant des données à caractère personnel et le client, en tant que responsable du traitement, sera principalement responsable du respect des exigences légales en vertu de la législation européenne en matière de protection des données.
2. Certaines obligations en matière de protection des données sont transmises aux Membres du groupe agissant en tant que sous-traitants sur la base des engagements contractuels pris avec les clients agissant en tant que responsables du traitement. Plus précisément, le Membre du groupe agissant en tant que sous-traitant doit agir conformément aux instructions du client agissant en tant que responsable du traitement et prendre toutes les mesures raisonnablement nécessaires pour permettre au responsable du traitement de se conformer à son obligation de respecter les droits des personnes concernées. Cela signifie que si un Membre du groupe reçoit une demande d’une personne concernée pour exercer ses droits en vertu de la législation européenne en matière de protection des données, en sa qualité de sous-traitant pour le compte d’un client (agissant en tant que responsable du traitement), il doit transmettre rapidement cette demande au client concerné agissant en tant que responsable du traitement et s’abstenir de répondre à la demande, sauf autorisation expresse à cet effet, conformément au contrat entre le Membre du groupe et le client, et à la Politique d’Avature relative aux droits des personnes concernées.
3. Lorsque le Membre du groupe (agissant en tant que sous-traitant) est informé par le client (agissant en tant que responsable du traitement) d’une demande d’effacement, de rectification ou de restriction concernant des données à caractère personnel qui ont été précédemment divulguées par ledit client, le Membre du groupe (agissant en tant que sous-traitant) mettra à jour ses enregistrements en conséquence.

Annexe 2

Protocole d’audit

Le contexte
1. Les Membres du groupe sont tenus de vérifier leur conformité avec la Politique et de remplir certaines conditions à cet effet. Le présent document décrit la façon dont les Membres du groupe gèrent ces exigences.
2. Le rôle du Délégué à la protection des données et de l’équipe chargée de la confidentialité d’Avature consiste à fournir des conseils sur le traitement des données à caractère personnel soumises à la Politique, ainsi qu’à évaluer le traitement des données à caractère personnel par les Membres du groupe en fonction des risques potentiels liés à la protection de la vie privée dans le cadre des activités quotidiennes. Le traitement des données à caractère personnel fait donc l’objet d’un examen détaillé et d’une évaluation de façon continue. En conséquence, bien que le présent protocole d’audit décrive le processus d’évaluation formel adopté par les Membres du groupe afin de garantir le respect de la Politique, comme l’exigent les autorités de contrôle compétentes, il ne s’agit que d’un moyen parmi d’autres pour les Membres du groupe de s’assurer que les dispositions de la Politique sont respectées et que des mesures correctives sont prises, le cas échéant.
L’approche
1. Vue d’ensemble des audits
  1. Le respect de la Politique est supervisé au quotidien par le Délégué à la protection des données et l’équipe chargée de la confidentialité.
  2. L’entité chargée de procéder aux audits de conformité à la Politique et de veiller à ce que ces audits portent sur tous les aspects de la Politique peut varier en fonction des circonstances spécifiques du Membre du groupe concerné. En règle générale, les audits sont réalisés par le Délégué à la protection des données d’Avature (dont l’indépendance est garantie dans l’exercice de ses fonctions liées à ces audits), par des auditeurs internes ou externes, selon le cas. L’auditeur concerné est chargé de veiller à ce que tout problème ou cas de non-conformité soit porté à l’attention du Délégué à la protection des données et que toute action corrective visant à garantir la conformité soit mise en œuvre dans un délai raisonnable.
  3. Dans la mesure où un Membre du groupe agit en tant que sous-traitant pour un client, des audits de conformité aux engagements pris dans le cadre de la Politique peuvent également être réalisés par les clients du membre du groupe ou en leur nom, conformément aux termes du contrat conclu entre le Membre du groupe et le client concernant ce traitement. Ces audits peuvent également s’étendre à tout sous-traitant ultérieur agissant pour le compte du Membre du groupe dans le cadre de ce traitement, et la possibilité d’auditer ces sous-traitants ultérieurs sera mise en œuvre conformément aux termes du contrat conclu entre le Membre du groupe et les sous-traitants ultérieurs.
    Sur demande et dans la mesure où un audit porte sur des données à caractère personnel traitées par un Membre du groupe pour le compte de ce responsable du traitement, le Membre du groupe mettra à la disposition du responsable du traitement concerné, sur demande, la partie des résultats de cet audit portant sur le respect de la présente Politique.
2. Calendrier et périmètre de l’audit
  1. Comme indiqué ci-dessus, le Délégué à la protection des données déterminera le calendrier des audits. La Politique fera l’objet d’un audit :
    - tous les vingt-quatre (24) mois, conformément à la (aux) procédure(s) d’audit d’Avature Group ; et/ou
    - plus fréquemment, à la demande et/ou lorsque cela s’avère nécessaire selon le Délégué à la protection des données.
  2. Dans la mesure où un Membre du groupe traite des données à caractère personnel pour le compte d’un client, l’audit de la Politique aura lieu conformément au contrat en vigueur entre ce Membre du groupe et ce client (à condition que le délai indiqué soit identique ou inférieur à celui spécifié au point 2.2.1. (a) ci-dessus).
  3. Dans le même ordre d’idées, le périmètre et le champ d’application de l’audit seront déterminés par le Délégué à la protection des données sur la base d’une analyse des risques, prenant en compte des critères pertinents tels que : les domaines de non-conformité connus ; les domaines actuellement ciblés par la réglementation ; les domaines présentant des risques spécifiques ou nouveaux pour l’entreprise ; les domaines dans lesquels des changements ont été apportés aux systèmes ou aux processus utilisés pour protéger les informations ; les domaines où des conclusions d’audit ou des réclamations ont été formulées précédemment ; la période écoulée depuis le dernier examen ; la nature, la méthode et le lieu du traitement des données à caractère personnel ; les systèmes informatiques, les applications et les bases de données ; les transferts ultérieurs ; et les problèmes résultant de conflits de lois ou de la gestion des fournisseurs.
  4. Si le client pour le compte duquel le Membre du groupe traite des données à caractère personnel exerce son droit d’auditer le Membre du groupe afin de vérifier la conformité à la Politique, le périmètre de l’audit sera limité aux installations de traitement des données, aux fichiers, aux documents (le cas échéant) et aux activités relatives à ce responsable du traitement. Le Membre du groupe ne donnera pas à un responsable du traitement l’accès à des systèmes qui traitent des données à caractère personnel d’autres responsables du traitement.
3. Les auditeurs
  1. L’audit des procédures et des contrôles mis en place pour donner effet aux engagements pris dans la Politique sera réalisé par le Délégué à la protection des données et l’équipe chargée de la confidentialité, ainsi que par des auditeurs internes ou externes, selon le cas Lorsque les audits sont réalisés par des auditeurs externes, les conditions suivantes au moins doivent être remplies :
    - procéder à un contrôle préalable adéquat en amont de la sélection afin de s’assurer que les auditeurs concernés possèdent les qualifications et le statut appropriés pour contribuer à cet exercice ; et
    - mettre en place un accord avec ces derniers afin de réglementer la fourniture de leurs services conformément à la réglementation applicable.
  2. Si un client pour le compte duquel le Membre du groupe traite des données à caractère personnel exerce son droit d’auditer le Membre du groupe afin de vérifier la conformité à la Politique, cet audit pourra être effectué par ce responsable du traitement ou par des auditeurs indépendants et accrédités sélectionnés par ce responsable du traitement, comme stipulé dans le contrat entre le Membre du groupe et ce responsable du traitement, le cas échéant, en accord avec l’autorité de contrôle.
4. Rapport
  1. À l’issue de l’audit, le rapport et les conclusions seront mis à la disposition du Délégué à la protection des données, du conseil d’administration du Membre responsable BCR et, le cas échéant, des différents Membres du groupe lorsque l’audit a identifié des activités de traitement des données nécessitant un réexamen à la lumière des conclusions de l’audit. Le rapport d’audit contiendra également des détails sur toute mesure corrective requise, des recommandations et des délais pour la mise en œuvre de ces mesures. Le cas échéant, les résultats peuvent également être communiqués au conseil d’administration de la société mère ultime d’Avature Group.
  2. Sur demande, les Membres du groupe ont accepté de :
    - fournir des copies des résultats de tout audit de la Politique à toute autorité de contrôle compétente, laquelle sera rappelée à son obligation de secret professionnel en vertu de l’article 54 (2) du RGPD ; et
    - mettre les résultats de tout audit de conformité avec la Politique à la disposition de ce responsable du traitement, dans la mesure où l’audit porte sur des données à caractère personnel traitées par des Membres du groupe pour le compte d’un client.
  3. Le Délégué à la protection des données est chargé d’assurer la liaison avec les autorités de contrôle compétentes afin de fournir les informations visées au point 4.2.

Annexe 3

Procédure de traitement des réclamations

Introduction
1. La présente procédure de traitement des réclamations a pour objet d’expliquer la façon de gérer les réclamations déposées par une personne concernée dont les données à caractère personnel sont traitées par les Membres du groupe en vertu de la Politique.
Comment les personnes concernées peuvent-elles déposer une réclamation ?
1. Toutes les réclamations des personnes concernées au titre de la Politique, lorsqu’un Membre du groupe collecte et/ou utilise des données à caractère personnel en tant que sous-traitant pour le compte d’un client agissant en tant que responsable du traitement, peuvent être adressées par écrit (y compris par courrier électronique) au Délégué à la protection des données. Le Délégué à la protection des données peut être contacté par le biais du formulaire en ligne d’Avature Group, disponible à l’adresse suivante : https://www.avature.net/contact-privacy-officer/.
Obligation de communiquer la réclamation au responsable du traitement
1. Le Membre du groupe communiquera rapidement les détails de la réclamation au responsable du traitement et agira strictement conformément aux termes du contrat entre le client et le Membre du groupe, si ce dernier demande que la réclamation soit traitée conformément à la procédure décrite ci-dessous.
2. Lorsqu’un client cesse d’exister
3. Dans les situations où un client a disparu, n’existe plus ou est devenu insolvable, les personnes dont les données à caractère personnel sont collectées et/ou traitées conformément à la législation européenne en matière de protection des données, et transférées entre les Membres du groupe au nom de ce client en vertu de la Politique, ont le droit de déposer une réclamation auprès des Membres du groupe, et les Membres du groupe traiteront cette réclamation conformément à la section 4 de la présente procédure de traitement des réclamations. Dans de tels cas, les personnes concernées ont également le droit de déposer une réclamation auprès d’une autorité de contrôle européenne dans la juridiction où la violation présumée s’est produite, ou dans laquelle la personne travaille ou réside habituellement, et/ou de saisir un tribunal compétent, comme décrit dans la section C de la présente Politique, indépendamment du fait qu’elles aient ou non d’abord déposé une réclamation auprès du Membre du groupe.
Qui traite les réclamations ?
1. En l’absence de préjudice de la section 3 ci-dessus, le Délégué à la protection des données, avec le soutien de l’équipe chargée de la confidentialité, traitera toutes les réclamations déposées au titre de la Politique en ce qui concerne le traitement des données à caractère personnel lorsque le Membre du groupe concerné est le sous-traitant de ces informations. Le Délégué à la protection des données se mettra en rapport avec les unités commerciales concernées pour examiner la réclamation et coordonnera une réponse (qui comprendra des informations sur les mesures prises auprès du plaignant).
2. Quel est le délai de réponse ?
  Le Délégué à la protection des données, avec le soutien de l’équipe chargée de la confidentialité, accusera réception de la réclamation de la personne concernée dans un délai de dix (10) jours ouvrables, procédera à une enquête et fournira une réponse substantielle dans un délai d’un (1) mois calendaire. Si, en raison de la complexité de la réclamation ou du nombre de demandes, une réponse substantielle ne peut être fournie dans ce délai, le Délégué à la protection des données, avec le soutien de l’équipe chargée de la confidentialité, informera la personne concernée de la raison du retard dans un délai d’un (1) mois civil à compter de la réception de la réclamation et lui fournira une estimation raisonnable (n’excédant pas deux (2) mois civils supplémentaires à partir de la date à laquelle la personne concernée a été informée de la prolongation) du délai dans lequel une réponse sera apportée.
  Si le délai de réponse n’est pas respecté et que la réponse à la réclamation est retardée sans raison clairement expliquée, la personne concernée peut notifier ce fait au Délégué à la protection des données, qui, sans délai injustifié et en tout état de cause dans un délai de dix (10) jours ouvrables, expliquera les raisons de ce retard et informera la personne concernée des actions entreprises jusqu’à présent. L’affaire sera soumise au directeur des affaires juridiques d’Avature (accompagné d’un rapport motivé déterminant les mesures à prendre) qui examinera l’affaire et conseillera le Délégué à la protection des données sur la manière de résoudre les problèmes soulevés par la réclamation dès que possible et, en tout état de cause, dans un délai de dix (10) jours ouvrables. En toute hypothèse, la personne concernée peut également faire usage des droits décrits à la section 4.4 ci-dessous.
3. Lorsque le plaignant conteste une conclusion ou le rejet d’une réclamation
  Si une réclamation est considérée comme fondée, le Délégué à la protection des données prendra les mesures nécessaires pour résoudre le problème soulevé par la personne concernée et l’en informera.
  Si le plaignant conteste la réponse du Délégué à la protection des données (notamment si cette réponse consiste en un refus de traiter la réclamation) ou tout aspect d’une conclusion, et qu’il en informe le Membre du groupe concerné, l’affaire sera renvoyée au directeur des affaires juridiques d’Avature qui examinera le dossier et informera le plaignant de sa décision d’accepter la conclusion initiale ou d’y substituer une nouvelle conclusion. Le directeur des affaires juridiques d’Avature répondra au plaignant dans un délai d’un (1) mois calendaire à compter de la saisine. Si, en raison de la complexité de la réclamation, une réponse de fond ne peut être donnée dans ce délai, le directeur des affaires juridiques d’Avature informera le plaignant de la raison du retard dans un délai d’un (1) mois civil à compter de la réception de la saisine, et fournira une estimation raisonnable du délai (n’excédant pas deux (2) mois civils supplémentaires) dans lequel une réponse sera apportée. Si la réclamation s’avère fondée, le directeur des affaires juridiques d’Avature veillera à ce que les mesures nécessaires soient prises en conséquence.
4. Les personnes concernées dont les données à caractère personnel sont traitées conformément à la législation européenne en matière de protection des données ont également le droit de : (i) déposer une réclamation auprès d’une autorité de contrôle compétente dans l’État membre où la violation présumée s’est produite, ou dans lequel la personne concernée travaille ou réside habituellement ; (ii) et/ou introduire une action en justice devant un tribunal compétent, c’est-à-dire un tribunal du pays européen où le Membre du groupe est établi ou du pays européen où la personne réside. Ces droits s’appliquent, indépendamment du fait qu’elles aient ou non d’abord déposé une réclamation auprès d’un Membre du groupe.
  Si l’affaire concerne des données à caractère personnel qui sont ou ont été soumises à la législation européenne en matière de protection des données et qui ont été traitées par un Membre du groupe en Europe et transférées à un Membre du groupe en dehors de l’Europe, la réclamation peut être déposée contre le Membre du groupe en Europe responsable du transfert des données à caractère personnel.

Annexe 4

Procédure de coopération

Introduction
1. La présente procédure de coopération définit la manière dont les Membres du groupe coopéreront, accepteront d’être contrôlés et inspectés, y compris, le cas échéant, sur site, par les autorités de contrôle compétentes en ce qui concerne la présente Politique ; ils tiendront également compte de leurs avis et se conformeront à leurs décisions sur toutes les questions liées à la présente Politique.
Procédure de coopération
1. Le cas échéant, les Membres du groupe mettront à disposition le personnel nécessaire pour dialoguer avec une autorité de contrôle au sujet de la Politique.
2. Sur demande, le Délégué à la protection des données fournira des copies des résultats de tout audit de la Politique conformément à l’Annexe 2 aux autorités de contrôle compétentes, ainsi que toute information sur les opérations de traitement couvertes par la Politique, qui, dès réception de ces informations, se voient rappeler leur obligation de secret professionnel en vertu de l’article 54(2) du RGPD.
3. Les Membres du groupe acceptent que les autorités de contrôle puissent procéder à un audit ou à une inspection de la protection des données, y compris et le cas échéant, sur site, auprès de ce Membre du groupe, conformément à la législation applicable dans le pays européen à partir duquel les données sont transférées.
4. Lorsqu’un Membre du groupe est situé dans la juridiction d’une autorité de contrôle basée en Europe, les Membres du groupe reconnaissent que toute autorité de contrôle peut auditer ce Membre du groupe afin de vérifier la conformité avec la présente Politique, conformément à la législation applicable dans le pays où le Membre du groupe est situé.
5. Tous les Membres du groupe acceptent d’être audités par les autorités de contrôle conformément aux procédures d’audit applicables de ces autorités.
6. Les Membres du groupe acceptent de tenir compte des avis et de se conformer aux décisions formelles d’une autorité de contrôle compétente concernant l’interprétation et l’application de la présente Politique, sans préjudice de tout droit d’appel de ces décisions formelles.

Annexe 5

Procédure de mise à jour

Introduction
1. La présente procédure de mise à jour définit la manière dont le Membre responsable BCR communiquera les modifications apportées à la Politique aux autorités de contrôle compétentes, aux clients et aux Membres du groupe liés par la Politique.
Modifications substantielles de la Politique
1. Le Membre responsable BCR communiquera à l’avance toute modification substantielle de la Politique (c.-à-d. toute modification qui pourrait être préjudiciable au niveau de protection offert par la Politique ou qui aurait des répercussions significatives sur la Politique, comme par exemple, des modifications de son caractère contraignant, etc.) à l’Agence espagnole de protection des données (le « Haut responsable BCR») dans un délai raisonnable et, par l’intermédiaire du responsable BCR, à toutes les autres autorités de contrôle concernées. Cette communication comprend une explication sommaire des raisons de la mise à jour. L’autorité de contrôle compétente évaluera également si les modifications apportées nécessitent une nouvelle approbation.
2. Lorsqu’une modification de la Politique a des répercussions importantes sur les conditions dans lesquelles un Membre du groupe traite des données à caractère personnel pour le compte d’un client en vertu du contrat les liant (par exemple, toute modification prévue concernant l’ajout ou le remplacement de prestataires), le Membre du groupe communiquera cette information à tout responsable du traitement concerné. Si cette modification est contraire à une clause du contrat conclu entre le Membre du groupe et le responsable du traitement, le Membre du groupe communiquera la modification proposée avant qu’elle ne soit implémentée, et ce, avec un préavis suffisant pour permettre aux clients concernés de s’y opposer. Le responsable du traitement peut alors suspendre le transfert de ces données à caractère personnel au Membre du groupe et/ou résilier le contrat correspondant, conformément aux termes de son contrat avec le Membre du groupe.
Modifications administratives de la Politique
1. Le Membre responsable BCR communiquera au Haut responsable BCR et, par l’intermédiaire de ce dernier, aux autres autorités de contrôle concernées, sur demande ou au moins une fois par an, les modifications apportées à la Politique. Les modifications de nature administrative font partie des exemples de changements possibles (y compris les changements dans la liste des Membres du groupe), celles qui résultent d’une modification de la législation européenne applicable en matière de protection des données ou d’une mesure législative, judiciaire ou prise par une autorité de contrôle. Par ailleurs, le Membre responsable BCR expliquera sommairement au Haut responsable BCR, et à toute autre autorité de contrôle compétente, les raisons de toute modification de la Politique ayant été signalée.
La communication et journalisation des modifications de la Politique
1. La Politique contient un journal des modifications qui indique la date des révisions de la Politique et les détails des révisions effectuées. Le Délégué à la protection des données (en collaboration avec l’équipe chargée de la confidentialité) tiendra à jour une liste des modifications apportées à la Politique et fournira systématiquement les informations nécessaires, tant au client qu’aux autorités de contrôle qui en feront la demande.
2. Le Membre responsable BCR communiquera toutes les modifications apportées à la Politique, qu’elles soient de nature administrative ou matérielle :
  - aux Membres du groupe liés par la Politique, sans délai injustifié, et publiera une version mise à jour de la présente Politique sur le site wiki d’Avature https://wiki.xcade.net/wiki/Policies,_Guidelines,_Agreements_%26_Certifications;
  - de façon systématique, aux clients pour le compte desquels les Membres du groupe traitent des données à caractère personnel et aux personnes concernées qui bénéficient de la Politique, via le site Web d’Avature avature.net/legal ;
  - aux autorités de contrôle sur demande, ou par l’intermédiaire des autorités de contrôle compétentes, le cas échéant.
3. Le Délégué à la protection des données (en collaboration avec l’équipe chargée de la confidentialité) tiendra à jour une liste des modifications apportées à la Politique, ainsi que la liste des Membres du groupe liés par la Politique, et une liste des sous-traitants désignés par les Membres du groupe pour traiter les données à caractère personnel pour le compte de leurs clients La liste des Membres du groupe, des sous-traitants ultérieurs et toute mise à jour de la Politique sera disponible et accessible aux personnes concernées, aux clients et aux autorités de contrôle compétentes sur demande des Membres du groupe.
Nouveaux Membres du groupe
1. Le Délégué à la protection des données (en collaboration avec l’équipe chargée de la confidentialité) s’assurera que tous les nouveaux Membres du groupe sont effectivement liés par la Politique et peuvent s’y conformer, préalablement à tout transfert de données à caractère personnel.

Sourcer, Attirer et Engager

Suivre et Embaucher

Gérer et Conserver

Par Secteur

Enterprise

Dernier

Règles d’entreprise contraignantes – Politique relative aux sous-traitants

Solutions Avature

Clients Avature

Prestations De Service Avature

Technologie

Informations

À propos

Sujets RH

Contactez-nous