Règles d’entreprise contraignantes – Politique relative aux responsables du traitement

INTRODUCTION

La présente Politique des règles d’entreprise contraignantes pour les responsables du traitement et ses annexes (ensemble constituant la « Politique ») définissent l’approche adoptée par Avature Group (tel que défini ci-dessous) en ce qui concerne la protection et la gestion des données à caractère personnel par les Membres d’Avature Group qui adhèrent à cette Politique dans le cadre du traitement desdites données à caractère personnel, soit pour leurs propres besoins, soit en tant que sous-traitant pour le compte d’un autre Membre du groupe.

Le groupe d’entreprises Avature (« Avature Group ») est une organisation d’entreprises opérant dans plusieurs pays. Avature Group compte plus de 1 400 professionnels qui s’efforcent d’apporter de nouvelles technologies, de nouvelles idées et de nouvelles solutions afin de relever les défis des clients. Avature Group fournit notamment des solutions logicielles de pointe en matière d’acquisition et de gestion des talents qui répondent aux besoins spécifiques des clients, s’adaptent à leurs objectifs de transformation particuliers et offrent un avantage concurrentiel une fois déployées au sein de l’organisation de chaque client.

Outre les autres définitions prévues par la présente Politique, voici ci-après les définitions correspondant aux termes suivants :

« Législation locale applicable » : toute loi nationale ou locale sur la protection des données (y compris, le cas échéant, la loi européenne sur la protection des données) applicable au Membre du groupe concerné.

« responsable du traitement » : la personne physique ou morale, l’autorité publique, l’agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ;

« Europe » : les pays de l’Espace économique européen (« EEE ») ;

« Loi européenne sur la protection des données » : le RGPD et toute loi sur la protection des données d’un État membre européen, notamment la législation locale implémentant les exigences du RGPD, telle que la législation subordonnée, dans chaque cas tel qu’amendé de manière occasionnelle ;

« Entité exportatrice » : un Membre du groupe, agissant en tant que responsable du traitement ou sous-traitant, établi en Europe ou soumis à la législation européenne en matière de protection des données, qui transfère ou rend disponibles de toute autre manière des données à caractère personnel à une entité importatrice en vertu de la présente Politique ;

« RGPD » : règlement de l’Union européenne (UE) 2016/679 (Règlement général sur la protection des données) ;

« Membre du groupe » : les membres d’Avature Group qui ont adhéré à la présente Politique ;

« Entité importatrice » : un Membre du groupe, agissant en tant que responsable du traitement ou sous-traitant, établi en dehors de l’Europe, qui reçoit des données à caractère personnel d’une entité exportatrice ;

« Membre responsable BCR » : il s’agit d’Avature Spain, S.L.U ;

« données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée » dans la présente Politique). Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou par référence à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ;

« traitement de données » : toute opération ou toute série d’opérations effectuées sur des données à caractère personnel ou des ensembles de données à caractère personnel à l’aide, ou en l’absence, de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la limitation, l’effacement ou la destruction de données ;

« sous-traitant » : une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

« profilage » : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser des données à caractère personnel pour évaluer certains aspects personnels d’une personne physique, notamment pour analyser ou prédire des aspects relatifs à la performance au travail, à la situation économique, à la santé, aux préférences personnelles, aux centres d’intérêt, à la fiabilité, au comportement, à la localisation ou aux déplacements de cette personne physique ;

« catégories particulières de données à caractère personnel », « données sensibles » : les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, les données génétiques, les données biométriques utilisées pour identifier de manière unique une personne physique, les données relatives à la santé ou les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique ; et

« autorité de contrôle » ou « autorité de contrôle compétente » : une autorité publique indépendante liée à une entité exportatrice établie dans une juridiction européenne chargée de contrôler l’application de la législation européenne en matière de protection des données, afin de protéger les libertés et droits fondamentaux des personnes physiques dans le cadre du traitement.

La présente Politique s’applique à toutes les données à caractère personnel soumises à la législation européenne en matière de protection des données, qui sont ensuite transférées des entités exportatrices vers des entités importatrices, ainsi qu’aux transferts ultérieurs effectués par les entités importatrices vers d’autres entités importatrices.

Par conséquent, toutes les obligations et exigences imposées aux Membres du groupe en vertu de la présente Politique seront applicables dans la mesure où elles concernent les données à caractère personnel relevant de ce périmètre.

La présente Politique s’applique à toutes les données à caractère personnel traitées par les Membres du groupe, telles que décrites dans les sections « Quelles sont les données à caractère personnel concernées par la présente Politique ? » et « Pour quelles finalités les données à caractère personnel sont-elles transférées dans le cadre de la présente Politique ? »

Les Membres du groupe ainsi que leurs employés sont tenus de se conformer pleinement à la présente Politique et de la respecter dans le cadre du traitement des données à caractère personnel, à la fois pour leurs propres besoins, en tant que responsables du traitement, et également lorsqu’ils agissent en tant que sous-traitants pour le compte d’un autre Membre du groupe agissant en tant que responsable du traitement.

La présente Politique s’ajoute aux exigences ou règles spécifiques en matière de confidentialité ou de secrets qui pourraient s’appliquer à un secteur d’activité ou à une fonction au sein d’Avature Group, ou qui sont exigées par la législation applicable, sans les annuler ni les remplacer.

La présente Politique, ainsi que la liste des Membres du groupe actuels et leurs coordonnées, sont publiées sur le site Web de l’entreprise accessible au public ici.

Application aux transferts effectués par des Membres du groupe non soumis à la législation européenne en matière de protection des données

Si un Membre du groupe non soumis à la législation européenne en matière de protection des données soumet également à des restrictions les transferts internationaux de données à caractère personnel en vertu de sa législation locale applicable, et que les autorités compétentes de ces pays reconnaissent la présente Politique (dans son intégralité ou partiellement, conformément à la législation locale applicable) comme un mécanisme valable pour légitimer les transferts internationaux de données à caractère personnel, cette Politique pourra également s’appliquer aux données à caractère personnel transférées depuis ces pays vers les entités importatrices. À des fins de clarification, cela se ferait sans préjudice de l’application de la législation locale applicable du Membre du groupe situé en dehors de l’Europe.

Dans de tels cas, les définitions ci-dessus doivent être interprétées comme considérant le Membre du groupe transférant des données à caractère personnel non soumises à la législation européenne en matière de protection des données comme l’entité exportatrice.

En conséquence, la Politique doit être interprétée et appliquée mutatis mutandis (p. ex. la loi européenne sur la protection des données doit être interprétée comme la législation locale applicable, l’autorité de contrôle comme l’autorité locale compétente dans la juridiction pertinente ou l’État membre comme le pays concerné).

Dans ce contexte, le Membre du groupe transférant des données à caractère personnel non soumises à la législation européenne en matière de protection des données agira en tant que Membre responsable BCR pour ce(s) transfert(s) international(aux) de données.

PARTIE I : CONTEXTE ET ACTIONS

Qu’est-ce que la loi sur la protection des données ?

La législation européenne en matière de protection des données accorde le droit aux citoyens de contrôler la manière dont leurs données à caractère personnel sont traitées.
En vertu de la législation européenne en matière de protection des données, lorsqu’une organisation traite des données à caractère personnel à ses propres fins, elle est considérée comme responsable du traitement de ces informations et sa responsabilité première consiste donc à veiller au respect des exigences réglementaires. Par exemple, lorsque nous sommes l’employeur, nous sommes le responsable du traitement des données à caractère personnel que nous traitons au sujet de nos employés.
D’autre part, lorsqu’une organisation traite des informations pour le compte d’une autre entité (par exemple, pour fournir un service), cette dernière est considérée comme un sous-traitant des données.

Quelles sont les répercussions de la législation européenne en matière de protection des données sur les transferts de données à caractère personnel entre les Membres du groupe ?

La législation européenne en matière de protection des données n’autorise pas les transferts de données à caractère personnel vers des pays, territoires ou organisations internationales situés en dehors de l’Europe qui ne garantissent pas un niveau adéquat de protection des droits des personnes en matière de confidentialité des données. Étant donné que la Commission européenne considère que le niveau de protection proposé par certains des pays dans lesquels les Membres du groupe opèrent est insuffisant, des garanties appropriées doivent être mises en place pour répondre aux exigences de la législation européenne en matière de protection des données.

Comment les Membres du groupe peuvent-ils y remédier ?

Les Membres du groupe doivent prendre les mesures nécessaires pour s’assurer que leur traitement de données à caractère personnel à l’international est sécurisé et, par conséquent, licite. L’objectif de la présente Politique est donc de définir un cadre permettant de répondre aux normes énoncées dans la législation européenne en matière de protection des données et, par conséquent, de garantir un niveau de protection adéquat pour toutes les données à caractère personnel qui sont transférées depuis les entités exportatrices vers les entités importatrices dans le cadre de la présente Politique.
La présente Politique est juridiquement contraignante et s’applique à tous les Membres du groupe et à leurs employés lorsque ces Membres du groupe traitent les données à caractère personnel manuellement ou par des moyens automatisés. Elle impose aux Membres du groupe qui traitent les données à caractère personnel en tant que responsables du traitement ou sous-traitants pour le compte d’un Membre du groupe de se conformer aux règles énoncées dans la Partie II de la présente Politique (le cas échéant) ainsi qu’aux Politiques et procédures énoncées dans les annexes de la Partie III de la présente Politique. Les transferts concernés par la présente Politique incluent ceux entre responsables du traitement, entre responsables du traitement et sous-traitants, entre sous-traitants, et entre sous-traitants et responsables du traitement.

Que se passe-t-il pour les Membres du groupe qui ne sont pas soumis à la législation européenne en matière de protection des données lorsqu’ils exportent des données ?

Comme expliqué dans l’introduction, et dans le but de concevoir un cadre mondial de protection des données pour Avature Group, si un Membre du groupe non soumis à la législation européenne en matière de protection des données soumet également à des restrictions les transferts internationaux de données à caractère personnel en vertu de sa législation locale applicable, et que les autorités compétentes de ces pays reconnaissent la présente Politique (dans son intégralité ou partiellement, conformément à la législation locale applicable) comme un mécanisme valable pour légitimer les transferts internationaux de données à caractère personnel, cette Politique pourra également s’appliquer aux données à caractère personnel transférées depuis ces pays vers les entités importatrices. À des fins de clarification, cela se ferait sans préjudice de l’application de la législation locale applicable du Membre du groupe situé en dehors de l’Europe.

Quelles sont les données à caractère personnel concernées par la présente Politique ?

Les données à caractère personnel traitées dans le cadre de la présente Politique comprennent :

• En ce qui concerne les données à caractère personnel des employés actuels et anciens, des prestataires et des employés temporaires : (a) Les informations personnelles et les coordonnées (par ex. prénom, deuxième prénom, nom de famille, nom de jeune fille de la mère, titre, sexe, date de naissance, nationalité, numéros d’identification nationaux (par ex. numéro de CNI, numéro de sécurité sociale, numéro de passeport, numéro de permis de conduire et/ou autres numéros d’identification délivrés par le gouvernement), adresse électronique, adresse du domicile, numéros de téléphone fixe et de portable, nationalité, loisirs, etc.) ; (b) Les données relatives à l’emploi, y compris le parcours professionnel et les coordonnées (par ex. adresse électronique fournie par l’entreprise, numéros de téléphone fixe et de portable, utilisateur Skype, description du poste actuel, titre, plan de rémunération, classe ou niveau de salaire, unité/service, lieu, superviseur(s) et subordonné(s), numéro d’identification de l’employé, statut et type d’emploi, conditions d’emploi, contrat de travail, parcours professionnel, date(s) de réembauche et de fin de contrat, ancienneté, droit à la retraite, évaluation et notation des performances (y compris les commentaires des responsables, des parties prenantes et des autres personnes qui travaillent avec l’employé), promotions et dossiers disciplinaires, droit de travailler/données d’immigration telles que les permis ou les visas, etc.) ; (c) Les données relatives aux talents, au recrutement et à la candidature, au parcours scolaire et à la formation (p. ex. les données contenues dans les lettres de candidature et les CV, le site Web personnel ou le profil LinkedIn directement transmis par les employés, le parcours professionnel et les références, le parcours scolaire, les qualifications professionnelles, les compétences linguistiques et autres compétences pertinentes, les informations relatives aux évaluations de la gestion de la performance, le plan de développement et la disposition à la mobilité géographique, les données à caractère personnel dérivées de la participation des employés au processus de recrutement d’Avature Group, telles que, par exemple, celles obtenues lors des entretiens personnels et dans les échanges d’e-mails relatifs aux candidatures ou lors de conversations, etc.) ; (d) Les informations sonores et visuelles (p. ex. la voix et l’image saisies sur des photographies, des enregistrements vidéo ou audio dans le cadre d’entretiens ou de réunions par téléphone ou par visioconférence, etc.) ; (e) Les informations financières, y compris les données relatives à la paie et aux indemnités (p. ex. les coordonnées bancaires, le salaire de base, les primes, les avantages sociaux, les avantages salariaux liés aux personnes à charge, l’échelon de salaire dans le grade attribué, les informations relatives aux options d’achat d’actions, aux attributions d’actions et autres récompenses, la devise, la fréquence de paiement, la date d’entrée en vigueur de la rémunération actuelle, les révisions de salaire, numéro d’identification fiscale, le numéro de sécurité sociale et le code fiscal, etc.) ; (f) Les données relatives aux horaires de travail (p. ex. les relevés d’heures travaillées, lorsque la loi l’exige ou l’autorise, relevés des jours fériés, des congés personnels, des arrêts maladie et autres congés pris par les employés, et preuve des motifs (le cas échéant), heures supplémentaires et travail posté, date de fin de contrat, etc.) ; (g) Les données relatives aux voyages (par exemple, informations sur les grands voyageurs (telles que le programme fidélité de l’alliance aérienne et le numéro de grand voyageur), lieu où ces voyageurs sont habituellement pris en charge et déposés, etc.) ; (h) Les données relatives à la sécurité et aux technologies de l’information (p. ex. les informations recueillies par les systèmes d’entrée et les caméras de sécurité, les informations recueillies par l’utilisation des technologies de l’information, y compris les informations d’accès et d’authentification, l’historique de navigation sur Internet, les numéros de téléphone composés, les documents et fichiers stockés sur les systèmes ou réseaux de l’entreprise (y compris les ordinateurs de bureau), les courriers électroniques transmis et reçus sur les comptes de messagerie de l’entreprise (dans la mesure où cela est légalement autorisé), les journaux, l’adresse IP, les tentatives de connexion réussies et échouées, les informations recueillies par le biais de cookies ou d’autres technologies de traçage similaires, etc.) et (i) Toute autre information transmise volontairement par les personnes concernées (p. ex. par le biais de réclamations, de demandes de renseignements, d’intérêts, etc.).
  En outre, des catégories particulières de données à caractère personnel peuvent être traitées par les Membres du groupe lorsque cela s’avère nécessaire et requis ou autorisé par la législation applicable aux fins décrites dans la section suivante.
• Concernant les données à caractère personnel des proches des employés : (a) Les informations personnelles et les coordonnées (p. ex. nom, prénom, coordonnées telles que le numéro de contact en cas d’urgence, etc.) ; (b) Autres informations sur les employés concernés ou sur leur famille lorsque la loi l’exige ou l’autorise (p. ex. groupe familial, nom et autres informations pertinentes sur les enfants et les autres personnes à charge (y compris leurs certificats de naissance et/ou ceux de leurs enfants), état matrimonial, conjoint(e) légal(e) ou de fait, certificat de mariage, etc.).
• Concernant les données à caractère personnel des candidats/postulants actuels et anciens : (a) Les informations personnelles et les coordonnées (p. ex. prénom, nom de famille, pays, état et ville de résidence, adresse électronique, adresse du domicile, numéros de téléphone fixe et de portable, nationalité, etc.) ; (b) Les données relatives à l’emploi dont celles relatives au parcours professionnel (p. ex. poste actuel, titre, lieu et entreprise et parcours professionnel, plan de rémunération, échelon ou niveau de salaire, droit de travailler/données relatives à l’immigration telles que les permis ou les visas, etc.) ; (c) Les données relatives aux talents, au recrutement et à la candidature, au parcours scolaire et à la formation (p. ex. les données contenues dans les lettres de candidature et les CV, le site Web personnel ou le profil LinkedIn directement transmis par les candidats, le parcours professionnel et les références, le parcours scolaire, les qualifications professionnelles, les compétences linguistiques et autres compétences pertinentes, les données relatives aux évaluations de la gestion de la performance, le plan de développement et la disposition à la mobilité géographique, les données personnelles dérivées de la participation des candidats au processus de recrutement d’Avature Group, telles que, par exemple, celles obtenues lors des entretiens personnels et dans les échanges d’e-mails relatifs aux candidatures ou lors de conversations, etc.) ; et (d) Les informations sonores et visuelles (p. ex. la voix et l’image saisies sur des photographies, des enregistrements vidéo ou audio dans le cadre d’entretiens ou de réunions par téléphone ou par visioconférence, etc.).
• Concernant les données à caractère personnel des clients, prospects, fournisseurs, prestataires, partenaires, associés commerciaux et conseillers (y compris leurs employés, représentants et/ou agents) : (a) Les informations personnelles et les coordonnées (p. ex. nom, prénom, numéro de téléphone, adresse électronique, adresse postale, etc.) ; (b) Les coordonnées professionnelles (p. ex. poste/intitulé de l’emploi, coordonnées de l’entreprise, coordonnées professionnelles, etc.) ; (c) Les données contractuelles (p. ex. les bons de commande, les factures, les contrats et autres accords pouvant contenir des données à caractère personnel relatives aux personnes concernées, etc.) ; (d) Les informations financières et de paiement (p. ex. les coordonnées bancaires, les données relatives aux cartes de crédit, etc.) ; (e) Les informations audio et visuelles (p. ex. la voix et l’image saisies sur des photographies, des vidéos ou des enregistrements audio dans le cadre de réunions par téléphone ou par visioconférence, ou à des fins de sécurité, y compris les informations saisies par les systèmes d’entrée et les caméras de sécurité, etc.) ; (f) Les informations informatiques (p. ex. adresse IP, ID (identifiant) utilisateur, mots de passe, journaux (y compris les informations relatives au profil) des sites Web ou des portails d’Avature Group, etc.) ; et (g) autres informations relatives à la relation professionnelle avec Avature Group (p. ex. les données relatives aux réclamations, les communications partagées, etc.).
• Concernant les données à caractère personnel des utilisateurs du site Web : (a) Les informations personnelles et les coordonnées (par ex. nom, prénom, numéro de téléphone, adresse électronique, adresse postale, etc.) ; (b) Les coordonnées professionnelles (p. ex. poste/intitulé de l’emploi, coordonnées de l’entreprise, coordonnées professionnelles, etc.) ; (c) Les informations informatiques (p. ex. adresse IP, ID (identifiant) utilisateur, mots de passe, journaux relatifs à l’utilisation (y compris les informations du profil) des sites Web ou des portails d’Avature Group, données collectées via l’application Avature, y compris les données résultant de l’accès à l’appareil photo et/ou à la photothèque des utilisateurs (à condition qu’ils aient expressément autorisé cet accès) et autres informations que les utilisateurs peuvent fournir et qui sont utiles pour le développement futur de l’application et à des fins d’assistance, etc.) ; (d) Les données de navigation et d’utilisation (par ex. les informations collectées automatiquement auprès des personnes concernées (c’est-à-dire par le biais de cookies ou d’autres technologies similaires) concernant leur utilisation des sites Web, leur adresse IP, etc.) ; et (e) Autres informations relatives à leur relation avec Avature Group (par ex. les requêtes, les intérêts, les communications partagées, etc.).

Pour quelles finalités les données à caractère personnel sont-elles transférées dans le cadre de la présente Politique ?

Les données à caractère personnel sont transférées dans le cadre de la présente Politique pour les finalités suivantes :

• Les transferts de données personnelles d’employés actuels et anciens, de prestataires et d’employés temporaires s’effectuent entre les Membres du groupe dans le monde entier (voir la localisation de tous les Membres du groupe ici), quelle que soit l’origine des données, aux fins suivantes : (a) gérer les activités professionnelles et du personnel en général (p. ex. le recrutement, les évaluations, la gestion de la performance, les promotions, le plan de relève et l’évolution de carrière, la gestion de la paie, la gestion de la mobilité interne, des congés/absences, des transferts et des détachements, la compilation et la gestion des répertoires de salariés existants, la planification et le suivi des besoins en formation et des activités et compétences liées à l’évolution de carrière, la gestion et le reporting des questions disciplinaires et des licenciements, l’examen des décisions en matière d’emploi, l’évaluation et la prise de décisions concernant l’aptitude des salariés à travailler et l’adaptation de l’environnement de travail, l’organisation des déplacements professionnels, la gestion des dépenses et des remboursements professionnels, la facilitation des communications, des négociations, des transactions et des conférences professionnelles, le contrôle du respect des politiques et des procédures internes et d’autres activités de contrôle requises ou autorisées par la législation applicable (par ex. systèmes de reporting interne), analyse et planification de la main-d’œuvre, vérification des antécédents comme l’exigent ou l’autorisent la législation applicable, etc.) ; (b) effectuer des segmentations, des statistiques et des analyses agrégées concernant les données relatives à l’activité des employés (p. ex. pour la projection des processus d’entretien, des sources de candidats, de performance, etc.) afin de mieux cerner la population de l’entreprise et d’éclairer les décisions s’y rapportant en ce qui concerne, entre autres, le recrutement des talents, le plan de carrière et le plan de relève ; (c) soutenir la gestion des services fournis par Avature Group et ses activités commerciales (p. ex. la gestion et l’affectation des actifs de l’entreprise et des ressources humaines, l’exploitation, la gestion et la sécurisation des systèmes et infrastructures informatiques et de communication, des équipements de bureau et autres biens, la planification stratégique, la gestion de projet, la continuité des activités, la compilation des pistes d’audits et d’autres outils de reporting, la tenue des registres relatifs à la fabrication et aux autres activités commerciales, la budgétisation, la gestion et le reporting financiers, les communications, la gestion des fusions, des acquisitions et des réorganisations ou de cessions, etc.) ; (d) se conformer aux obligations légales applicables et aux autres exigences (p. ex. Les obligations en matière de travail et de sécurité sociale, la gestion des registres et des obligations de reporting, la réalisation d’audits, la conformité avec les inspections gouvernementales et autres demandes des autorités publiques ou autres organismes, la réponse aux procédures légales telles que les citations à comparaître, l’exercice des droits et recours légaux, la défense dans le cadre de contentieux et la gestion de toute plainte ou réclamation interne, etc.) ; et (e) fournir une large gamme de services aux autres Membres du groupe (p. ex. technologie et systèmes informatiques, paie, sélection et gestion des ressources humaines, audit interne et conformité, destruction de documents, transport de documents, ainsi que des services de gestion juridique et de coordination dans certains domaines tels que la protection des données, etc.).
  Concernant les catégories particulières de données à caractère personnel des employés, ces données peuvent être traitées par les Membres du groupe si cela s’avère nécessaire pour répondre correctement à leurs objectifs (p. ex. aménagement des conditions de travail en cas de limitations physiques ou de besoins particuliers, gestion et administration des absences, contrôle de l’accès aux locaux, fourniture de prestations de santé liées à l’emploi, etc.) et uniquement dans la mesure nécessaire à l’exécution des obligations et à l’exercice des droits spécifiques des Membres du groupe ou de la personne concernée dans le domaine du droit du travail, de la sécurité sociale et de la protection sociale (article 9 (2) b)) et aux fins de la médecine préventive ou professionnelle, de l’évaluation de l’aptitude au travail de l’employé, du diagnostic médical, de la fourniture de soins ou de traitements médicaux ou sociaux ou de la gestion de systèmes et de services de soins médicaux ou sociaux (article 9.2 (h)). En outre, des catégories particulières de données à caractère personnel peuvent être traitées pour la fourniture d’un large éventail de services à d’autres Membres du groupe (p. ex. services de conseil juridique, services de contentieux du travail, ligne de dénonciation, services d’archivage et de conservation de documents, services d’assurance, services de gestion des rapports internes, services généraux, de sécurité et de sûreté d’entreprise, services financiers, etc.).
• Les transferts de données à caractère personnel des proches des employés s’effectuent entre les Membres du groupe à l’échelle mondiale (voir la localisation de tous les Membres du groupe ici), quelle que soit l’origine des données, afin de gérer les avantages liés à la paie des proches des employés.
• Les transferts de données à caractère personnel des candidats actuels et anciens s’effectuent entre les Membres du groupe à l’échelle mondiale (voir la localisation de tous les Membres du groupe ici), quelle que soit l’origine des données, aux fins suivantes : (a) gérer des activités de recrutement en général (p. ex. l’évaluation des candidatures et la prise de décisions en matière d’embauche, la communication avec les postulants concernant le processus de recrutement et/ou leur(s) candidature(s), etc. ; (b) effectuer des segmentations, des statistiques et des analyses agrégées concernant les données relatives à l’activité des candidats (p. ex. en préparation des processus d’entretien, des sources de candidats, etc.) ; (c) gérer l’adhésion à la communauté de talents (p. ex. offrir la possibilité d’adhérer volontairement à la communauté de talents et (uniquement sous réserve du consentement) considérer les adhérents comme des candidats pour de futures offres d’emploi et leur envoyer des recommandations d’emploi ou d’autres informations connexes) ; (d) se conformer aux obligations légales et autres exigences applicables (p. ex. réaliser des audits, garantir le respect des inspections gouvernementales et autres demandes émanant du gouvernement ou d’autres autorités publiques, répondre aux procédures légales telles que les citations à comparaître, exercer les droits et les recours légaux, se défendre en cas de contentieux et gérer toute plainte ou réclamation interne, etc.) ; (e) fournir une grande variété de services aux autres Membres du groupe (p. ex. technologie et systèmes informatiques, sélection et gestion des ressources humaines, audit interne et conformité, destruction de documents, transport de documents, ainsi que des services de gestion juridique et de coordination dans certains domaines tels que la protection des données, etc.).
• Les transferts de données à caractère personnel de clients, prospects, fournisseurs, prestataires, partenaires, associés commerciaux et conseillers (y compris leurs employés, représentants et/ou agents) s’effectuent entre les Membres du groupe à l’échelle mondiale (voir la localisation de tous les Membres du groupe ici), quelle que soit l’origine des données, aux fins suivantes : (a) gérer la relation contractuelle avec eux de manière générale (p. ex.exécuter les accords en place et/ou prendre des mesures pour conclure de tels accords, à des fins commerciales et de communication, établir, renouveler, maintenir ou mettre fin aux relations commerciales, fournir un accès aux activités en ligne et à nos locaux, tenir des registres commerciaux, effectuer des audits, des analyses comptables, financières et économiques, effectuer des paiements et des fonctions comptables connexes, etc.) ; (b) gérer et assurer la sécurité (p. ex.protéger l’infrastructure informatique, le matériel de bureau et autres biens, etc.) ; (c) la gestion des opérations commerciales (p. ex. l’exploitation et la gestion des systèmes informatiques et de communication, la gestion du développement des produits et des services, l’amélioration des produits et des services, la gestion des actifs de l’entreprise, l’affectation des actifs et des ressources humaines de l’entreprise, la planification stratégique, la gestion de projets, la continuité des activités, la compilation des pistes d’audit et d’autres outils de reporting, la tenue des registres relatifs à la fabrication et à d’autres activités commerciales, la gestion budgétaire, la gestion et le reporting financiers, les communications, la gestion des fusions, des acquisitions, des réorganisations ou des cessions, etc) ; (d) la planification et l’exécution de stratégies de marketing en général (p. ex. études de marché, planification de campagnes et élaboration de stratégies de marketing, suivi et reporting des campagnes réussies, etc.) ; (e) se conformer à la législation applicable (p. ex. en matière commerciale, fiscale, d’audits, d’inspections gouvernementales et d’autres demandes émanant du gouvernement ou d’autres autorités publiques, répondre aux procédures légales telles que les citations à comparaître, exercer les droits et les recours légaux, se défendre en cas de contentieux et gérer toute plainte ou réclamation interne, etc.) ; et (f) fournir une grande variété de services aux autres Membres du groupe (p. ex. technologie et systèmes informatiques, audit interne et conformité, destruction de documents, transport de documents, gestion des risques, achat de produits et/ou de services, facturation électronique, gestion de campagnes de marketing et de communication, ainsi que des services de gestion et de coordination juridique dans certains domaines tels que la protection des données, etc.).
• les transferts de données à caractère personnel des utilisateurs du site Web s’effectuent entre les Membres du groupe dans le monde entier (voir la localisation de tous les Membres du groupe ici), quelle que soit l’origine des données, aux fins suivantes : (a) gérer la fourniture de services en général (p. ex. développer et fournir les fonctionnalités et le contenu en ligne, gérer les sites Web, traiter les demandes de renseignements et les requêtes, fournir une assistance, etc.) ; (b) la gestion et la garantie de la sécurité (p. ex. la sauvegarde de l’infrastructure informatique, la garantie de la sécurité et de l’intégrité des systèmes, des serveurs et des sites Web, etc.) ; (c) effectuer des segmentations, des analyses statistiques et agrégées (p. ex. comprendre comment les services sont utilisés, améliorer et développer les fonctionnalités du site Web et des services, améliorer les performances et l’assistance proposées, etc.) ; (d) la planification et l’exécution de stratégies de marketing en général (p. ex. études de marché, planification de campagnes et élaboration de stratégies de marketing, suivi et reporting sur les campagnes fructueuses, etc.) ; (e) se conformer à la législation applicable (p. ex. commerciale, réalisation d’audits, respect des inspections gouvernementales et autres demandes du gouvernement ou d’autres autorités publiques, réponse aux procédures légales telles que les citations à comparaître, exercice des droits et recours légaux, défense en cas de contentieux et gestion des plaintes ou réclamations internes, etc.) ; (f) fournir une grande variété de services à d’autres Membres du groupe (p. ex. technologie et systèmes informatiques, audit interne et conformité, gestion des campagnes de marketing et de communication, ainsi que des services de gestion et de coordination dans certains domaines tels que la protection des données, etc.).

Informations supplémentaires

Avature Group dispose d’une équipe de spécialistes de la protection des données (incluant un Délégué à la protection des données du groupe [tel que ce terme est défini ci-dessous] à la tête de l’équipe) chargé de veiller à ce que tous les Membres du groupe respectent strictement la législation applicable en matière de protection des données (« Équipe chargée de la confidentialité »). Si vous avez des questions concernant les dispositions de la présente Politique, vos droits en vertu de la présente Politique ou toute autre question relative à la protection des données, vous pouvez prendre contact avec l’équipe chargée de la confidentialité à l’adresse ci-dessous. L’équipe chargée de la confidentialité traitera la question, la transmettra à la personne ou au service approprié au sein d’Avature Group ou fera remonter le problème au Délégué à la protection des données d’Avature Group (« Délégué à la protection des données »), le cas échéant.

À l’attention du : L’équipe chargée de la confidentialité
Formulaire en ligne : https://www.avature.net/contact-privacy-officer/

L’équipe chargée de la confidentialité veille à ce que les modifications apportées à la présente Politique soient notifiées conformément à l’Annexe 5.
En cas d’insatisfaction concernant la façon dont tout autre Membre du groupe a traité vos données à caractère personnel, Avature Group dispose d’une procédure distincte de traitement des réclamations, détaillée dans la partie III, Annexe 3.

PARTIE II : LES OBLIGATIONS DES MEMBRES DU GROUPE EN TANT QUE RESPONSABLES DU TRAITEMENT OU SOUS-TRAITANTS

Trois sections composent la partie II de la présente Politique :

• La section A porte sur les principes de base de la législation européenne en matière de protection des données qu’un Membre du groupe se doit de respecter.
• La section B traite des engagements pratiques pris par les Membres du groupe envers les autorités de contrôle compétentes dans le cadre de la présente Politique.
• La section C décrit les droits des tiers bénéficiaires que les Membres du groupe ont accordés aux personnes concernées en vertu de la partie II de la présente Politique.

SECTION A : PRINCIPES DE BASE

RÈGLE 1 – LÉGALITÉ ET ÉQUITÉ

Règle 1A – Les Membres du groupe se conformeront d’abord et avant tout à la présente Politique ainsi qu’à toute législation locale applicable en matière de protection des données, de manière harmonisée.

En tant qu’organisations, les Membres du groupe, sous réserve des dispositions ci-dessous, se conforment à toute législation applicable en matière de données à caractère personnel (p. ex. en Europe, la loi européenne sur la protection des données) et veillent à ce que le traitement des données à caractère personnel soit effectué conformément à la présente Politique et à la législation locale applicable.

Champs d’application de la présente Politique et :

• en l’absence de législation locale applicable, ou si la législation ne répond pas aux normes établies par les règles de la présente Politique, la position des Membres du groupe sera de traiter les données à caractère personnel conformément aux règles établies dans la présente Politique ;
• la législation locale applicable exige un niveau de protection plus élevé que celui prévu par la présente Politique, ce niveau de protection plus élevé prévaudra sur la présente Politique ; ou
• si la législation locale applicable empêche les Membres du groupe de s’acquitter de leurs obligations ou a un effet substantiel sur leur capacité à le faire au titre de la présente Politique, les Membres du groupe suivront la procédure indiquée dans la règle 15.

Règle 1B – Les Membres du groupe veilleront à ce que le traitement des données à caractère personnel soit équitable et licite et à ce qu’il existe un fondement juridique pour le traitement des données à caractère personnel, le cas échéant.

Les Membres du groupe veilleront à ce que le traitement des données à caractère personnel soit équitable et licite, et qu’il existe un fondement juridique pour le traitement des données à caractère personnel, le cas échéant. Les Membres du groupe ne traiteront les données à caractère personnel que dans le cas où :

• la personne concernée a donné son consentement au traitement de ses données à caractère personnel et ce consentement répond aux normes de la législation européenne en matière de protection des données (c.-à-d.. que le consentement est librement donné, spécifique, éclairé, non ambigu et aussi facile à retirer qu’à donner) ; ou
• il est nécessaire à l’exécution d’un contrat auquel la personne concernée est signataire, ou pour prendre des mesures à la demande de la personne concernée avant la conclusion d’un contrat ; ou
• il est nécessaire au respect d’une obligation légale prévue par la loi à laquelle le Membre du groupe est soumis, et la loi poursuit un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi ; ou
• il est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique ; ou
• il est nécessaire à l’exécution d’une mission accomplie dans l’intérêt public ou dans l’exercice d’une autorité publique conférée à un Membre du groupe, lorsque la base du traitement est prévue par la loi, qui poursuit un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi ; ou
• il est nécessaire aux fins des intérêts légitimes poursuivis par un Membre du groupe ou par un tiers, sauf si ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée.

Lorsque le traitement de données à caractère personnel concerne des condamnations pénales et des infractions ou des mesures de sécurité connexes, les Membres du groupe n’effectuent ce traitement que sous le contrôle d’une autorité officielle ou lorsque le traitement est autorisé par la législation locale applicable qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées, conformément aux bases juridiques susmentionnées.

Règle 1C – Sans préjudice de la règle 1B ci-dessus, le traitement des catégories particulières de données à caractère personnel est interdit, sauf si une dérogation, telle que celles prévues par la législation européenne en matière de protection des données, s’applique.

Le traitement de catégories particulières de données à caractère personnel n’est autorisé que pour certains motifs, notamment dans les cas où :

• le Membre du groupe a obtenu le consentement explicite au traitement de toute catégorie particulière de données à caractère personnel concernant cette personne concernée pour une ou plusieurs finalités spécifiques, à moins que la législation locale applicable ne prévoie que l’interdiction de traiter des données d’une catégorie particulière ne peut être levée par la personne concernée ; ou
• le traitement est nécessaire à l’exécution des obligations et à l’exercice des droits spécifiques du Membre du groupe ou de la personne concernée dans le domaine du droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où il est autorisé par la législation locale applicable ou par une convention collective, conformément à la législation locale applicable, et prévoyant des garanties appropriées pour les droits fondamentaux et les intérêts des personnes concernées ; ou
• le traitement est nécessaire à la protection des intérêts vitaux d’une personne concernée ou d’une autre personne physique lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement ; ou
• le traitement est effectué dans le cadre de ses activités légitimes, avec les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement ne concerne que les membres ou les anciens membres de l’organisme ou les personnes ayant un contact régulier avec l’organisme dans le cadre de ses objectifs et que les données à caractère personnel ne soient pas divulguées en dehors de cet organisme sans le consentement des personnes concernées ; ou
• le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée ; ou
• le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice, ou lorsque les tribunaux agissent dans l’exercice de leurs fonctions judiciaires ; ou
• le traitement est nécessaire pour des raisons d’intérêt public majeur sur la base de la législation locale applicable, à condition qu’il soit proportionné à l’objectif poursuivi, qu’il respecte l’essence de la protection des données et qu’il prévoie des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts de la personne concernée ; ou
• le traitement est nécessaire aux fins de la médecine préventive ou du travail pour l’évaluation de la capacité de travail de l’employé, le diagnostic médical, la fourniture de soins de santé ou sociaux, ou la gestion de systèmes et de services de santé ou sociaux sur la base de la législation locale applicable, à condition que le traitement soit effectué par ou sous la responsabilité d’un professionnel soumis à des obligations de confidentialité en vertu de la législation locale applicable ou de règles établies par des organismes nationaux compétents ; ou
• le traitement est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique sur la base de la législation locale applicable qui prévoit des mesures appropriées et spécifiques pour protéger les droits et libertés des personnes concernées, notamment en matière de secret professionnel ; ou
• le traitement est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, sur la base de la législation locale applicable, qui doivent être proportionnées à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour sauvegarder les droits fondamentaux et les intérêts de la personne concernée.

Règle 1D – Les Membres du groupe évalueront l’impact de tout traitement de données à caractère personnel présentant des risques élevés pour les droits et libertés des personnes concernées.

Les Membres du groupe, lorsqu’ils agissent en tant que responsables du traitement, évalueront la nécessité et la proportionnalité de tout nouveau traitement de données à caractère personnel et, en cas de risques élevés pour les droits et libertés des personnes concernées, procéderont à une analyse d’impact sur la protection des données conformément à la législation européenne en matière de protection des données. Dans le cas où l’analyse d’impact sur la protection des données indique que le traitement entraînera un risque élevé pour les personnes concernées, les Membres du groupe seront tenus de consulter les autorités de contrôle compétentes avant de commencer le traitement en l’absence de mesures prises pour atténuer le risque.

Les Membres du groupe agissant en tant que sous-traitants pour le compte d’autres Membres du groupe seront tenus de coopérer, le cas échéant, pour aider les responsables du traitement à garantir leur conformité avec les obligations prévues par la présente règle 1D.

RÈGLE 2 – GARANTIR LA TRANSPARENCE ET TRAITER LES DONNÉES À CARACTÈRE PERSONNEL UNIQUEMENT POUR UNE FINALITÉ CONNUE

Règle 2A – Les Membres du groupe informent les personnes concernées de la manière dont leurs données à caractère personnel seront traitées.

Les Membres du groupe veilleront à ce que les personnes concernées soient toujours informées de façon claire et complète (généralement au moyen d’une déclaration de traitement équitable) sur la manière dont leurs données à caractère personnel seront traitées. Le Membre du groupe concerné fournira les informations requises par la législation européenne en matière de protection des données, qui comprendront au minimum les éléments suivants :

• l’identité et les coordonnées du responsable du traitement, y compris les coordonnées du Délégué à la protection des données et du représentant, le cas échéant ;
• la finalité et le fondement juridique du traitement, comprenant une explication de tout traitement fondé sur des intérêts légitimes et de toute finalité compatible nouvelle ou différente ;
• les destinataires ou catégories de destinataires auxquels les données à caractère personnel peuvent être transférées ;
• des informations sur les garanties mises en place pour protéger les données à caractère personnel lorsqu’elles sont transférées à l’international et sur la manière d’accéder à ces garanties ou d’en obtenir une copie. Dans le cas de transferts de données à caractère personnel entre une entité exportatrice et une entité importatrice basés sur cette Politique, les informations fournies incluront une référence à cette Politique et indiqueront comment y accéder ;
• la durée de conservation des données à caractère personnel ou les critères utilisés pour déterminer cette durée ;
• les détails des droits des personnes concernées, y compris le droit d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, le droit de retirer leur consentement (lorsque le traitement est fondé sur le consentement), ainsi que le droit de déposer une réclamation auprès d’une autorité de contrôle ;
• si la communication d’informations est une exigence légale ou contractuelle, et les conséquences de la non-fourniture de données à caractère personnel dans de telles circonstances ; et
• des informations sur l’existence de prises de décision automatisées, y compris le profilage, et au moins dans les cas où ces décisions produisent des effets juridiques concernant la personne concernée ou l’affectent de manière significative, ou sont basées sur des catégories particulières de données à caractère personnel, des informations pertinentes sur la logique utilisée, ainsi que sur la portée et les conséquences envisagées de ce traitement pour la personne concernée.

Les exigences de la législation locale applicable où les données à caractère personnel sont collectées détermineront si des informations supplémentaires doivent être communiquées aux personnes concernées.

Ces informations seront fournies lorsque les Membres du groupe obtiendront les données à caractère personnel de la part de la personne concernée ou dans un délai autorisé par la législation européenne en matière de protection des données.

Lorsque des Membres du groupe obtiennent des données à caractère personnel d’une personne concernée à partir d’une source autre que cette personne, le Membre du groupe en question fournit cette information à la personne concernée, ainsi que des informations sur la source et les catégories de données à caractère personnel reçues de tiers, selon les modalités suivantes :

• dans un délai raisonnable après la collecte des données à caractère personnel, mais au plus tard dans un délai d’un (1) mois ;
• si les données à caractère personnel doivent être traitées à des fins de communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne ; ou
• si elles doivent être divulguées à un tiers, au plus tard au moment où les données sont divulguées pour la première fois.

Les Membres du groupe se conformeront à la présente règle 2A, sauf si la législation européenne en matière de protection des données autorise spécifiquement de ne pas fournir ces informations.

Règle 2B – Les Membres du groupe n’obtiendront et ne traiteront les données à caractère personnel que pour des finalités connues de la personne concernée, ou qui sont compatibles avec ses attentes et pertinentes pour les Membres du groupe.

La règle 1A prévoit que les Membres du groupe respecteront toute législation applicable au traitement des données à caractère personnel. Cela signifie que les Membres du groupe traiteront les données à caractère personnel à des fins spécifiques, explicites et légitimes, telles que décrites dans la section « Pour quelles finalités les données à caractère personnel sont-elles transférées dans le cadre de la présente Politique ? » ci-dessus, et qu’ils ne traiteront pas ces données à caractère personnel d’une manière incompatible avec ces finalités.

Les Membres du groupe identifieront et feront connaître les finalités pour lesquelles les données à caractère personnel seront traitées (y compris les utilisations secondaires et les divulgations des données) conformément à la règle 2A.

Règle 2C – Les Membres du groupe ne peuvent traiter des données à caractère personnel pour une finalité différente ou une nouvelle finalité que si elle est compatible avec la finalité pour laquelle elles ont initialement été collectées.

Si un Membre du groupe collecte des données à caractère personnel pour une finalité spécifique conformément à la règle 2A (telle que communiquée à la personne concernée par le biais de la déclaration de traitement équitable correspondante) et telle que décrite dans la règle 2B, et que par la suite le Membre du groupe souhaite traiter des données à caractère personnel pour une finalité différente ou nouvelle, il ne traitera pas ultérieurement ces données à caractère personnel d’une manière incompatible avec la finalité pour laquelle elles ont été collectées initialement, à moins que ce traitement ultérieur ne soit fondé sur le consentement de la personne concernée ou ne soit exigé par la loi.

RÈGLE 3 – ASSURER LA QUALITÉ DES DONNÉES

Règle 3A – Les Membres du groupe devront veiller à l’exactitude et à la mise à jour des données à caractère personnel.

Afin de garantir l’exactitude et la mise à jour des données à caractère personnel détenues par les Membres du groupe, les Membres du groupe encouragent activement les personnes concernées à les informer de toute modification de leurs données à caractère personnel. Les Membres du groupe prendront des mesures raisonnables pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai.

Règle 3B – Les Membres du groupe conserveront les données à caractère personnel uniquement pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées.

Les Membres du groupe se conformeront aux Politiques et procédures de conservation des documents d’Avature Group, telles que révisées et mises à jour périodiquement. Cela signifie, entre autres, que les Membres du groupe suppriment ou bloquent, selon le cas, les données à caractère personnel qui ne sont plus nécessaires aux finalités pour lesquelles elles sont collectées et traitées ultérieurement.

Règle 3C – Les Membres du groupe ne traiteront que des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire aux fins de ce traitement.

Les Membres du groupe ne traiteront que les données à caractère personnel qui sont nécessaires pour répondre correctement aux finalités du traitement.

RÈGLE 4 – PRENDRE DES MESURES DE SÉCURITÉ APPROPRIÉES

Règle 4A – Les Membres du groupe adhéreront aux Politiques de sécurité informatique d’Avature Group.

Les Membres du groupe implémenteront des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction ou la perte accidentelle ou illicite, la modification, la divulgation ou l’accès non autorisé, en particulier lorsque le traitement implique la transmission de données à caractère personnel sur un réseau, et contre toute autre forme de traitement illicite. À cette fin, les Membres du groupe se conformeront aux exigences des Politiques de sécurité en vigueur au sein d’Avature Group, telles que révisées et mises à jour périodiquement, ainsi qu’à toute autre procédure de sécurité pertinente pour un domaine d’activité ou une fonction. Compte tenu de l’état de l’art et du coût de leur implémentation, ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Les Membres du groupe implémenteront et respecteront les Politiques de notification des violations requises par la législation locale applicable, comme décrit dans la règle suivante.

Règle 4B – Les Membres du groupe ont implémenté une Politique de notification des violations de données.

Les Membres du groupe ont implémenté une Politique de réponse en cas de violations de données à caractère personnel (révisée et mise à jour périodiquement) qui définit la procédure à suivre en cas de violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d’une autre manière, ou l’accès à de telles données (« violation de données à caractère personnel »).

Plus précisément, en cas violation de données à caractère personnel, la personne qui prend connaissance de cette violation des données du Membre du groupe en question en informe le Délégué à la protection des données d’Avature ainsi que l’équipe sécurité, dans un délai raisonnable et dans tous les cas, dans les vingt-quatre (24) heures à compter du moment où elle en prend connaissance, en suivant les étapes définies dans la Politique d’Avature en matière de réponse à une violation de données à caractère personnel.

Une fois que le Délégué à la protection des données d’Avature a reçu les informations concernant la violation de données à caractère personnel, il évaluera, en collaboration avec l’équipe juridique, s’il s’agit d’une violation de données à caractère personnel ou, au contraire, d’un incident de sécurité n’ayant pas affecté les données à caractère personnel.

Une fois ayant conclu que l’incident de sécurité affecte des données à caractère personnel, l’équipe juridique et/ou le Délégué à la protection des données détermineront si la notification est nécessaire à l’autorité de contrôle compétente dans les délais requis (selon la législation européenne en matière de protection des données, sans délai excessif et, dans la mesure du possible, au plus tard 72 heures après en avoir pris connaissance), sauf si la personne concernée a été informée de l’incident de sécurité par le Délégué à la protection des données ou par l’équipe juridique.

Il est peu probable que la violation de données entraîne un risque pour les droits et libertés des personnes concernées. Dans tous les cas, l’équipe juridique et/ou le Délégué à la protection des données veilleront à ce que la violation de données à caractère personnel soit également notifiée sans délai injustifié au Membre du groupe agissant en tant que responsable du traitement, le cas échéant, et au(x) Membre(s) responsable(s) BCR.

Les personnes concernées seront notifiées sans délai injustifié dans les cas où la violation de données à caractère personnel est susceptible d’entraîner un risque élevé pour leurs droits et libertés, sauf si une telle notification n’est pas requise en vertu de la législation européenne en matière de protection des données.

Les violations de données à caractère personnel subies par les Membres du groupe comprenant les faits, les effets de ces incidents et les mesures correctives prises, seront documentées dans un rapport de violation de données à caractère personnel, lequel sera mis à la disposition de l’autorité de contrôle compétente sur demande.

Règle 4C – Les Membres du groupe veilleront à ce que les prestataires de services et les autres entités qui traitent des données à caractère personnel pour leur compte adoptent également des mesures de sécurité appropriées et équivalentes.

Les Membres du groupe qui font appel à un prestataire de services (agissant en tant que sous-traitant) ayant accès aux données à caractère personnel des personnes concernées (p. ex. un prestataire de services de paie) ou à d’autres entités traitant des données à caractère personnel pour leur compte, se conformeront à leurs procédures de diligence raisonnable respectives pour la sélection du sous-traitant afin de s’assurer que ce dernier a mis en place des mesures techniques et organisationnelles de sécurité appropriées pour protéger les données à caractère personnel. Les Membres du groupe imposent par écrit au sous-traitant des obligations contractuelles conformes aux exigences de la législation européenne en matière de protection des données sous la forme d’un accord de traitement des données. Cet accord prévoit au minimum les dispositions suivantes :

• L’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées ;
• Les obligations et les droits du responsable du traitement ;
• Les obligations suivantes pour l’entité agissant en tant que sous-traitant :
  • Traiter les données à caractère personnel uniquement sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf si la loi à laquelle le sous-traitant est soumis l’exige (dans ce cas, le sous-traitant doit informer le responsable du traitement de cette exigence légale avant le traitement, sauf si cette loi interdit une telle information pour des raisons impérieuses d’intérêt public) ;
  • S’assurer que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
  • implémenter les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque que présente le traitement des données à caractère personnel ;
  • Ne pas recourir à d’autres sous-traitants en ce qui concerne les données à caractère personnel sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement et signer, le cas échéant, un accord écrit avec le sous-traitant ultérieur stipulant les mêmes obligations en matière de protection des données que celles énoncées dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant (notamment en fournissant des garanties suffisantes pour implémenter les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la législation européenne en matière de protection des données) ;
  • Compte tenu de la nature du traitement, aider le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s’acquitter de son obligation de répondre aux demandes d’exercice des droits de la personne concernée (voir la règle 5 ci-dessous) ;
  • Aider le responsable du traitement à se conformer aux obligations liées à l’implémentation de mesures de sécurité appropriées, à la réalisation d’analyses d’impact sur la protection des données et aux consultations correspondantes avec les autorités de contrôle, ainsi qu’aux obligations de notification des violations de données à caractère personnel aux autorités de contrôle et aux personnes concernées (le cas échéant) ;
  • Selon le choix du responsable du traitement, supprimer ou restituer toutes les données à caractère personnel au responsable du traitement à l’issue de la prestation des services relatifs au traitement, et supprimer les copies existantes, sauf si la conservation des données à caractère personnel est requise par la loi ;
  • Mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations en tant que sous-traitant, et faciliter ainsi que contribuer aux audits, y compris les inspections, réalisés par le responsable du traitement ou par un autre auditeur mandaté par celui-ci ; et
  • Informer immédiatement le responsable du traitement s’il estime qu’une instruction enfreint la législation européenne en matière de protection des données.

Lorsqu’un Membre du groupe (entité A) traite des données à caractère personnel en tant que sous-traitant pour le compte d’un autre Membre du groupe qui traite des données à caractère personnel agissant en tant que responsable du traitement (entité B), l’entité A agira uniquement sur les instructions documentées de l’Entité B et se conformera aux obligations énoncées dans l’accord de traitement des données applicable.

RÈGLE 5 – RESPECT DES DROITS DES PERSONNES CONCERNÉES

Règle 5 – Les Membres du groupe traiteront les demandes des personnes concernées relatives à leurs droits en matière de protection des données (y compris le droit d’accès, de rectification, d’effacement, de limitation ou de transmission des données à caractère personnel, ainsi que les objections au traitement des données à caractère personnel et le retrait du consentement), conformément à la procédure décrite pour les droits des personnes concernées dans l’Annexe 1.

Sur demande, les personnes concernées peuvent, dans certaines circonstances prévues par la législation européenne en matière de protection des données, demander à bénéficier des droits suivants :

• le droit d’accès en vertu duquel la personne concernée a le droit d’obtenir la confirmation que des données à caractère personnel la concernant font ou non l’objet d’un traitement et, le cas échéant, l’accès aux données à caractère personnel et aux informations sur le traitement, qui comprennent les mêmes éléments que ceux énumérés à la règle 2A ci-dessus ;
• le droit de rectification en vertu duquel la personne concernée a le droit d’obtenir la rectification de toute donnée à caractère personnel qui pourrait être erronée ou incomplète ;
• le droit à l’effacement ou « droit à l’oubli », en vertu duquel la personne concernée a le droit d’obtenir l’effacement de ses données à caractère personnel dans un délai raisonnable lorsque l’un des motifs suivants s’applique : (i) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ; (ii) la personne concernée retire le consentement sur lequel le traitement est fondé et lorsqu’il n’existe pas d’autre motif légal permettant le traitement ; (iii) la personne concernée s’oppose au traitement et, le cas échéant, il n’existe aucun motif légitime prépondérant permettant le traitement ; (iv) les données à caractère personnel ont été traitées illégalement ; (v) les données à caractère personnel doivent être effacées en vertu d’une obligation légale ; ou (vi) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information à un enfant ;
• le droit à la limitation du traitement, en vertu duquel la personne concernée a le droit de demander la limitation du traitement de ses données à caractère personnel lorsque l’un des éléments suivants s’applique :(i) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant la période nécessaire pour vérifier l’exactitude des données à caractère personnel ; (ii) le traitement est illégal et la personne concernée s’oppose à l’effacement des données à caractère personnel et demande plutôt la limitation de leur utilisation ; (iii) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement, mais elles sont requises par la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ; ou (iv) la personne concernée a formé une opposition au traitement en attendant de vérifier si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée ;
• le droit de faire notifier à chaque destinataire auquel les données à caractère personnel ont été communiquées, toute rectification, tout effacement des données à caractère personnel ou toute limitation du traitement, sauf si cela s’avère impossible ou entraîne des efforts disproportionnés. La personne concernée peut également demander à être informée des destinataires en question ;
• le droit à la portabilité des données, en vertu duquel la personne concernée a le droit de recevoir les données à caractère personnel la concernant, qu’elle a fournies à un responsable du traitement, dans un format structuré, et de transmettre ces données à un autre responsable du traitement lorsque le traitement est fondé sur le consentement ou qu’il est nécessaire à l’exécution d’un contrat et que le traitement est effectué par des moyens automatisés ;
• le droit d’opposition, en vertu duquel la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, à tout moment, à un traitement de données à caractère personnel la concernant, fondé sur l’intérêt public ou légitime, y compris le profilage. Le responsable du traitement ne devra plus traiter les données à caractère personnel, à moins que le responsable du traitement ne démontre l’existence de motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. Lorsque des données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de marketing, ce qui inclut le profilage dans la mesure où il est lié à ce marketing, (auquel cas les données à caractère personnel ne seront plus traitées à ces fins) ;
• le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques ou qui a des répercussions significatives sur la personne concernée (le cas échéant). Cette disposition ne s’applique pas si la décision est (i) nécessaire à la conclusion ou à l’exécution d’un contrat ; (ii) autorisée par une loi ; ou (iii) fondée sur le consentement explicite de la personne concernée. Dans les cas visés aux points (i) ou (iii), le responsable du traitement implémentera des mesures appropriées pour garantir les droits, libertés et intérêts légitimes de la personne concernée, y compris, au minimum, le droit d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ; et
• le droit de retirer à tout moment le consentement donné pour un traitement spécifique. Il doit être aussi facile de donner son consentement que de le retirer.

En outre, les personnes concernées ont le droit de déposer une réclamation auprès d’une autorité de contrôle si elles considèrent que le traitement des données à caractère personnel les concernant enfreint la législation européenne en matière de protection des données.

Les Membres du groupe suivront les étapes énoncées dans la procédure relative aux droits des personnes concernées (Annexe 1) lorsqu’ils traiteront de telles demandes.

RÈGLE 6 – ASSURER UNE PROTECTION ADÉQUATE POUR LES TRANSFERTS ET LES TRANSFERTS ULTÉRIEURS

Règle 6 – Les Membres du groupe ne transféreront pas de données à caractère personnel à des tiers en dehors de l’Europe sans assurer une protection adéquate des données à caractère personnel conformément aux normes établies par la présente Politique et à la législation européenne en matière de protection des données.

Les transferts et les transferts ultérieurs de données à caractère personnel des Membres du groupe soumis à la législation européenne en matière de protection des données vers des tiers en dehors de l’Europe ne sont pas autorisés sans que des mesures appropriées soient prises conformément à la législation européenne en matière de protection des données.

Ces mesures peuvent comprendre, entre autres, les éléments suivants :

• la confirmation que le tiers est situé dans un pays où le niveau de protection offert est considéré comme adéquat par la Commission européenne pour les données à caractère personnel transférées ; ou
• la signature de clauses contractuelles standards appropriées et adoptées par la Commission européenne ou d’autres mécanismes similaires à ceux prévus par la législation européenne en matière de protection des données ; ou
• l’assurance que le transfert est nécessaire pour : (i) l’exécution d’un contrat entre la personne concernée et le Membre du groupe qui transfère les données ou pour l’implémentation de mesures précontractuelles prises à la demande de la personne concernée ;(ii) la conclusion ou l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le Membre du groupe qui transfère les données et une autre partie ; (iii) des raisons importantes d’intérêt public ; (iv) l’établissement, l’exercice ou la défense de droits légaux ; (v) la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique et lorsque la personne concernée n’est pas en mesure de donner son consentement ; ou (vi) l’obtention du consentement explicite des personnes concernées, après que celles-ci ont été informées des risques éventuels d’un tel transfert en raison de l’absence de décision d’adéquation et de garanties appropriées.

Ces mesures doivent être implémentées par les Membres du groupe lorsqu’ils sont responsables du traitement ou sous-traitants. Toutefois, et en complément de ce qui précède, les Membres du groupe agissant en tant que sous-traitants ne transféreront des données à caractère personnel en dehors de l’Europe que conformément aux instructions du responsable du traitement, telles qu’elles sont définies dans l’accord de traitement des données concerné.

SECTION B : ENGAGEMENTS CONCRETS

RÈGLE 7 – CONFORMITÉ ET RESPONSABILITÉ

Règle 7A – Les Membres du groupe seront responsables du respect de la présente Politique et pourront en démontrer la conformité. Ils disposeront également du personnel et des ressources nécessaires pour garantir et superviser son application au sein de l’ensemble de l’entreprise.

Avature Group a désigné une équipe de spécialistes de la protection des données (dirigée par un Délégué à la protection des données du groupe) chargée d’assurer et de superviser le respect strict de la présente Politique par tous les Membres du groupe au quotidien. En outre, Avature Group dispose d’une équipe chargée des risques et d’une équipe sécurité qui aident l’équipe chargée de la confidentialité à traiter les aspects techniques de la conformité à la législation sur la protection de la vie privée.

Le Délégué à la protection des données bénéficie du soutien de la direction au plus haut niveau hiérarchique pour l’accomplissement de ses tâches (à laquelle il rend compte directement et qu’il informe également si des questions ou des problèmes se posent dans l’exercice de ses fonctions, comme décrit ci-après), et il a les responsabilités suivantes :

1. diriger l’équipe chargée de la confidentialité, en assurant également la coordination avec l’équipe de gestion des risques et l’équipe sécurité pour les aspects techniques de la conformité en matière de protection de la vie privée ;
2. implémenter/informer et surveiller les pratiques, Politiques et questions liées à la protection de la vie privée au sein d’Avature Group, comprenant l’attribution des responsabilités, la sensibilisation et la formation du personnel impliqué dans les opérations de traitement, ainsi que les audits correspondants ;
3. faire remonter les problèmes à l’encadrement supérieur pour qu’ils soient dûment examinés conformément aux pratiques normales acceptables ;
4. coopérer et collaborer avec les autorités de contrôle compétentes ; et
5. servir de point de contact pour les autorités de contrôle compétentes et les personnes concernées pour les questions ou les demandes relatives au traitement des données à caractère personnel.

L’équipe de spécialistes de la protection des données assiste le Délégué à la protection des données dans le respect des obligations susmentionnées et, plus précisément, dans la gestion de la conformité en matière de protection des données au quotidien (notamment en traitant les plaintes locales des personnes concernées, en surveillant la conformité des Politiques de l’entreprise au niveau local et en signalant au Délégué à la protection des données les problèmes majeurs en matière de protection de la vie privée).
Les Membres du groupe veilleront à ce que les coordonnées du Délégué à la protection des données (ou celles de l’équipe chargée de la confidentialité) soient toujours publiées conjointement avec la Politique.
Lorsque cela s’avère nécessaire pour des raisons de complexité et de volume de la tâche spécifique, l’équipe chargée de la confidentialité est assistée d’un conseiller externe.

Règle 7B – Les Membres du groupe implémenteront des mesures techniques et organisationnelles appropriées, par conception et par défaut, pour permettre et faciliter le respect de la Politique dans la pratique.

Tout en tenant compte de l’état de la technique et du coût de l’implémentation, ainsi que du périmètre, de la nature, du contexte et des finalités du traitement, les Membres du groupe implémenteront des mesures techniques et organisationnelles appropriées qui respectent les principes de la protection des données dès la conception et par défaut, comme l’exige la législation européenne en matière de protection des données. Les Membres du groupe intégreront ces mesures dans le traitement des données lorsqu’ils définiront les moyens et la durée du traitement, afin de faciliter la protection des données à caractère personnel traitées et de garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires pour chaque finalité spécifique du traitement sont traitées.

Règle 7C – Les Membres du groupe qui traitent des données à caractère personnel tiendront un registre écrit (y compris sous forme électronique) de leurs activités de traitement, et mettront ce registre à disposition des autorités de contrôle compétentes sur demande.

Les enregistrements de traitement des données tenus par les Membres du groupe, agissant en tant que responsable du traitement au sein d’Avature Group, comporteront :

• le nom et les coordonnées du Membre du groupe et, le cas échéant, du co-responsable du traitement, du représentant du responsable du traitement et du Délégué à la protection des données ;
• les finalités pour lesquelles les données à caractère personnel sont traitées ;
• une description des catégories de personnes concernées par le traitement des données à caractère personnel et des données à caractère personnel traitées ;
• les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, y compris les destinataires dans les pays tiers ou les organisations internationales ;
• des précisions sur le ou les pays tiers vers lesquels les données à caractère personnel sont transférées, y compris l’identification de ce pays tiers ou de cette organisation internationale et la documentation des garanties appropriées implémentées pour légitimer ces transferts (à moins que le pays n’ait été déclaré adéquat en vertu de la législation européenne en matière de protection des données) ;
• dans la mesure du possible, la durée de conservation des données à caractère personnel ; et
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles utilisées pour protéger les données à caractère personnel.

Les enregistrements de traitement des données tenus par les Membres du groupe, agissant en tant que sous-traitants pour un Membre du groupe qui est responsable du traitement, comporteront :

• le nom et les coordonnées du Membre du groupe et de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du représentant du responsable du traitement ou du sous-traitant et du Délégué à la protection des données ;
• les catégories de traitement effectuées pour le compte de chaque responsable du traitement ;
• des précisions sur le ou les pays tiers vers lesquels les données à caractère personnel sont transférées, y compris l’identification de ce pays tiers ou de cette organisation internationale et la documentation des garanties appropriées implémentées pour légitimer ces transferts (à moins que le pays n’ait été déclaré adéquat en vertu de la législation européenne en matière de protection des données) ; et
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles utilisées pour protéger les données à caractère personnel.

Les registres de traitement des données tenus par les Membres du groupe seront consignés par écrit, y compris sous forme électronique, et seront mis à la disposition des autorités de contrôle compétentes sur demande.

RÈGLE 8 – FORMATION

Règle 8 – Les Membres du groupe fourniront une formation appropriée aux employés ayant un accès permanent ou régulier aux données à caractère personnel, qui participent au traitement des données à caractère personnel ou au développement d’outils utilisés pour traiter ces données à caractère personnel.

Les Membres du groupe fourniront une formation appropriée et actualisée à tous les employés, en particulier à ceux qui ont un accès permanent ou régulier aux données à caractère personnel et/ou qui participent au traitement de ces données à caractère personnel ou au développement d’outils utilisés pour traiter ces données à caractère personnel. Cette formation sera dispensée une fois par an au minimum et portera, entre autres, sur les procédures de gestion des demandes d’accès aux données à caractère personnel par les autorités publiques.

RÈGLE 9 – AUDIT

Règle 9 – Les Membres du groupe se conformeront au Protocole d’audit figurant à l’Annexe 2.

Les Membres du groupe se conformeront au protocole d’audit en procédant à des audits internes réguliers et en autorisant des audits externes si nécessaire, conformément au processus d’évaluation formel stipulé dans le Protocole d’audit. Les résultats de ces audits seront communiqués conformément à l’Annexe 2.

RÈGLE 10 – TRAITEMENT DES RÉCLAMATIONS

Règle 10 – Les Membres du groupe se conformeront à la Procédure de traitement des réclamations décrite à l’Annexe 3.

Les Membres du groupe se conformeront à la procédure de traitement des réclamations décrite à l’Annexe 3 afin de traiter les réclamations des personnes concernées et de prévoir des mesures de protection pour le traitement des données à caractère personnel par les Membres du groupe. Les Membres du groupe permettront également aux tiers bénéficiaires d’exercer leurs droits comme énoncé dans la section C de la présente Politique.

RÈGLE 11 – COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE

Règle 11 – Les Membres du groupe se conformeront à la Procédure de coopération décrite à l’Annexe 4.

Les Membres du groupe se conformeront à la procédure de coopération décrite à l’Annexe 4 et coopéreront, accepteront d’être contrôlés et inspectés, y compris et le cas échéant, sur site, par les autorités de contrôle compétentes en ce qui concerne la présente Politique ; ils tiendront également compte de leurs avis et se conformeront à leurs décisions sur toutes les questions liées à la présente Politique.

ARTICLE 12 – ACTUALISATION DES RÈGLES

Règle 12 – Les Membres du groupe se conformeront à la Procédure de mise à jour définie dans l’Annexe 5.

Les Membres du groupe se conformeront à la procédure de mise à jour figurant dans l’Annexe 5 et communiqueront, sans délai, toute mise à jour de la présente Politique et de la liste des Membres du groupe aux autorités de contrôle compétentes, aux clients concernés et aux Membres du groupe.

RÈGLE 13 – ACTION LORSQUE LA LÉGISLATION NATIONALE A UNE INCIDENCE SUR LA CONFORMITÉ DE LA POLITIQUE

Règle 13A – Les Membres du groupe s’engagent à n’utiliser la présente Politique comme outil de transfert vers les entités d’importatrices que lorsqu’ils ont dûment évalué que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par les entités importatrices, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l’accès des autorités publiques, ne les empêchent pas de s’acquitter des obligations qui leur incombent en vertu de la présente Politique.

Les Membres du groupe n’utiliseront la présente Politique comme outil de protection des transferts internationaux qu’après avoir évalué que la législation et les pratiques des pays tiers de destination applicables au traitement des données à caractère personnel par les entités importatrices, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l’accès des autorités publiques, ne les empêchent pas de s’acquitter des obligations qui leur incombent en vertu de la présente Politique. Il est entendu que la législation et les pratiques qui respectent l’essence des droits et libertés fondamentaux et qui ne vont pas au-delà ce qui est nécessaire et proportionné dans une société démocratique, ne sont pas en contradiction avec la présente Politique.

Lors de l’évaluation de la législation et des pratiques des pays tiers susceptibles d’avoir une incidence sur le respect des engagements stipulés dans la présente Politique, les Membres du groupe tiennent dûment compte des éléments suivants en particulier :

1. les circonstances spécifiques du transfert ou de la série des transferts, et de tout transfert ultérieur envisagé au sein du même pays tiers ou vers un autre pays tiers, y compris :
   • les finalités pour lesquelles les données sont transférées et traitées (p. ex. le marketing, les ressources humaines, le stockage, l’assistance informatique, etc.) ;
   • les types d’entités impliquées dans le traitement (l’entité importatrice et tout autre destinataire d’un transfert ultérieur) ;
   • le secteur économique dans lequel le transfert ou la série des transferts ont lieu ;
   • les catégories et le format des données à caractère personnel transférées ;
   • le lieu du traitement, y compris le stockage ; et
   • les canaux de transmission utilisés ;
2. la législation et les pratiques des pays tiers de destination pertinentes au regard des circonstances du transfert, notamment celles obligeant à divulguer des données aux autorités publiques ou autorisant l’accès de ces autorités, ainsi que celles prévoyant l’accès à ces données pendant le transit entre les pays des entités exportatrices et ceux des entités importatrices, ainsi que les restrictions et garanties applicables ;
3. toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par la présente Politique, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans les pays de destination.
   Lorsque des garanties autres que celles prévues par la présente Politique doivent être mises en place, le Membre responsable BCR et le Délégué à la protection des données en sont informés et participent à l’évaluation.

Les Membres du groupe documentent de manière appropriée cette évaluation ainsi que les mesures supplémentaires sélectionnées et implémentées. Ils mettent cette documentation à la disposition de l’autorité de contrôle compétente sur demande.

Les entités importatrices aviseront rapidement les entités exportatrices dans le cas où, lors de l’utilisation de la présente Politique en tant qu’outil de transfert, et pendant la durée de l’adhésion, ils ont des raisons de croire qu’ils sont ou sont devenus soumis à des lois ou à des pratiques qui les empêcheraient de remplir leurs obligations au titre de la présente Politique, y compris en cas de modification de la législation dans le pays tiers concerné ou suite à une mesure (telle qu’une demande de divulgation). Cette information devra également être communiquée au Membre responsable BCR.

Après vérification de la notification, l’entité exportatrice concernée, ainsi que le Membre responsable BCR et le Délégué à la protection des données, s’engagent à identifier rapidement des mesures supplémentaires (p. ex. des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l’entité exportatrice et/ou l’entité importatrice afin de leur permettre de remplir leurs obligations au titre de la présente Politique. Il en sera de même si une entité exportatrice a des raisons de croire qu’une entité importatrice n’est plus en mesure de remplir ses obligations au titre de la présente Politique.

Lorsque l’entité exportatrice concernée, ainsi que le Membre responsable BCR et le Délégué à la protection des données, estiment que la Politique, même accompagnée de mesures supplémentaires, ne peut être respectée pour un transfert ou une série de transferts, ou si cela leur est demandé par l’autorité de contrôle compétente, elle s’engage à suspendre le transfert ou la série de transferts en question, ainsi que tous les transferts pour lesquels la même évaluation et le même raisonnement aboutiraient à un résultat similaire, jusqu’à ce que la conformité soit à nouveau garantie ou que le transfert prenne fin.

À la suite d’une telle suspension, l’entité exportatrice doit mettre fin au transfert ou à la série de transferts si la présente Politique ne peut être respectée et si la conformité avec la présente Politique n’est pas rétablie dans un délai d’un mois à compter de la suspension. Dans ce cas, les données à caractère personnel qui ont été transférées avant la suspension, ainsi que toute copie de ces données, doivent, au choix de l’entité exportatrice, lui être renvoyées ou être détruites dans leur intégralité.

Le Membre responsable BCR et le Délégué à la protection des données informeront tous les autres Membres du groupe de l’évaluation effectuée et de ses résultats afin que les mesures supplémentaires identifiées soient appliquées dans le cas où le même type de transferts serait effectué par un autre Membre du groupe ou, si des mesures supplémentaires efficaces ne pouvaient être mises en place, et les transferts en question seront suspendus ou prendront fin.

Les entités exportatrices surveillent également, de manière continue et, le cas échéant, en collaboration avec les entités importatrices, les développements dans les pays tiers vers lesquels les entités exportatrices ont transféré des données à caractère personnel, pouvant avoir une incidence sur l’évaluation initiale du niveau de protection et sur les décisions prises en conséquence concernant ces transferts.

Règle 13B – Les entités importatrices s’assureront, lorsqu’elles reçoivent une demande juridiquement contraignante de la part d’une autorité publique en vertu des lois du pays de destination concernant la divulgation de données à caractère personnel transférées conformément à la Politique ou lorsqu’elles ont connaissance d’un accès direct par les autorités publiques aux données à caractère personnel transférées conformément à la Politique en vertu des lois du pays de destination, d’aviser rapidement l’entité exportatrice et, si possible, la personne concernée (si nécessaire avec l’aide de l’entité exportatrice).

Les entités importatrices aviseront rapidement l’entité exportatrice concernée et, si possible, la personne concernée (si nécessaire, avec l’aide de l’entité exportatrice) lorsqu’elle :

• reçoit une demande juridiquement contraignante de la part d’une autorité publique en vertu de la législation du pays de destination, ou d’un autre pays tiers, en vue de la divulgation de données à caractère personnel transférées conformément à la Politique (cette notification comprendra des informations relatives aux données à caractère personnel demandées, à l’autorité requérante, au fondement juridique de la demande et à la réponse fournie) ; ou
• prend connaissance d’un accès direct des autorités publiques aux données à caractère personnel transférées en vertu de la Politique, conformément aux lois du pays de destination (cette notification comprendra toutes les informations dont dispose l’entité importatrice).

S’il lui est interdit de notifier l’entité exportatrice et/ou la personne concernée, l’entité importatrice s’efforcera d’obtenir une levée de l’interdiction, en vue de communiquer autant d’informations que possible et dans les meilleurs délais, et documentera ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’entité exportatrice.

L’entité importatrice fournira à l’entité exportatrice, à intervalles réguliers, autant d’informations pertinentes que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, l’autorité ou les autorités requérantes, si ces demandes ont été contestées et l’issue de ces contestations, etc.). S’il est partiellement ou totalement interdit à l’entité importatrice de fournir à l’entité exportatrice les informations susmentionnées, elle en informe l’entité importatrice sans délai injustifié.

L’entité importatrice conservera les informations susmentionnées aussi longtemps que les données seront soumises aux garanties prévues par la Politique et les mettra à la disposition de l’autorité de contrôle compétente sur demande.

L’entité importatrice examinera la légalité de la demande de divulgation, notamment si elle reste dans le cadre des pouvoirs accordés à l’autorité publique requérante, et contestera la demande si, après une évaluation minutieuse, elle conclue qu’il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de réciprocité internationale. L’entité importatrice exerce, dans les mêmes conditions, des possibilités de recours. Lorsqu’elle conteste une demande, l’entité importatrice cherche à obtenir des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait statué sur son bien-fondé. Elle ne divulgue pas les données à caractère personnel demandées tant qu’elle n’y est pas contrainte par les règles de procédure en vigueur.

L’entité importatrice documentera son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, mettra la documentation à la disposition de l’entité exportatrice. Elle la met également à la disposition de l’autorité de contrôle compétente sur demande.

L’entité importatrice fournira la quantité minimale d’informations autorisée lorsqu’elle répondra à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
En tout état de cause, les Membres du groupe veilleront à ce que les transferts de données à caractère personnel qu’ils effectuent vers une autorité publique en vertu de la présente Politique ne soient pas de grande ampleur, disproportionnés ou indiscriminés d’une manière qui irait au-delà de ce qui est nécessaire dans une société démocratique.

Lorsque le traitement est effectué par un Membre du groupe agissant en tant que sous-traitant, en vertu de la présente Politique, il notifie également, sans délai injustifié, le Membre du groupe agissant en tant que responsable du traitement.

RÈGLE 14 – NON-RESPECT DE LA POLITIQUE ET RÉSILIATION

Règle 14A – Les Membres du groupe ne transféreront des données à caractère personnel qu’à d’autres Membres du groupe qui sont effectivement liés par la Politique et peuvent s’y conformer.

Aucun transfert ne sera effectué à un Membre du groupe à moins que ce Membre du groupe ne soit effectivement lié par la Politique et ne puisse s’y conformer. Lorsqu’une entité importatrice est dans l’incapacité de se conformer à la Politique, quelle qu’en soit la raison, elle en informe immédiatement l’entité exportatrice. Si l’entité importatrice enfreint la Politique ou n’est pas en mesure de s’y conformer, l’entité exportatrice suspend ou n’effectue pas le transfert.
L’entité importatrice, au choix de l’entité exportatrice, restitue ou supprime immédiatement les données à caractère personnel qui ont été transférées dans le cadre de la Politique dans leur intégralité lorsque :

• l’entité exportatrice a suspendu le transfert, et la conformité de la présente Politique n’est pas rétablie dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ; ou
• l’entité importatrice enfreint de manière substantielle ou persistante la Politique ; ou
• l’entité importatrice ne se conforme pas à une décision contraignante d’un tribunal compétent ou d’une autorité de contrôle concernant ses obligations en vertu de la Politique.

Cela vaut également pour toute copie des données. L’entité importatrice certifie la suppression des données à l’entité exportatrice. Jusqu’à la suppression ou la restitution des données, l’entité importatrice continue de veiller au respect de la Politique. Si la législation locale applicable interdit au Membre du groupe de restituer ou de supprimer les données à caractère personnel transférées, le Membre du groupe garantit qu’il continuera d’assurer le respect de la Politique et qu’il ne traitera les données que dans la mesure et pour la durée requises par la loi.

Règle 14B – L’entité importatrice qui n’est plus liée à la Politique veillera à ce que les données à caractère personnel soient conservées, restituées ou supprimées de manière appropriée, selon le cas.

Une entité importatrice qui cesse d’être liée par la Politique peut conserver, restituer ou supprimer les données à caractère personnel reçues en vertu de la présente Politique. Si l’entité exportatrice et l’entité importatrice consentent que les données puissent être conservées par l’entité importatrice, une protection similaire à celle requise au titre du chapitre V du RGPD doit être maintenue.

SECTION C : DROITS DES TIERS BÉNÉFICIAIRES

C.1 Les personnes concernées dont les données à caractère personnel sont transférées à une entité importatrice doivent pouvoir bénéficier de certains droits en tant que tiers bénéficiaires afin de garantir le respect des points suivants :

• Règles 1B et 1C de la Politique (concernant l’équité, la légalité et le traitement de catégories particulières de données à caractère personnel) ;
• Règle 2 de la Politique (concernant la transparence et la limitation des objectifs) ;
• Règle 3 de la Politique (concernant la minimisation et l’exactitude des données et les périodes de stockage limitées) ;
• Règle 4 de la Politique (concernant la sécurité des données à caractère personnel et les obligations de notification des violations de données) ;
• Règle 5 de la Politique (concernant les droits des personnes concernées au sujet de leurs données à caractère personnel) ;
• Règle 6 de la Politique (concernant les transferts et les transferts ultérieurs) ;
• Règle 10 de la Politique (concernant le traitement des réclamations) ;
• Règle 11 de la Politique (concernant la coopération avec les autorités de contrôle) ;
• Règle 12 de la Politique (concernant la procédure de mise à jour de la présente Politique) ;
• Règle 13 de la Politique (concernant l’intervention lorsque la législation nationale a une incidence sur le respect de la Politique) ;
• Les dispositions des points C1 à C3 accordant des droits de tiers bénéficiaire et fixant les règles de responsabilité et de compétence en vertu de la Politique ; et
• Le droit d’accéder à la Politique via www.avature.net/legal, le wiki interne disponible ici, ou d’obtenir une copie papier de la Politique ainsi qu’une liste des Membres du groupe liés par la présente Politique via le formulaire en ligne d’Avature Group disponible ici https://www.avature.net/contact-privacy-officer/.

En procédant comme suit :

• déposer une réclamation : les personnes concernées peuvent déposer une réclamation auprès d’un Membre du groupe (conformément à la procédure de traitement des réclamations décrite à l’Annexe 3) et/ou auprès de l’autorité de contrôle compétente de l’État membre dans lequel la violation présumée s’est produite, ou dans lequel la personne concernée travaille ou réside habituellement ; et/ou
• engager des poursuites : les personnes concernées peuvent intenter une action devant les tribunaux d’un État membre où se situe l’établissement du Membre du groupe, ou dans l’État membre où se situe la résidence habituelle de la personne concernée.

Ces droits ne s’étendent pas aux éléments de la Politique relatifs aux mécanismes internes implémentés au sein des Membres du groupe, tels que les détails de la formation, le programme d’audit, le réseau de conformité et le mécanisme de mise à jour de ces derniers.

En outre, les Membres du groupe acceptent que les personnes concernées puissent être représentées par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l’article 80 (1) du RGPD.

C.2 Les personnes concernées peuvent également demander réparation auprès du Membre responsable BCR, qui s’engage à prendre les mesures nécessaires pour remédier à toute violation des dispositions énumérées à la sous-section C1 par une entité importatrice, et à indemniser les personnes concernées pour tout préjudice matériel ou moral subi à la suite d’une violation des dispositions énumérées à la section C1 par une entité importatrice, conformément à la décision d’un tribunal ou d’une autre autorité compétente.

C.3 Pour éviter toute ambiguïté, les personnes concernées bénéficieront des droits des tiers bénéficiaires tels que décrits dans la présente section C et les tribunaux européens ou les autorités de contrôle habilitées auront compétence comme si la violation des dispositions décrites dans la présente section C ou de l’une d’entre elles avait été causée par le Membre responsable BCR.

C.4 Dans le cas d’une réclamation dans laquelle une personne concernée a subi un préjudice et où cette personne peut démontrer qu’il est probable que ce préjudice résulte d’une violation de la présente Politique, les Membres du groupe ont convenu que la charge de la preuve, visant à démontrer qu’une entité importatrice n’est pas responsable de la violation, ou qu’aucune violation n’a eu lieu, incombera au Membre responsable BCR.

PARTIE III : ANNEXES

ANNEXE 1

PROCÉDURE RELATIVE AUX DROITS DES PERSONNES CONCERNÉES

Lorsqu’un Membre du groupe agit en tant que responsable du traitement des données à caractère personnel

1. Introduction
   1. Lorsqu’un Membre du groupe traite des données à caractère personnel pour ses propres besoins, il est considéré comme responsable du traitement de ces informations et est donc le premier responsable du respect des exigences de la législation applicable en ce qui concerne l’exercice des droits des personnes concernées.
   2. Toutes les personnes dont les données à caractère personnel sont traitées en vertu du RGPD et conformément à la présente Politique bénéficient du :
      • droit d’être informées par le Membre du groupe pertinent si des données à caractère personnel les concernant sont traitées par ledit Membre du groupe et, lorsque c’est le cas et que le Membre du groupe traite effectivement leurs données à caractère personnel, elles ont le droit d’y accéder (ce que l’on appelle le droit d’accès) ; et
      • droit à la portabilité des données à caractère personnel, le droit de les rectifier, les effacer, les restreindre et/ou de s’opposer à leur traitement.
   3. En outre, lorsque des données à caractère personnel sont transférées à un autre Membre du groupe en dehors de l’Europe, ces données à caractère personnel continueront de bénéficier des droits visés au point 1.2 ci-dessus et ces droits seront traités conformément aux dispositions de la présente procédure relative aux droits des personnes concernées (la « Procédure ») et à la Politique d’Avature en matière de réponse aux droits des personnes concernées.
   4. La présente procédure explique comment les Membres du groupe traitent les demandes relatives aux données à caractère personnel qui entrent dans les catégories visées aux points 1.2 et 1.3 ci-dessus (dénommées « Demande d’exercice de droits » dans la présente procédure). Lorsque la législation locale applicable diffère de la présente procédure et exige un niveau plus élevé de protection des données à caractère personnel, alors la législation locale sur la protection des données prévaudra.
   5. Les informations sur la manière dont les personnes concernées peuvent exercer les droits décrits au point 1.2 ci-dessus figurent également dans les déclarations de traitement équitable fournies aux personnes concernées par les Membres du groupe.
   6. Les demandes émanant des personnes concernées relatives aux droits décrits à la section 1.2 ci-dessus peuvent être effectuées, de préférence, par le biais du formulaire sur le site Web correspondant, disponible ici.
2. Les droits des personnes concernées
   1. Une personne concernée qui adresse une demande d’exercice de droits à un Membre du groupe lorsque ce dernier est responsable du traitement des données à caractère personnelles demandées a le droit de :
      • être informée du fait que le Membre du groupe traite des données à caractère personnel la concernant ;
      • recevoir une description de :
        1. la finalité du traitement des données à caractère personnel ;
        2. les catégories de données à caractère personnel traitées ;
        3. les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont ou peuvent être divulguées par le Membre du groupe ;
        4. dans la mesure du possible, la durée envisagée pour la conservation des données à caractère personnel ou les critères utilisés pour déterminer cette durée ;
        5. l’existence des droits à la rectification, à l’effacement, à la limitation du traitement, à l’opposition au traitement, ainsi qu’à retirer son consentement ou à déposer une réclamation auprès d’une autorité de contrôle ;
        6. la source des données à caractère personnel et les catégories de données à caractère personnel concernées, si elles n’ont pas été collectées auprès de la personne concernée ;
        7. les garanties mises en place en cas de transfert de données à caractère personnel vers un pays tiers ;
        8. la logique impliquée (dans la mesure où la législation locale applicable l’exige) et la portée et les conséquences de toute prise de décision effectuée par des moyens automatiques, dont le profilage ;
      • recevoir une copie des données à caractère personnel détenues par le Membre du groupe. Si la demande est effectuée par voie électronique, les informations sont fournies par voie électronique, sauf indication contraire de la part de la personne concernée ayant formulé la demande ;
      • exiger la rectification, l’effacement, la limitation et la portabilité de leurs données à caractère personnel ;
      • ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques ou qui a des effets similaires significatifs ; et/ou
      • s’opposer au traitement de ses données à caractère personnel.
3. Réception d’une demande
   1. Si un Membre du groupe, y compris un Membre du groupe non européen, reçoit une demande d’une personne concernée relative aux droits décrits au point 1.2 ci-dessus, cette demande doit être transmise au bureau du Délégué à la protection des données dès réception, en indiquant la date de réception, ainsi que toute autre information susceptible d’aider le Délégué à la protection des données à traiter la demande. Le Délégué à la protection des données traitera la demande conformément à la Politique de réponse aux droits des personnes concernées d’Avature.
   2. Lorsque le Délégué à la protection des données a des doutes raisonnables concernant l’identité de la personne concernée, il peut demander toute information raisonnablement nécessaire pour confirmer l’identité de la personne concernée à l’origine de la demande.
   3. Le Délégué à la protection des données doit traiter une demande d’exercice de droits sans délai injustifié et, en tout état de cause, dans un délai d’un (1) mois civil à compter de sa réception. Le Délégué à la protection des données peut prolonger ce délai de deux (2) mois civils supplémentaires si nécessaire, en tenant compte de la complexité et du nombre des demandes. En cas de prolongation du délai, le Délégué à la protection des données en informera la personne concernée dans un délai d’un mois à compter de la réception de sa demande, en indiquant les raisons du retard.
   4. Le Délégué à la protection des données contactera la personne concernée par écrit pour confirmer la réception de la demande d’exercice de droits, demander la confirmation de l’identité ou des informations complémentaires (par ex. des précisions sur les activités de traitement auxquelles la demande se rapporte), si nécessaire, ou rejeter la demande conformément à la section 4 ci-dessous.
4. Refus d’une demande d’exercice de droits
   1. Une demande d’exercice de droits peut être refusée pour les motifs suivants :
      • lorsque la demande est adressée à un Membre du groupe européen et concerne le traitement de données à caractère personnel par ce Membre du groupe, si :
        1. le refus est conforme à la loi sur la protection des données dans la juridiction de laquelle dépend le Membre du groupe ; ou
        2. le Membre du groupe démontre que la demande est manifestement infondée ou excessive ; ou
      • lorsque la demande d’exercice de droits est adressée à un Membre du groupe non européen et qu’il n’est pas en mesure de traiter la demande conformément à la section 3, le Membre du groupe non européen concerné ne refusera la demande que si les motifs de ce refus sont conformes à la législation sur la protection des données applicable dans la juridiction européenne depuis laquelle les données à caractère personnel ont été transférées.
   2. Le Délégué à la protection des données informe la personne concernée des motifs du refus de la demande dans un délai d’un (1) mois à compter de la réception de la demande, ainsi que de son droit de déposer une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel en rapport avec le refus.
5. Réponse du Membre du groupe
   1. Le Délégué à la protection des données, suivant les étapes indiquées dans la Politique de réponse aux droits des personnes concernées d’Avature, organisera avec les différents services du secteur d’activité concerné d’Avature Group une recherche dans tous les systèmes d’archivage électroniques et papier en rapport avec la demande.
   2. Le Délégué à la protection des données peut soumettre tout cas complexe à des conseillers externes pour avis, en particulier lorsque la demande comprend des informations relatives à des tiers ou lorsque la divulgation de données à caractère personnel pourrait porter atteinte à la confidentialité commerciale ou aux procédures judiciaires.
   3. Lorsque la demande d’exercice de droits est une demande d’accès, les données à caractère personnel demandées sont rassemblées sous un format facilement compréhensible. Une lettre d’accompagnement sera élaborée par le Délégué à la protection des données et contiendra les informations à fournir en réponse à la demande d’exercice de droits.
   4. Si la demande d’exercice de droits concerne l’effacement, la rectification, la limitation du traitement ou la portabilité des données à caractère personnel, ou s’il s’agit d’une objection au traitement lorsque le Membre du groupe est responsable du traitement de ces données à caractère personnel, cette demande doit être examinée et traitée de manière appropriée par le Délégué à la protection des données. Notamment :
      • si la demande d’exercice de droits fait état d’un changement ou d’une inexactitude dans les données à caractère personnel d’une personne concernée, lorsque le Membre du groupe est responsable du traitement de ces données à caractère personnel, ces informations doivent être rectifiées ou mises à jour en conséquence si le Membre du groupe estime qu’il existe une base légitime pour procéder ainsi ;
      • lorsque, à la suite d’une demande d’exercice de droits, le Membre du groupe efface, anonymise, met à jour, corrige les données à caractère personnel ou limite leur traitement, soit en sa qualité de responsable du traitement, soit sur instruction d’un Membre du groupe (agissant en tant que responsable du traitement) lorsqu’il agit en tant que sous-traitant conformément à la section 6 ci-dessous, le Membre du groupe en informera les autres Membres du groupe ou tout sous-traitant ultérieur à qui les données à caractère personnel ont été communiquées, afin qu’ils puissent également mettre à jour leurs enregistrements.
   5. Si la demande d’exercice de droits adressée au Membre du groupe en tant que responsable du traitement consiste à effacer les données à caractère personnel de la personne concernée conformément aux dispositions de la législation locale applicable, la question sera examinée par le Délégué à la protection des données. Lorsque le traitement effectué par le Membre du groupe est requis ou autorisé par la loi, ou est nécessaire à l’exercice du droit à la liberté d’expression et d’information, la demande sera rejetée.
   6. Toutes les questions relatives à cette procédure doivent être adressées au Délégué à la protection des données.

Lorsqu’un Membre du groupe agit en tant que sous-traitant

1. Demandes adressées au Membre du groupe lorsque celui-ci est un sous-traitant
   1. Lorsqu’un Membre du groupe traite des informations pour le compte d’un responsable du traitement (p. ex. un autre Membre du groupe auquel il fournit un service), l’ancien Membre du groupe est considéré comme sous-traitant des données à caractère personnel et ce dernier, en tant que responsable du traitement, sera principalement responsable du respect des exigences légales en vertu de la législation locale applicable. Cela signifie que lorsqu’un Membre du groupe agit en tant que sous-traitant, le Membre du groupe agissant en tant que responsable du traitement conserve la responsabilité de se conformer à la législation locale applicable.
   2. Certaines obligations en matière de protection des données sont transmises aux Membres du groupe agissant en tant que sous-traitants sur la base des engagements contractuels pris avec les Membres du groupe agissant en tant que responsables du traitement. Plus précisément, le Membre du groupe agissant en tant que sous-traitant doit procéder conformément aux instructions du Membre du groupe agissant en tant que responsable du traitement et prendre toutes les mesures raisonnablement nécessaires pour permettre au responsable du traitement de se conformer à son obligation de respecter les droits des personnes concernées. Cela signifie que si un Membre du groupe reçoit une demande émanant d’une personne concernée pour exercer ses droits en vertu de la législation locale applicable en sa qualité de sous-traitant pour le compte d’un autre Membre du groupe, il doit transmettre rapidement cette demande au Membre du groupe concerné agissant en tant que responsable du traitement et s’abstenir de répondre à la demande à moins d’y être expressément autorisé.
   3. Lorsque, conformément au point 5.4 ci-dessus, le Membre du groupe (agissant en tant que sous-traitant) est informé par le Membre du groupe (agissant en tant que responsable du traitement) d’une demande d’effacement, de rectification ou de limitation concernant des données à caractère personnel qui ont été précédemment divulguées par ledit Membre du groupe, le Membre du groupe (agissant en tant que sous-traitant) mettra à jour ses enregistrements en conséquence.

ANNEXE 2

PROTOCOLE D’AUDIT

1. Le contexte
   1. Les Membres du groupe sont tenus de vérifier leur conformité avec la Politique et de remplir certaines conditions à cet effet. Le présent document décrit la façon dont les Membres du groupe gèrent ces exigences.
   2. Le rôle du Délégué à la protection des données et de l’équipe chargée de la confidentialité d’Avature consiste à fournir des conseils sur le traitement des données à caractère personnel soumises à la Politique, ainsi qu’à évaluer le traitement des données à caractère personnel par les Membres du groupe en fonction des risques potentiels liés à la protection de la vie privée dans le cadre des activités quotidiennes. Le traitement des données à caractère personnel fait donc l’objet d’un examen détaillé et d’une évaluation de façon continue. En conséquence, bien que le présent protocole d’audit décrive le processus d’évaluation formel adopté par les Membres du groupe afin de garantir le respect de la Politique, comme l’exigent les autorités de contrôle compétentes, il ne s’agit que d’un moyen parmi d’autres pour les Membres du groupe de s’assurer que les dispositions de la Politique sont respectées et que des mesures correctives sont prises, le cas échéant.
2. L’approche
   1. Vue d’ensemble des audits
      1. Le respect de la Politique est supervisé au quotidien par le Délégué à la protection des données et l’équipe chargée de la confidentialité.
      2. L’entité chargée de procéder aux audits de conformité à la Politique et de veiller à ce que ces audits portent sur tous les aspects de la Politique peut varier en fonction des circonstances spécifiques du Membre du groupe concerné. En règle générale, les audits sont réalisés par le Délégué à la protection des données d’Avature (dont l’indépendance est garantie dans l’exercice de ses fonctions liées à ces audits), par des auditeurs internes ou externes, selon le cas. L’auditeur concerné est chargé de veiller à ce que tout problème ou cas de non-conformité soit porté à l’attention du Délégué à la protection des données et que toute action corrective visant à garantir la conformité soit implémentée dans un délai raisonnable.
   2. Calendrier et périmètre de l’audit
      1. Comme indiqué ci-dessus, le Délégué à la protection des données déterminera le calendrier des audits. La Politique fera l’objet d’un audit :
         • tous les vingt-quatre (24) mois, conformément à la (aux) procédure(s) d’audit d’Avature Group ; et/ou
         • plus fréquemment, à la demande et/ou lorsque cela s’avère nécessaire selon le Délégué à la protection des données.
      2. Dans le même ordre d’idées, le champ d’application et l’étendue de l’audit réalisé seront déterminés par le délégué à la protection des données sur la base d’une analyse fondée sur les risques, qui prendra en compte des critères pertinents tels que : les domaines de non-conformité connus ; les domaines actuellement visés par la réglementation ; les domaines présentant des risques spécifiques ou nouveaux pour l’entreprise ; les domaines dans lesquels des changements ont été apportés aux systèmes ou aux processus utilisés pour protéger les informations ; les domaines dans lesquels des conclusions d’audit ou des réclamations ont été formulées précédemment ; la période écoulée depuis le dernier examen ; la nature, la méthode et le lieu de traitement des données à caractère personnel ; les systèmes informatiques, les applications et les bases de données pertinentes ; les transferts ultérieurs ; et les problèmes résultant de conflits de lois ou de la gestion des fournisseurs.
   3. Les auditeurs
      1. L’audit des procédures et des contrôles mis en place pour l’exécution des engagements pris et énoncés dans la Politique sera réalisé par le Délégué à la protection des données et l’équipe chargée de la protection de la confidentialité, ou par des auditeurs externes accrédités, selon le cas. Lorsque les audits sont réalisés par des auditeurs externes, les conditions suivantes au moins doivent être remplies :
         • procéder à un contrôle préalable adéquat en amont de la sélection afin de s’assurer que les auditeurs concernés possèdent les qualifications et le statut appropriés pour contribuer à cet exercice ; et
         • mettre en place un accord avec ces derniers afin de réglementer la fourniture de leurs services conformément à la réglementation applicable
   4. Indépendance
      1. Les personnes chargées de décider du programme d’audit ou de conduire les audits bénéficient d’une garantie d’indépendance dans l’exercice de leurs fonctions.
   5. Rapport
      1. À l’issue de l’audit, et en fonction de sa nature, le rapport et les conclusions sont mis à la disposition du Délégué à la protection des données, du Directeur général d’Avature, du conseil d’administration du Membre responsable BCR et, des différents Membres du groupe lorsque l’audit a identifié des activités de traitement des données qui doivent être réexaminées en tenant compte des conclusions de l’audit. Le rapport d’audit contiendra également des détails sur toute mesure corrective requise, des recommandations et des délais pour la mise en œuvre de ces mesures. Le cas échéant, le résultat peut également être communiqué au conseil d’administration de la société mère d’Avature Group.
      2. Sur demande, les Membres du groupe ont accepté de fournir une copie des résultats de tout audit de la Politique à toute autorité de contrôle compétente qui, en recevant les résultats de l’audit, se verra rappeler son obligation de secret professionnel en vertu de la législation européenne en matière de protection des données.
      3. Le Délégué à la protection des données est chargé d’assurer la liaison avec les autorités de contrôle compétentes afin de fournir les informations susmentionnées.

ANNEXE 3

PROCÉDURE DE TRAITEMENT DES RÉCLAMATIONS

1. Introduction
   1. La présente procédure de traitement des réclamations a pour objet d’expliquer la façon de gérer les réclamations déposées par une personne concernée dont les données à caractère personnel sont traitées par les Membres du groupe en vertu de la Politique.
2. Comment les personnes concernées peuvent-elles déposer une réclamation ?
   1. Toutes les réclamations des personnes concernées ayant été déposées en vertu de la Politique, qu’un Membre du groupe collecte et/ou utilise des données à caractère personnel pour son propre compte ou pour le compte d’un autre Membre du groupe, peuvent être soumises par écrit (y compris par courrier électronique) au Délégué à la protection des données. Le Délégué à la protection des données peut être contacté par le biais du formulaire en ligne d’Avature Group, disponible à l’adresse suivante : https://www.avature.net/contact-privacy-officer/.
3. Qui traite les réclamations ?
   1. Le Délégué à la protection des données, avec le soutien de l’équipe chargée de la confidentialité, traitera toutes les réclamations déposées en vertu de la Politique relative au traitement des données à caractère personnel. Le Délégué à la protection des données se mettra en rapport avec les unités commerciales concernées pour examiner la réclamation et coordonnera une réponse (qui comprendra des informations sur les mesures prises auprès du plaignant).
   2. Quel est le délai de réponse ?
      • Le Délégué à la protection des données, avec le soutien de l’équipe chargée de la confidentialité, accusera réception de la réclamation de la personne concernée dans un délai de dix (10) jours ouvrables, procédera à une enquête et fournira une réponse substantielle dans un délai d’un (1) mois calendaire. Si, en raison de la complexité de la réclamation ou du nombre de demandes, une réponse substantielle ne peut être fournie dans ce délai, le Délégué à la protection des données, avec le soutien de l’équipe chargée de la confidentialité, informera la personne concernée de la raison du retard dans un délai d’un (1) mois civil à compter de la réception de la réclamation et lui fournira une estimation raisonnable (n’excédant pas deux (2) mois civils supplémentaires à partir de la date à laquelle la personne concernée a été informée de la prolongation) du délai dans lequel une réponse sera apportée.
      • Si le délai de réponse n’est pas respecté et que la réponse à la réclamation est retardée sans raison clairement expliquée, la personne concernée peut notifier ce fait au Délégué à la protection des données, qui, sans délai injustifié et en tout état de cause dans un délai de dix (10) jours ouvrables, expliquera les raisons de ce retard et informera la personne concernée des actions entreprises jusqu’à présent. L’affaire sera soumise au directeur des affaires juridiques d’Avature (accompagné d’un rapport motivé déterminant les mesures à prendre) qui examinera l’affaire et conseillera le Délégué à la protection des données sur la manière de résoudre les problèmes soulevés par la réclamation dès que possible et, en tout état de cause, dans un délai de dix (10) jours ouvrables. En tout état de cause, la personne concernée peut également faire usage des droits décrits à la section 3.4 ci-dessous.
   3. Lorsque le plaignant conteste une conclusion ou le rejet d’une réclamation
      • Si une réclamation est considérée comme fondée, le Délégué à la protection des données prendra les mesures nécessaires pour résoudre le problème soulevé par la personne concernée et l’en informera.
      • Si le plaignant conteste la réponse du Délégué à la protection des données (notamment si cette réponse consiste en un refus de traiter la réclamation) ou tout aspect d’une conclusion, et qu’il en informe le Membre du groupe concerné, l’affaire sera renvoyée au directeur des affaires juridiques d’Avature qui examinera le dossier et informera le plaignant de sa décision d’accepter la conclusion initiale ou d’y substituer une nouvelle conclusion. Le directeur des affaires juridiques d’Avature répondra au plaignant dans un délai d’un (1) mois calendaire à compter de la saisine. Si, en raison de la complexité de la réclamation, une réponse de fond ne peut être donnée dans ce délai, le directeur des affaires juridiques d’Avature informera le plaignant de la raison du retard dans un délai d’un (1) mois civil à compter de la réception de la saisine, et fournira une estimation raisonnable du délai (n’excédant pas deux (2) mois civils supplémentaires) dans lequel une réponse sera apportée. Si la réclamation s’avère fondée, le directeur des affaires juridiques d’Avature veillera à ce que les mesures nécessaires soient prises en conséquence.
   4. Les personnes concernées dont les données à caractère personnel sont traitées conformément à la législation européenne en matière de protection des données ont également le droit de : (i) déposer une réclamation auprès d’une autorité de contrôle compétente dans l’État membre où la violation présumée s’est produite, ou dans lequel la personne concernée travaille ou réside habituellement ; (ii) et/ou introduire une action en justice devant un tribunal compétent, c’est-à-dire un tribunal du pays européen où le Membre du groupe est établi ou du pays européen où la personne réside. Ces droits s’appliquent, indépendamment du fait qu’elles aient ou non d’abord déposé une réclamation auprès d’un Membre du groupe.

ANNEXE 4

PROCEDURE DE COOPÉRATION

1. Introduction
   1. La présente procédure de coopération définit la manière dont les Membres du groupe coopéreront, accepteront d’être contrôlés et inspectés, y compris, le cas échéant, sur site, par les autorités de contrôle compétentes en ce qui concerne la présente Politique ; ils tiendront également compte de leurs avis et se conformeront à leurs décisions sur toutes les questions liées à la présente Politique.
2. Procédure de coopération
   1. Le cas échéant, les Membres du groupe mettront à disposition le personnel compétent pour dialoguer avec une autorité de contrôle au sujet de la Politique.
   2. Les Membres du groupe examineront avec soin et prendront en considération les points suivants :
      1. toute décision prise par les autorités de contrôle compétentes sur toute question juridique en matière de protection des données susceptible d’affecter la Politique ; et
      2. les avis du Conseil européen de la protection des données, ainsi que de tout organisme successeur, tels qu’énoncés dans les directives publiées par l’UE concernant les règles d’entreprise contraignantes pour les responsables du traitement.
   3. Sur demande, le Délégué à la protection des données fournira des copies des résultats de tout audit de la Politique conformément à l’Annexe 2 aux autorités de contrôle compétentes, ainsi que toute information sur les opérations de traitement couvertes par la Politique, qui, dès réception de ces informations, se voient rappeler leur obligation de secret professionnel en vertu de la législation européenne en matière de protection des données.
   4. Les Membres du groupe acceptent que les autorités de contrôle puissent procéder à un audit ou à une inspection de la protection des données, y compris et le cas échéant, sur site, auprès de ce Membre du groupe, conformément à la législation locale applicable.
   5. Lorsqu’un Membre du groupe est situé dans la juridiction d’une autorité de contrôle basée en Europe, les Membres du groupe reconnaissent que toute autorité de contrôle peut auditer ce Membre du groupe afin de vérifier la conformité avec la présente Politique, conformément à la législation applicable dans le pays où le Membre du groupe est situé.
   6. Tous les Membres du groupe acceptent d’être audités par les autorités de contrôle conformément aux procédures d’audit applicables de ces autorités.
   7. Les Membres du groupe acceptent de tenir compte des avis et de se conformer aux décisions formelles d’une autorité de contrôle compétente concernant l’interprétation et l’application de la présente Politique, sans préjudice de tout droit d’appel de ces décisions formelles.
   8. Les Membres du groupe conviennent que tout litige relatif à l’exercice, par une autorité de contrôle compétente, de ses pouvoirs de supervision sur la présente Politique sera résolu par les tribunaux de l’État membre où cette autorité est située, conformément au droit procédural de cet État membre.

ANNEXE 5

PROCÉDURE DE MISE À JOUR

1. Introduction
   1. La présente procédure de mise à jour définit la manière dont le Membre responsable BCR communiquera les modifications apportées à la Politique aux autorités de contrôle compétentes, aux individus et aux Membres du groupe liés par la Politique.
   2. Modifications substantielles de la Politique
      1. Le Membre responsable BCR communiquera à l’avance toute modification substantielle de la Politique (c.-à-d. toute modification qui pourrait être préjudiciable au niveau de protection offert par la Politique ou qui aurait des répercussions significatives sur la Politique, comme par exemple, des modifications de son caractère contraignant, etc.) à l’Agence espagnole de protection des données (le « Haut responsable BCR ») dans un délai raisonnable et, par l’intermédiaire du responsable BCR, à toutes les autres autorités de contrôle concernées. Cette communication comprend une explication sommaire des raisons de la mise à jour. L’autorité de contrôle compétente évaluera également si les modifications apportées nécessitent une nouvelle approbation.
   3. Modifications administratives de la Politique
      1. Le Membre responsable BCR communiquera au Haut responsable BCR et, par l’intermédiaire de ce dernier, aux autres autorités de contrôle concernées, sur demande ou au moins une fois par an, les modifications apportées à la Politique (ou l’absence de modification). Cette mise à jour annuelle comprendra également le renouvellement de la confirmation que le Membre responsable BCR dispose d’actifs suffisants ou a pris des dispositions appropriées pour pouvoir verser des indemnités en cas de préjudices résultant d’une violation de la Politique.
      2. Parmi les exemples de modifications susmentionnées figurent celles de nature administrative (y compris les mises à jour de la liste des Membres du groupe), celles résultant d’un changement de la législation européenne applicable en matière de protection des données, ou celles découlant d’une mesure législative, d’une décision de justice ou d’une action d’une autorité de contrôle. Par ailleurs, le Membre responsable BCR expliquera sommairement au Haut responsable BCR, et à toute autre autorité de contrôle compétente, les raisons de toute modification de la Politique ayant été signalée.
   4. La communication et journalisation des modifications de la Politique
      1. La Politique contient un journal des modifications qui indique la date des révisions de la Politique et les détails des révisions effectuées. Le Délégué à la protection des données (en collaboration avec l’équipe chargée de la confidentialité) tiendra à jour une liste des modifications apportées à la Politique et fournira les informations nécessaires aux autorités de contrôle qui en feront la demande.
      2. Le Membre responsable BCR communiquera toutes les modifications apportées à la Politique, qu’elles soient de nature administrative ou matérielle :
         • aux Membres du groupe liés par la Politique, sans délai injustifié, et publiera une version mise à jour de la présente Politique sur le site wiki d’Avature https://wiki.xcade.net/wiki/Policies,_Guidelines,_Agreements_%26_Certifications ;
         • systématiquement aux personnes concernées qui bénéficient de la Politique, via le site Internet d’Avature www.avature.net/legal ; et
         • aux autorités de contrôle sur demande, ou par l’intermédiaire des autorités de contrôle compétentes, le cas échéant.
      3. Le Délégué à la protection des données (en collaboration avec l’équipe chargée de la confidentialité) tient à jour une liste des modifications apportées à la Politique (y compris une copie de toutes les versions) et la liste des Membres du groupe liés par la Politique. La liste des Membres du groupe et toute mise à jour de la Politique sera disponible et accessible aux personnes concernées et aux autorités de contrôle compétentes.
   5. Nouveaux Membres du groupe
      1. Le Délégué à la protection des données (en collaboration avec l’équipe chargée de la confidentialité) s’assurera que tous les nouveaux Membres du groupe sont effectivement liés par la Politique et peuvent s’y conformer, avant d’effectuer un transfert de données à caractère personnel vers les Membres du groupes.