Worldline - Document d'enregistrement universel 2019

C

DESCRIPTION DES ACTIVITES DU GROUPE Worldline : une société réglementée

permettre la défense des intérêts vitaux de la personne concernée ou d’une autre personne ou qu’il porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice) ; Mettre en œuvre des mesures techniques et d’organisation ● appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé en prenant en compte les mesures de pseudonymisation et de cryptage des données personnelles, en s’assurant de leur disponibilité et en mettant en place un processus de tests réguliers, en mesurant et en évaluant l’effectivité de ces mesures techniques et d’organisation. Informer les personnes concernées du traitement de leurs ● données personnelles et (a) l’identité et les coordonnées du responsable de traitement (b) les coordonnées du responsable de la protection des données, (c) le but du traitement et son fondement légal, (d) le cas échéant, les intérêts légitimes, (e) les destinataires ou les catégories de destinataires des données personnelles, (f) le cas échéant, le fait que Worldline ait l’intention de transférer les données personnelles à un pays tiers, (g) la période pour laquelle les données personnelles vont être stockées, (h) l’existence du droit de demander au responsable de traitement l’accès aux données personnelles, la rectification ou l’effacement de ces données ou la limitation du traitement relatif à la personne concernée ou de s’opposer à leur traitement, ainsi que le droit à la portabilité des données, (i) l’existence du droit au retrait du consentement à tout moment, (j) le droit de déposer plainte auprès d’une autorité de contrôle, (k) y compris dans les cas où la communication de données personnelles est imposée par la loi ou par un contrat, ou pour la conclusion d’un contrat, ainsi que dans les cas où la personne concernée est tenue de fournir des données personnelles et si les conséquences éventuelles d’un manquement à cette communication de données et (l) le cas échéant, l’existence d’une prise de décision automatisée, incluant le profilage ; Ne procéder au transfert de données personnelles en ● dehors de l’EEE que lorsque le pays destinataire a été considéré par la Commission européenne comme assurant un niveau de protection adéquat ou que le transfert est encadré par des clauses contractuelles types établies par la Commission européenne ; Avoir recours uniquement à des sous-traitants qui ● fournissent les garanties nécessaires pour mettre en œuvre les mesures techniques et d’organisation ; Tenir un registre des activités de traitement en tant que ● responsable de traitement de données ; Suivre les principes de la protection des données par ● conception et de la protection des données par défaut lors de la conception de solutions et de la préparation des activités de traitement ; Accomplir les formalités requises auprès des autorités ● nationales en charge de la protection des données personnelles dans leurs pays respectifs (telles que la Commission nationale de l’informatique et des libertés en France) préalablement à la mise en œuvre d’un traitement ; ces formalités varient selon les droits nationaux.

La violation par un responsable de traitement ou par un sous-traitant peut faire l’objet de sanctions administratives, civiles ou pénales, notamment de peines d’amende pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaires total annuel de l’exercice précédent, s’il est plus élevé. D’autres activités du Groupe le conduisent à agir en qualité de « sous-traitant » au sens du RGPD. Dans ces cas de figure, le Groupe traite les données personnelles que ses clients lui confient et pour lesquels ils sont seuls responsables de traitement. Dès lors, l’ensemble des obligations décrites ci-dessus incombant aux responsables de traitement s’imposent uniquement aux clients mais le Groupe leur garantit néanmoins (i) de mettre en place des mesures techniques et organisationnelles destinées à protéger les données personnelles qu’ils lui communiquent notamment contre la perte accidentelle, l’altération ou la diffusion non autorisée, ou tout accès malveillant ou illégal et (ii) de traiter ces données conformément à leurs seules instructions et pour aucune autre finalité que celles qu’ils ont définies. Le Groupe remplit spécifiquement les obligations suivantes : Traiter les données conformément aux instructions écrites ● exclusives du client et à aucune autre fin que celles établies par le client ; Mettre en œuvre des mesures techniques et d’organisation ● pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés en prenant en compte les mesures de pseudonymisation et de cryptage des données personnes, en s’assurant de leur disponibilité et en mettant en place un processus de tests réguliers, en mesurant et en évaluant l’effectivité de ces mesures techniques et d’organisation. Ces mesures techniques et organisationnelles constituent les instructions du responsable de traitement ; Ne pas impliquer de sous-traitant ultérieur sans un accord ● préalable ou une autorisation écrite générale du responsable de traitement ; Aider le responsable de traitement à garantir le respect des ● obligations pertinentes du RGPD ; Sur demande du responsable de traitement, supprimer ou ● lui renvoyer toutes les données personnelles à l’issue de la fourniture de services liée au traitement de donnée, et de supprimer les copies existantes ; Mettre à disposition du responsable de traitement toutes ● les informations nécessaires pour démontrer le respect des obligations pertinentes du RGPD ; Tenir un registre des activités de traitement en tant que ● responsable de traitement de données ; Suivre les principes de la protection des données par ● conception et de la protection des données par défaut lors de la conception de solutions et de la préparation des activités de traitement.

66

Document d’Enregistrement Universel 2019