Worldline - Document d'enregistrement universel 2020

D

DECLARATION DE PERFORMANCE EXTRA-FINANCIERE Instaurer la confiance des clients avec des solutions fiables, sécurisées, innovantes et durables

Enfin, les relations contractuelles avec les fournisseurs sont couvertes par un accord de traitement des données ou toute autre documentation pertinente (responsabilité conjointe du traitement,accor ds de partage de données, clauses contractuelles types). Concernant les codes TC-SI-220a.2 et TC-SI-220a.4, ils n’ont pas été reportés car ils sont hors du champ d’application de Worldline. Tout d’abord, le nombre d’utilisateurs dont les informations sont utilisées à nouveau pour d’autres buts que le but initial ne s’applique pas à Worldline car il n’effectue pas ce type de traitement des données. Deuxièmement, pour (i) le nombre de demandes d’informations sur les utilisateurs par les forces de l’ordre ; (ii) le nombre d’utilisateurs dont les informations ont été demandées et (iii) le pourcentage résultant de la divulgation ; il concerne principalement les entreprises basées aux Etats-Unis et/ou lorsque les lois américaines en matière de protection des données à caractère personnel s’appliquent. En ce qui concerne le pourcentage impliquant des informations personnellement identifiables ( personally identifiable information ‒ PII) (TC-SI-230a.1.), comme Worldline surveille en interne le nombre de violations de données à caractère personnel conformément au RGPD, divulguant ainsi le pourcentage de violations de données (champ d’application plus large et un signification différente de la définition du RGPD) dans laquelle les informations personnellement identifiables (PII) constitueraient un deuxième signalement potentiellement contradictoire qui ne semble pas pertinent car le nombre de violations de données à caractère personnel est déjà surveillé en interne et dûment enregistré. En ce qui concerne le nombre d’utilisateurs concernés (TC-SI-230a.1),W orldline ne rapporte pas ces informations spécifiques. En effet, Worldline agit principalement comme sous-traitant et n’a pas accès aux utilisateurs. Agissant principalement en cette qualité, toute obligation de divulgation du nombre d’utilisateurs concernés incombe à ses clients agissant en tant que responsables du traitement. Concernant le code TC-SI-220a.3 consacré au montant total des pertes monétaires à la suite de poursuites judiciaires liées à la vie privée des utilisateurs, Worldline n’a pas divulgué ces informations considérant leur sensibilité. En ce qui concerne la liste des pays où les produits ou services de base sont soumis à la surveillance, au blocage, au filtrage ou à la censure du contenu requis par le gouvernement (TC-SI-220a.5), elle n’est à présent pas encore reportée par Worldline mais elle sera à l’avenir. Afin de mettre en œuvre cette politique, le délégué à la protection des données du Groupe Worldline est directement rattaché au Directeur de la Sécurité, des Risques et de la Conformité (SRC) du Groupe. Le respect des politiques, pratiques et outils de protection des données personnelles constitue un élément fondamental de la mise en œuvre et de l’extension de la stratégie SRC de Worldline. La Société a créé un important réseau de délégués à la protection des données et de coordinateurs sous la responsabilité du délégué à la protection des données au niveau Groupe. Une collaboration étroite et des échanges réguliers avec ce réseau d’experts permettent d’assurer une gouvernance adéquate pour le Le réseau Worldline des délégués D.2.4.2.2 à la protection des données

traitement des données à caractère personnel des collaborateurs ainsi que pour celles ses clients. Ce réseau de délégués à la protection des données et de coordinateurs locaux accompagne la mise en œuvre des nouvelles obligations au sein de toutes les activités liées à la protection des données à caractère personnel : routines quotidiennes, procédures et traitement des données à caractère personnel. Ainsi, Worldline gère la protection des données de son organisation sous la direction de son délégué à la protection des données au niveau Groupe afin d’assurer une conformité globale aux règlements sur la protection des données à caractère personnel et un reporting au plus haut niveau de la Société. Worldline a structuré sa politique de protection des données à caractère personnel de manière à se concentrer sur les engagements suivants : S’assurer que la confidentialité des données à caractère ● personnel est considérée comme la norme lors de la conception des solutions de Worldline. Ainsi, Worldline intègre la protection des données à caractère personnel dès la phase de conception et, par défaut, en prenant en compte la nature, la portée et le contexte de l’activité de traitement ainsi que les risques potentiels et les dernières technologies disponibles ; Atteindre 100% d’évaluation de conformité relative à la ● protection des données à caractère personnel effectuées sur les activités de traitement des données actives d’ici 2020 (dans le cadre de l’engagement TRUST 2020) afin de garantir que les mesures adéquates sont en place pour assurer la protection des données à caractère personnel au sein des systèmes de Worldline. Le déploiement et l’utilisation d’outils efficaces tels que la Conformité Relative à la Protection des Données a permis à Worldline de remplir pleinement ses obligations en termes de protection des données à caractère personnel. Worldline a procédé à l’évaluation de l’ensemble des activités de transformation impliquant un traitement des données à caractère personnel et a déjà soumis la plupart desdites activités à l’évaluation Conformité Relative à la Protection des Données. En 2020, 99,7% des évaluations de conformité relatives à la protection des données ont été effectuées pour toutes les activités de traitement. En parallèle, Worldline a commencé à préparer le déploiement d’un outil global de gestion de la protection des données en 2020, intégrant également le Conformité Relative à la Protection des Données ; Former l’ensemble des collaborateurs tous les ans à la ● sécurité des données. Worldline a conçu un programme de formation destiné à tous ses collaborateurs afin de les sensibiliser à ce thème ainsi que des formations plus spécifiques portant sur les problématiques rencontrées par les collaborateurs dans leur domaine d’expertise. En 2020, 91% des collaborateurs de Worldline ont suivi la formation obligatoire en ligne sur la protection des données à caractère personnel 1 . Les engagements de Worldline D.2.4.2.3 en matière de protection des données à caractère personnel

1 Considérant la crise exceptionnelle de la Covid-19, la période de reporting a été étendue jusque fin janvier.

128

Document d’Enregistrement Universel 2020