Worldline - Document d'enregistrement universel 2020

DESCRIPTION DES ACTIVITES DU GROUPE Worldline : une société réglementée

A titre d’exemple, le Groupe a obtenu la certification PCI-DSS transactions fassent systématiquement l’objet d’un traitement ( Payment Card Industry – Data Security Standard ) de sa sécurisé au niveau des systèmes et bases de données.

plate-forme de paiement en ligne sécurisée et de son service Paylib (porte-monnaie électronique basé sur le Cloud). Cette norme vise à garantir que les données confidentielles du porteur de carte ainsi que les données sensibles des

Le protocole d’authentification 3-D secure a été initialement conçu pour sécuriser les paiements en ligne, garantissant l’identité du titulaire de carte utilisé pour limiter les risques de fraude.

Protection des données personnelles C.4.4

Dans le cadre de ses activités ainsi qu’en interne, le Groupe Worldline collecte et traite des informations soumises aux législations et réglementations relatives à la protection des données à caractère personnel en Europe ainsi que dans d’autres régions où le Groupe Worldline a des activités. Ces traitements de données personnelles sont effectués tant pour le propre compte des sociétés du Groupe Worldline que pour celui de leurs clients. Traitements effectués au sein C.4.4.1 de l’Espace économie européen Depuis le 25 mai 2018, le traitement de données à caractère personnel est soumis au règlement général sur la protection des données (UE) 2016/679 au sein des Etats membres de l’Union européenne et de l’Espace économique européen. Le RGPD s’applique aux traitements de données personnelles automatisés ou non automatisés. Les « données personnelles » sont définies largement comme « toute information concernant une personne physique identifiée ou identifiable de façon directe ou indirecte » et est applicable aux activités de traitement concernant des résidents de l’UE ou de l’EEE, ou lorsque les activités de traitement sont conduites sur le territoire de l’UE. Le RGPD régit le traitement des données à caractère personnel sur l’ensemble du cycle de vie du traitement : depuis la collecte, l’utilisation effective, jusqu’à l’effacement des données. Aux termes du RGPD, est considérée comme « responsable de traitement » la personne ou entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Toute personne ou entité qui traite des données à caractère personnel pour le compte d’un responsable de traitement, sur ses instructions et aux fins définies par celui-ci, est considérée comme un « sous-traitant ». Chaque entité du Groupe Worldline en Europe réalise une revue des conditions de traitement des données à caractère personnel (« CTDCP »), afin d’adapter le traitement conformément aux règles et réglementations applicables en matière de protection des données. Lorsqu’une entité du Groupe Worldline agit en qualité de responsable de traitement (comme pour ses activités de traitement internes), elle est notamment soumise aux obligations suivantes : S’assurer de ne traiter des données à caractère personnel ● que sur la base d’un fondement prévu par le RGPD et par les dispositions de droit national pour procéder au traitement de données personnelles (RGPD, article 6), qui peut notamment résulter du consentement préalable de la personne concernée ou de la nécessité de procéder au traitement pour permettre au responsable de traitement de

réaliser un intérêt légitime ou d’exécuter un contrat avec la personne concernée ou de la conformité à une obligation légale, ou encore du traitement réalisé au titre de l’intérêt général ; S’assurer que les données personnelles sont (i) traitées ● loyalement, licitement et de façon transparente (ii) collectées pour des finalités déterminées, explicites et légitimes (iii) adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux buts pour lesquels les données sont traitées, (iv) exactes et, si nécessaire, mises à jour, (v) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les données personnelles sont traitées et (vi) traitées de façon à garantir une sécurité adéquate des données personnelles, y compris la protection contre tout traitement non autorisé ou illicite, et contre toute perte, destruction ou détérioration accidentelles ; Etre capable de démontrer le respect aux principes liés au ● traitement des données personnelles ; Prendre des précautions particulières avant de procéder ● aux traitements de catégories particulières de données personnelles (art. 9 RGPD : par exemple, les données de santé ou les données biométriques) en évaluant les risques potentiels découlant d’un tel traitement et en s’assurant que le consentement explicite des personnes concernées a bien été recueilli ou que le traitement se fonde sur l’une des exceptions prévues par la loi applicable transposant le RGDP pour permettre de procéder à un tel traitement (par exemple, lorsque le traitement est nécessaire pour permettre la défense des intérêts vitaux de la personne concernée ou d’une autre personne ou qu’il porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice) ; Mettre en œuvre des mesures techniques et d’organisation ● appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé en prenant en compte les mesures de pseudonymisation et de cryptage des données personnelles, en s’assurant de leur disponibilité et en mettant en place un processus de tests réguliers, en mesurant et en évaluant l’effectivité de ces mesures techniques et d’organisation ; Informer les personnes concernées du traitement de leurs ● données personnelles et (a) l’identité et les coordonnées du responsable de traitement (b) les coordonnées du responsable de la protection des données, (c) le but du traitement et son fondement légal, (d) le cas échéant, les intérêts légitimes, (e) les destinataires ou les catégories de destinataires des données personnelles, (f) le cas échéant,

C

71

Document d’Enregistrement Universel 2020