Worldline - Document d'enregistrement universel 2020

C

DESCRIPTION DES ACTIVITES DU GROUPE Worldline : une société réglementée

le fait que Worldline ait l’intention de transférer les données personnelles à un pays tiers, (g) la période pour laquelle les données personnelles vont être stockées, (h) l’existence du droit de demander au responsable de traitement l’accès aux données personnelles, la rectification ou l’effacement de ces données ou la limitation du traitement relatif à la personne concernée ou de s’opposer à leur traitement, ainsi que le droit à la portabilité des données, (i) l’existence du droit au retrait du consentement à tout moment, (j) le droit de déposer plainte auprès d’une autorité de contrôle, (k) y compris dans les cas où la communication de données personnelles est imposée par la loi ou p ra un contrat, ou pour la conclusion d’un contrat, ainsi que dans les cas où la personne concernée est tenue de fournir des données personnelles et si les conséquences éventuelles d’un manquement à cette communication de données et (l) le cas échéant, l’existence d’une prise de décision automatisée, incluant le profilage ; Ne procéder au transfert de données personnelles en ● dehors de l’EEE que lorsque le pays destinataire a été considéré par la Commission européenne comme assurant un niveau de protection adéquat ou que le transfert est encadré par des clauses contractuelles types établies par la Commission européenne ; Avoir recours uniquement à des sous-traitants qui ● fournissent les garanties nécessaires pour mettre en œuvre les mesures techniques et d’organisation ; Tenir un historique des activités de traitement en tant que ● responsable de traitement de données ; Suivre les principes de la protection des données par ● conception et de la protection des données par défaut lors de la conception de solutions et de la préparation des activités de traitement. La violation par un responsable de traitement ou par un sous-traitant peut faire l’objet de sanctions administratives, civiles ou pénales, notamment de peines d’amende pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaires total annuel de l’exercice précédent, s’il est plus élevé. D’autres activités du Groupe le conduisent à agir en qualité de « sous-traitant » au sens du RGPD. Dans ces cas de figure, le Groupe traite les données personnelles que ses clients lui confient et pour lesquels ils sont seuls responsables de traitement. Dès lors, l’ensemble des obligations décrites ci-dessus incombant aux responsables de traitement s’imposent uniquement aux clients mais le Groupe leur garantit néanmoins (i) de mettre en place des mesures techniques et organisationnelles destinées à protéger les données personnelles qu’ils lui communiquent notamment contre la perte accidentelle, l’altération ou la diffusion non autorisée, ou tout accès malveillant ou illégal et (ii) de traiter ces données conformément à leurs seules instructions et pour aucune autre finalité que celles qu’ils ont définies. Le Groupe remplit spécifiquement les obligations suivantes : Traiter les données conformément aux instructions écrites ● exclusives du client et à aucune autre fin que celles établies par le client ; Mettre en œuvre des mesures techniques et d’organisation ● pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés en prenant

en comp te esl mesures de pseudonymisation et de cryptage des données personnes, en s’assurant de leur disponibilité et en mettant en place un processus de tests réguliers, en mesurant et en évaluant l’effectivité de ces mesures techniques et d’organisation. Ces mesures techniques et organisationnelles constituent les instructions du responsable de traitement ; Ne pas impliquer de sous-traitant ultérieur sans un accord ● préalable ou une autorisation écrite générale du responsable de traitement ; Aider le responsable de traitement à garantir le respect des ● obligations pertinentes du RGPD ; Sur demande du responsable de traitement, supprimer ou ● lui renvoyer toutes les données personnelles à l’issue de la fourniture de services liée au traitement de donnée, et de supprimer les copies existantes ; Mettre à disposition du responsable de traitement toutes ● les informations nécessaires pour démontrer le respect des obligations pertinentes du RGPD ; Tenir un registre des activités de traitement en tant que ● responsable de traitement de données ; Suivre les principes de la protection des données par ● conception et de la protection des données par défaut lors de la conception de solutions et de la préparation des activités de traitement. Bien qu’avec l’introduction du RGPD le droit des données personnelles ait été largement harmonisé dans l’EEE, les clauses liminaires du règlement permettent une marge de manœuvre étroite pour les variations nationales, dans le cadre de la législation sur les données personnelles et des instances de contrôles. Afin d’assurer une approche coordonnée et harmonisée respectant les législations nationales applicables, le Groupe a adopté une politique relative à la protection des données personnelles laquelle a force obligatoire pour l’ensemble de ses entités et de leurs salariés, y compris celles et ceux du Groupe Worldline. Cette politique est fondée sur trois piliers : Des principes fondés sur ceux du RGDP ; (i) Un ensemble de procédures permettant de s’assurer de la (ii) mise en œuvre et le respect de ces principes ; et Un p rogramme de formation de l’ensemble des salariés du (iii) Groupe adapté selon les postes et les responsabilités. Pour être conforme aux exigences relatives à la notification des autorités de protection des données ainsi que des personnes concernées en cas de violation de données à caractère personnel, le Groupe a implémenté le processus déjà mis en œuvre pour la notification des violations de données à caractère personnel sur la base de la politique du Groupe relative à la protection des données personnelles. Le respect des diverses législations nationales et la mise en œuvre effective de cette politique par le Groupe sont assurés et encadrés par un réseau de protection des données personnelles, reposant sur une double expertise à la fois juridique et technique, composée de Responsables de la Protection des Données ( Data Protection Officers ) et de juristes référents dans chacune des entités du Groupe Worldline, composant ainsi un ensemble de Bureaux Locaux dédiés à la protection des données personnelles, lesquels sont coordonnés au niveau du Groupe Worldline par le Responsable Global de la Protection des Données ( Global Data Protection

72

Document d’Enregistrement Universel 2020