Worldline - Document d'enregistrement universel 2020

DESCRIPTION DES ACTIVITES DU GROUPE Worldline : une société réglementée

Officer ), chargé du bureau de la protection de la vie privée et qui rend compte au Responsable de la Conformité du Groupe. L’ensemble des mesures décrites ci-dessus a été mis en œuvre pour respecter le RGPD. Des améliorations continues et des synchronisations régulières, avec le Global Data Protection Office et le Group Data Protection Community assurent une conformité cohérente. Traitements effectués en dehors C.4.4.2 de l’Espace économique européen Le Groupe Worldline est implanté dans de nombreux pays en dehors de l’EEE où il est amené à effectuer des traitements de données personnelles. Ces traitements peuvent être réalisés pour le compte de clients situés eux-mêmes hors de l’EEE mais également pour des clients situés au sein de l’EEE pour lesquels des prestations offshore sont proposées comme partie intégrante des services fournis par le Groupe Worldline. Bien qu’il n’existe pas de texte international harmonisant l’ensemble des principes applicables en matière de protection des données personnelles, le cadre réglementaire applicable au sein de l’EEE fait office de référence en la matière, d’une part par son caractère strict et précurseur et, d’autre part, du fait de son influence sur la législation de nombreux pays qui l’ont utilisé comme norme, notamment en Afrique du Nord, en Amérique latine (le Brésil avec l’entrée en vigueur de la LGPD) et en Asie (projets de loi en Inde et en Chine). La protection offerte par la GDPR voyage avec les données, ce qui signifie que les règles de protection des données personnelles continuent à s’appliquer quel que soit le lieu où les données atterrissent. La GDPR fournit différents outils pour encadrer les transferts de données en dehors de l’EEE et en fournissant des garanties appropriées et à condition que des

droits exécutoires et des recours juridiques efficaces soient disponibles pour les individus. Ces garanties appropriées comprennent des dispositions contractuelles avec le destinataire des données à caractère personnel, en utilisant les clauses contractuelles types approuvées par la Commission européenne ( Standard Contractual Clauses ). Ces clauses contractuelles permettent aux entités de Worldline de transférer ces données hors de l’Union européenne à d’autres entités du Groupe de manière sécurisée et avec des garanties appropriées. Le 16 juillet 2020, la Cour européenne de justice (CEJ) a rendu un arrêt historique qui a invalidé le cadre de protection de la vie privée entre l’UE et les Etats-Unis ( Privacy Shield ) dans l’affaire C-311/18 (Schrems II). L’inquiétude de la Cour ne portait pas sur les aspects commerciaux du Privacy Shield (par exemple, les règles de fond en matière de protection de la vie privée suivies par les sociétés américaines participantes) mais plutôt sur la capacité des agences de renseignement américaines à recueillir des données en vertu de la législation et des pratiques américaines actuelles sans offrir de protection suffisante de la vie privée aux résidents de l’UE. L’arrêt de la Cour de justice a des implications plus larges que l’invalidation d’un mécanisme de transfert UE-USA lui-même. Il a alourdi la charge de la responsabilité. Cette décision a un impact sur Worldline et une révision globale de nos contrats a été engagée avec nos sous-traitants qui transfèrent des données aux Etats-Unis. Avec l’acquisition du groupe Ingenico et de ses filiales dans le monde entier, Worldline a mis en place une feuille de route de mesures visant à assurer le respect du niveau de protection des données personnelles de la GDPR conformément aux directives du Conseil européen de protection des données (EDPB) et aux mesures supplémentaires consécutives à Schrems II.

C

73

Document d’Enregistrement Universel 2020