Worldline - Document de référence 2016

Aperçudes activités Réglementation

autorisée, ou tout accès malveillant ou illégal et (ii) de traiter ces aucune autre finalité que celles qu’ils ont définies. données conformément à leurs seules instructions et pour contre la perte accidentelle, l’altération ou la diffusion non données personnelles qu’ils lui communiquent notamment harmonisé dans l’EEE, la transposition de la directive « données Bien que le droit des données personnelles ait été largement pu donner lieu à des régimes pouvant varier entre eux et être personnelles » dans les droits nationaux des Etats membres a techniques et organisationnelles destinées à protéger les leur garantit néanmoins (i) de mettre en place des mesures personnelles. Afin d’assurer une approche coordonnée et parfois plus restrictifs que celui imposé par la Directive Données harmonisée respectant les législations nationales applicables, le groupe Atos a adopté une « Politique Groupe relative à la a force obligatoire pour l’ensemble de ses entités et de leurs Protection des Données Personnelles » (Politique AP17), laquelle politique est fondée sur trois piliers : salariés, y compris celles et ceux du Groupe Worldline. Cette personnelles ; Des principes fondés sur ceux de la Directive Données (i) mise en œuvre et le respect de ces principes ; et Un ensemble de procédures permettant de s’assurer de la (ii) Groupe adapté selon les postes et les responsabilités. Un programme de formation de l’ensemble des salariés du (iii) Le respect des diverses législations nationales et la mise en encadrée par une organisation dédiée à la protection des œuvre effective de cette politique par le Groupe est assurée et fois juridique et technique, composée d’un réseau de données personnelles, reposant sur une double expertise à la Officers) et de juristes référents dans chacune des entités du Responsables de la Protection des Données (Data Protection Locaux dédiés la protection des données personnelles, lesquels Groupe Worldline, composant ainsi un ensemble de Bureaux sont coordonnés au niveau du groupe Atos par le Responsable Protection Officer), responsable du Bureau Global. Groupe de la Protection des Données (Group Chief Data une volonté d’anticiper le nouveau cadre juridique européen L’ensemble des mesures décrites ci-dessus répond également à Commission européenne a proposé un projet de règlement actuellement en discussion. En effet, le 25 janvier 2012, la importants prévus par ce projet, l’on notera notamment : remplacer la Directive Données personnelles. Parmi les apports des entreprises effectuant des traitements de données définissant un nouveau cadre juridique applicable à l’ensemble personnelles sur le territoire européen et ayant vocation à imposant aux responsables de traitement de mettre en L’introduction du principe de responsabilité (accountability), ● garantir et démontrer leur conformité au règlement à leurs place des règles internes et des mécanismes visant à contrôle en charge de la protection des données à caractère clients, aux personnes concernées et aux autorités de européenne ; responsables du traitement ne sont pas établis dans l’Union données personnelles dans l’Union européenne lorsque les L’obligation de désigner un représentant à la protection des ● données préalablement aux traitements présentant des La réalisation d’études d’impact relatives à la protection des ● risques ; ou La notification des violations de données à caractère ● personnel et notamment des failles de sécurité. personnel ;

sur des données manifestement rendues publiques par la personne concernée ou d’une autre personne ou qu’il porte l’exercice ou à la défense d’un droit en justice) ; personne concernée ou est nécessaire à la constatation, à nécessaire pour permettre la défense des intérêts vitaux de la un tel traitement (par exemple, lorsque le traitement est directive données personnelles pour permettre de procéder à exceptions prévue par la loi applicable transposant la bien été recueilli ou que le traitement se fonde sur l’une des appropriées pour protéger les données personnelles contre Mettre en œuvre des mesures techniques et d’organisation ● l’altération, la diffusion ou l’accès non autorisés ; la destruction accidentelle ou illicite, la perte accidentelle, du traitement de leurs données personnelles, des Données personnelles, informer les personnes concernées Sauf dans certains cas de figure énumérés dans la Directive ● traitement et ses finalités, ainsi que de leurs droits d’accès, destinataires des données, de l’identité du responsable de traitement et, le cas échéant, leur permettre d’exercer ces de rectification et, dans certains cas, d’opposition à ce droits ; Conserver les données personnelles pendant une durée ● traitement ; n’excédant pas celle nécessaire à la finalité de leur traitements de données sensibles (par exemple, les données Prendre des précautions particulières avant de procéder aux ● que le consentement explicite des personnes concernées a de santé ou les données biométriques) telles que s’assurer encadré par des clauses contractuelles types établies par la un niveau de protection adéquat ou que le transfert est que le groupe Atos a été, en novembre 2014, le premier Commission européenne ; à cet égard, il convient de noter considéré par la Commission européenne comme assurant dehors de l’EEE que lorsque le pays destinataire a été Ne procéder au transfert de données personnelles en ● bénéfiques de cette validation sont détaillées dans la traitement et en tant que sous-traitant. Les conséquences Section 6.9.5.2 ci-dessous ; ses Règles Contraignantes d’Entreprises (Binding Corporate groupe de services informatiques à obtenir la validation de Rules ou « BCR ») à la fois en tant que responsable de personnelles dans leurs pays respectifs (telles que la nationales en charge de la protection des données France) préalablement à la mise en œuvre d’un traitement ; Commission nationale de l’informatique et des libertés en Accomplir les formalités requises auprès des autorités ● registre interne, jusqu’à l’obligation d’obtenir une types de traitements (par exemple, en France, en cas autorisation ou un agrément avant de procéder à certains d’hébergement de données de santé). aller de la simple déclaration à une autorité ou la tenue d’un ces formalités varient selon les droits nationaux et peuvent civiles ou pénales, notamment de peines d’amende pouvant peut faire l’objet, selon les pays, de sanctions administratives, France. aller jusqu’à 1,5 million d’euros pour les personnes morales en La violation de ces obligations par un responsable de traitement Dans ces cas de figure, le Groupe traite les données « sous-traitant » au sens de la Directive Données personnelles. seuls responsables de traitement. Dès lors, l’ensemble des personnelles que ses clients lui confient et pour lesquels ils sont traitement s’imposent uniquement aux clients mais le Groupe obligations décrites ci-dessus incombant aux responsables de D’autres activités du Groupe le conduisent à agir en qualité de

6

71

Worldline Document de Référence 2016