Table of Contents Table of Contents
Previous Page  71 / 354 Next Page
Information
Show Menu
Previous Page 71 / 354 Next Page
Page Background

6

Aperçudes activités

Réglementation

71

Worldline

Document de Référence 2016

sur des données manifestement rendues publiques par la

personne concernée ou d’une autre personne ou qu’il porte

l’exercice ou à la défense d’un droit en justice)

;

personne concernée ou est nécessaire à la constatation, à

nécessaire pour permettre la défense des intérêts vitaux de la

un tel traitement (par exemple, lorsque le traitement est

directive données personnelles pour permettre de procéder à

traitements de données sensibles (par exemple, les données

Prendre des précautions particulières avant de procéder aux

que le consentement explicite des personnes concernées a

de santé ou les données biométriques) telles que s’assurer

exceptions prévue par la loi applicable transposant la

bien été recueilli ou que le traitement se fonde sur l’une des

appropriées pour protéger les données personnelles contre

Mettre en œuvre des mesures techniques et d’organisation

l’altération, la diffusion ou l’accès non autorisés

;

la destruction accidentelle ou illicite, la perte accidentelle,

du traitement de leurs données personnelles, des

Données personnelles, informer les personnes concernées

Sauf dans certains cas de figure énumérés dans la Directive

traitement et ses finalités, ainsi que de leurs droits d’accès,

destinataires des données, de l’identité du responsable de

traitement et, le cas échéant, leur permettre d’exercer ces

de rectification et, dans certains cas, d’opposition à ce

droits

;

Conserver les données personnelles pendant une durée

traitement

;

n’excédant pas celle nécessaire à la finalité de leur

bénéfiques de cette validation sont détaillées dans la

traitement et en tant que sous-traitant. Les conséquences

Section 6.9.5.2 ci-dessous

;

encadré par des clauses contractuelles types établies par la

un niveau de protection adéquat ou que le transfert est

que le groupe Atos a été, en novembre

2014, le premier

Commission européenne

; à cet égard, il convient de noter

ses Règles Contraignantes d’Entreprises (Binding Corporate

groupe de services informatiques à obtenir la validation de

Rules ou «

BCR

») à la fois en tant que responsable de

Ne procéder au transfert de données personnelles en

considéré par la Commission européenne comme assurant

dehors de l’EEE que lorsque le pays destinataire a été

registre interne, jusqu’à l’obligation d’obtenir une

types de traitements (par exemple, en France, en cas

autorisation ou un agrément avant de procéder à certains

d’hébergement de données de santé).

personnelles dans leurs pays respectifs (telles que la

nationales en charge de la protection des données

France) préalablement à la mise en œuvre d’un traitement

;

Commission nationale de l’informatique et des libertés en

aller de la simple déclaration à une autorité ou la tenue d’un

ces formalités varient selon les droits nationaux et peuvent

Accomplir les formalités requises auprès des autorités

civiles ou pénales, notamment de peines d’amende pouvant

peut faire l’objet, selon les pays, de sanctions administratives,

France.

aller jusqu’à 1,5

million d’euros pour les personnes morales en

La violation de ces obligations par un responsable de traitement

Dans ces cas de figure, le Groupe traite les données

«

sous-traitant

» au sens de la Directive Données personnelles.

seuls responsables de traitement. Dès lors, l’ensemble des

personnelles que ses clients lui confient et pour lesquels ils sont

traitement s’imposent uniquement aux clients mais le Groupe

obligations décrites ci-dessus incombant aux responsables de

D’autres activités du Groupe le conduisent à agir en qualité de

autorisée, ou tout accès malveillant ou illégal et (ii) de traiter ces

aucune autre finalité que celles qu’ils ont définies.

données conformément à leurs seules instructions et pour

techniques et organisationnelles destinées à protéger les

leur garantit néanmoins (i) de mettre en place des mesures

contre la perte accidentelle, l’altération ou la diffusion non

données personnelles qu’ils lui communiquent notamment

personnelles. Afin d’assurer une approche coordonnée et

parfois plus restrictifs que celui imposé par la Directive Données

harmonisée respectant les législations nationales applicables, le

harmonisé dans l’EEE, la transposition de la directive «

données

Bien que le droit des données personnelles ait été largement

pu donner lieu à des régimes pouvant varier entre eux et être

personnelles

» dans les droits nationaux des Etats membres a

groupe Atos a adopté une «

Politique Groupe relative à la

a force obligatoire pour l’ensemble de ses entités et de leurs

Protection des Données Personnelles

» (Politique

AP17), laquelle

politique est fondée sur trois piliers

:

salariés, y compris celles et ceux du Groupe Worldline. Cette

personnelles

;

Des principes fondés sur ceux de la Directive Données

(i)

mise en œuvre et le respect de ces principes

; et

Un ensemble de procédures permettant de s’assurer de la

(ii)

Groupe adapté selon les postes et les responsabilités.

Un programme de formation de l’ensemble des salariés du

(iii)

Officers) et de juristes référents dans chacune des entités du

Responsables de la Protection des Données (Data Protection

Locaux dédiés la protection des données personnelles, lesquels

Groupe Worldline, composant ainsi un ensemble de Bureaux

Le respect des diverses législations nationales et la mise en

encadrée par une organisation dédiée à la protection des

œuvre effective de cette politique par le Groupe est assurée et

fois juridique et technique, composée

d’un réseau de

données personnelles, reposant sur une double expertise à la

sont coordonnés au niveau du groupe Atos par le Responsable

Protection Officer), responsable du Bureau Global.

Groupe de la Protection des Données (Group Chief Data

importants prévus par ce projet, l’on notera notamment

:

remplacer la Directive Données personnelles. Parmi les apports

des entreprises effectuant des traitements de données

définissant un nouveau cadre juridique applicable à l’ensemble

personnelles sur le territoire européen et ayant vocation à

une volonté d’anticiper le nouveau cadre juridique européen

L’ensemble des mesures décrites ci-dessus répond également à

Commission européenne a proposé un projet de règlement

actuellement en discussion. En effet, le 25

janvier 2012, la

personnel

;

imposant aux responsables de traitement de mettre en

L’introduction du principe de responsabilité (accountability),

garantir et démontrer leur conformité au règlement à leurs

place des règles internes et des mécanismes visant à

contrôle en charge de la protection des données à caractère

clients, aux personnes concernées et aux autorités de

européenne

;

responsables du traitement ne sont pas établis dans l’Union

données personnelles dans l’Union européenne lorsque les

L’obligation de désigner un représentant à la protection des

données préalablement aux traitements présentant des

La réalisation d’études d’impact relatives à la protection des

risques

; ou

La notification des violations de données à caractère

personnel et notamment des failles de sécurité.