WORLDLINE_DOCUMENT_REFERENCE_2017

Responsabilité sociétale d’entreprise Etre un acteur éthique et loyal en affaires

D.4.1.2.3

Politique de protectiondes données

gouvernance et le soutien des deux, en traitant les données pour le propre compte de Worldline ou pour le compte de ses clients.

personnelles La politique de protection des données personnelles mise en place par Atos constitue le premier pilier de son programme global. Elle établit les principes de protection sur la base des dispositions de la Directive UE 95/46 afférentes à la protection des données personnelles, considérés comme constituant les principes de protection les plus stricts en matière de données personnelles. En octobre 2017, cette Politique a été améliorée et adaptée aux exigences du RGPD. En 2017, la Directive 95/46/CE du 24 octobre 1995 (ci-après, la « Directive sur la protection des données ») constituait encore le cadre de référence en la matière dans l’ensemble des pays de l’Espace Economique Européen (EEE, qui inclut l’Union européenne, l’Islande, la Norvège et le Liechtenstein). Bien que le RGPD harmonise la législation sur la protection des données dans toute l’UE, les clauses d’ouverture et la législation locale additionnelle des Etats membres de l’UE continueront à varier pendant la phase de mise en œuvre de la nouvelle loi européenne sur la protection des données. En outre, comme la Directive sur la protection des données, le RGPD doit d’abord être intégré à l’Accord EEE avant de pouvoir être transposé dans le droit national en Islande, en Norvège et au Liechtenstein. Afin de garantir le respect de toutes les législations nationales applicables, le groupe Atos a adopté une politique cohérente ayant forcé obligatoire pour l’ensemble de ses entités et de leurs collaborateurs, fondée sur trois éléments clés : des principes fondés sur ceux de la Directive sur la (i) protection des données ; un ensemble de procédures permettant de s’assurer de la (ii) mise en œuvre de ces principes ; un programme de formation de l’ensemble des (iii) collaborateurs du Groupe adapté selon les postes et les responsabilités. Worldline travaille en étroite collaboration avec la Commission européenne et l’ensemble de l’écosystème des services de paiement afin de définir et d’améliorer la chaîne de valeur des services de paiement pour réduire les risques, faciliter la concurrence et la transparence tout en encourageant l’innovation et la normalisation qui profitent aux consommateurs et aux commerçants. D.4.1.2.4 Le Responsable de la Protection des Données du groupe Atos, qui reporte directement au Responsable Conformité du Groupe, est un des cadres clés d’une Organisation sur la Protection des Données et de la Vie Privée forte de 80 membres, constituée en étroite collaboration avec le Département Juridique, Conformité et Gestion des Contrats du Groupe et la Sécurité du Groupe et à laquelle d’autres ressources importantes ont été allouées pour la gestion de ce thème. Cette organisation, qui a été revue en étroite collaboration avec l’Organisation de la Sécurité du Groupe afin d’améliorer son efficacité et la portée des politiques en matière de protection des données personnelles, pratiques et outils, est un élément fondamental dans la mise en place continue et l’extension de cette stratégie. Du fait d’une amélioration continue, Worldline a créé le poste de Directeur Mondial de la Protection des Données Personnelles de Worldline en juillet 2017. Un solide réseau de Directeurs Locaux de la Protection des Données Personnelles et de Coordinateurs de la Protection des Données Personnelles assure la Gouvernance

D.4.1.2.5

Sensibilisationdes collaborateurs aux principes de protection des données personnelles

Worldline est persuadé que la protection des données personnelles ne serait pas correctement appliquée si ses collaborateurs n’y étaient pas sensibilisés et s’ils manquaient de connaissances en la matière. Worldline a donc développé, en tant que troisième pilier, une formation destinée à sensibiliser l’ensemble de ses collaborateurs sur le sujet ainsi que des formations plus spécifiques afin de mettre en évidence les problématiques rencontrées par les collaborateurs dans leur domaine d’expertise. En 2017, 90% des collaborateurs de Worldline ont assisté à des programmes obligatoires de formation en ligne liés à la protection des données personnelles. D.4.1.2.6 La norme PCI-DSS (Payment Card Industry – Data Security Standard : norme en matière de sécurité des données de cartes de paiement) a été développée afin d’encourager et renforcer la sécurité des données des titulaires de cartes et de faciliter l’adoption généralisée de mesures de sécurité cohérentes sur la protection des données dans le monde entier. Étant donné que Worldline traite une quantité importante de données de porteurs de cartes pour le compte de nombreux clients, il lui appartient d’être en totale conformité avec la norme PCI-DSS. En tant que fournisseur de services de paiement, Worldline fait l’objet d’un audit tous les ans par un Évaluateur qualifié en matière de sécurité afin de conserver sa certification PCI-DSS. La norme PCI-DSS comprend 12 obligations qui peuvent être résumées comme suit : Constituer et maintenir un réseau sécurisé ; ● Protéger les données des titulaires de cartes ; ● Maintenir un programme de gestion de la vulnérabilité ; ● Etablir de solides mesures de contrôle d’accès ; ● Contrôler et tester régulièrement les réseaux ; ● Maintenir une politique de sécurité de l’information. ● Concrètement, cela se traduit par la formation régulière des collaborateurs en matière de sécurité, l’examen des termes de la politique de sécurité et leur application, la gestion et l’actualisation de nombreuses mesures de sécurité. Worldline est certifié PCI-DSS depuis neuf ans. Il l’a été pour la première fois grâce à sa solution e-commerce (WL SIPS). A présent, ses services d’acquisition, d’émission, de compensation et de règlement sont également conformes aux principales normes de paiement électronique comme VISA et 3D Secure. la protectiondes données à long terme Le déploiement et l’usage d’outils pratiques et efficaces tels que l’Évaluation de l’Impact sur la Confidentialité ont permis au groupe Atos de rester à l’avant-garde du respect des règles en matière de protection des données. Cela est fait par anticipation et en intégrant à la fois le principe de « responsabilisation » et la confidentialité par une approche au niveau de la conception et de la mise en place de ses systèmes et de ses services. Norme PCI-DSS TRUST 2020 : Worldline s’engage sur D.4.1.2.7

D

135

Worldline Document de Référence 2017