WORLDLINE_DOCUMENT_REFERENCE_2017

C

Descriptiondes activités duGroupe Réglementation

Lorsqu’une entité du Groupe Worldline agit en qualité de responsable de traitement (par exemple pour ceux concernant les données personnelles des salariés ou la lutte contre la fraude), elle est notamment soumise aux obligations suivantes : Bénéficier d’un fondement prévu par la Directive Données ● personnelles et par la suite par le RGPD et par les dispositions de droit national pour procéder au traitement de données personnelles, qui peut notamment résulter du consentement de la personne concernée ou de la nécessité de procéder au traitement pour permettre au responsable de traitement de réaliser un intérêt légitime ou d’exécuter un contrat avec la personne concernée ; S’assurer que les données personnelles sont (i) traitées ● loyalement, licitement et de façon transparente (ii) collectées pour des finalités déterminées, explicites et légitimes (iii) adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux buts pour lesquels les données sont traitées, (iv) exactes et, si nécessaire, mises à jour, (v) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les données personnelles sont traitées et (vi) traitées de façon à garantir une sécurité adéquate des données personnelles, y compris la protection contre tout traitement non autorisé ou illicite, et contre toute perte, destruction ou détérioration accidentelles ; Être capable de démontrer le respect aux principes liés au ● traitement des données personnelles ; Prendre des précautions particulières avant de procéder aux ● traitements de catégories particulières de données personnelles (par exemple, les données de santé ou les données biométriques) en évaluant les risques potentiels découlant d’un tel traitement et en s’assurant que le consentement explicite des personnes concernées a bien été recueilli ou que le traitement se fonde sur l’une des exceptions prévue par la loi applicable transposant la directive données personnelles et par la suite le RGDP pour permettre de procéder à un tel traitement (par exemple, lorsque le traitement est nécessaire pour permettre la défense des intérêts vitaux de la personne concernée ou d’une autre personne ou qu’il porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice) ; Mettre en œuvre des mesures techniques et d’organisation ● appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés en prenant en compte les mesures de pseudonymisation et de cryptage des données personnes, en s’assurant de leur disponibilité et en mettant en place un processus de tests réguliers, en mesurant et en évaluant l’effectivité de ces mesures techniques et d’organisation ;

Sauf dans certains cas de figure énumérés dans la législation applicable en matière de protection des données : jusqu'au 24 mai 2018, (sous le régime de la Directive ● Données personnelles), informer les personnes concernées du traitement de leurs données personnelles, des destinataires des données, de l’identité du responsable de traitement et ses finalités, ainsi que de leurs droits d’accès, de rectification et, dans certains cas, d’opposition à ce traitement et, le cas échéant, leur permettre d’exercer ces droits ; à partir du 25 mai 2018 (sous le régime du RGPD), informer ● les personnes concernées du traitement de leurs données personnelles et (a) l’identité et les coordonnées du responsable de traitement (b) les coordonnées du responsable de la protection des données, (c) le but du traitement et son fondement légal, (d) le cas échéant, les intérêts légitimes, (e) les destinataires ou les catégories de destinataires des données personnelles, (f) le cas échéant, le fait que Worldline ait l’intention de transférer les données personnelles à un pays tiers, (g) la période pour laquelle les données personnelles vont être stockées, (h) l’existence du droit de demander au responsable de traitement l’accès aux données personnelles, la rectification ou l’effacement de ces données ou la limitation du traitement relatif à la personne concernée ou de s’opposer à leur traitement, ainsi que le droit à la portabilité des données, (i) l’existence du droit au retrait du consentement à tout moment, (j) le droit de déposer plainte auprès d’une autorité de contrôle, (k) y compris dans les cas où la communication de données personnelles est imposée par la loi ou par un contrat, ou pour la conclusion d’un contrat, ainsi que dans les cas où la personne concernée est tenue de fournir des données personnelles et si les conséquences éventuelles d’un manquement à cette communication de données et (l) le cas échéant, l’existence d’une prise de décision automatisée, incluant le profilage ; Ne procéder au transfert de données personnelles en ● dehors de l’EEE que lorsque le pays destinataire a été considéré par la Commission européenne comme assurant un niveau de protection adéquat ou que le transfert est encadré par des clauses contractuelles types établies par la Commission européenne ; à cet égard, il convient de noter que le groupe Atos a été, en novembre 2014, le premier groupe de services informatiques à obtenir la validation de ses Règles Contraignantes d’Entreprises (Binding Corporate Rules ou « BCR ») à la fois en tant que responsable de traitement et en tant que sous-traitant. Les conséquences bénéfiques de cette validation sont détaillées dans la Section C.5.5.2 ci-dessous ; Avoir recours uniquement à des sous-traitants qui ● fournissent les garanties nécessaires pour mettre en œuvre les mesures techniques et d’organisation ; Tenir un registre des activités de traitement en tant que ● responsable de traitement de données ; Suivre les principes de la protection des données par ● conception et de la protection des données par défaut lors de la conception de solutions et de la préparation des activités de traitement.

64

Worldline Document de Référence 2017