WORLDLINE_DOCUMENT_REFERENCE_2017

Descriptiondes activités duGroupe Réglementation

Accomplir les formalités requises auprès des autorités nationales en charge de la protection des données personnelles dans leurs pays respectifs (telles que la Commission nationale de l’informatique et des libertés en France) préalablement à la mise en œuvre d’un traitement ; ces formalités varient selon les droits nationaux. Jusqu’au 24 mai 2018, la violation de ces obligations par un responsable de traitement peut faire l’objet, selon les pays, de sanctions administratives, civiles ou pénales, notamment de peines d’amende pouvant aller jusqu’à 1,5 million d’euros pour les personnes morales en France. Avec l’entrée en vigueur du RGPD le 25 mai 2018, la violation par un responsable de traitement ou par un sous-traitant peut faire l’objet de sanctions administratives, civiles ou pénales, notamment de peines d’amende pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaires total annuel de l’exercice précédent, s’il est plus élevé. D’autres activités du Groupe le conduisent à agir en qualité de « sous-traitant » au sens de la Directive Données personnelles ou du RGPD. Dans ces cas de figure, le Groupe traite les données personnelles que ses clients lui confient et pour lesquels ils sont seuls responsables de traitement. Dès lors, l’ensemble des obligations décrites ci-dessus incombant aux responsables de traitement s’imposent uniquement aux clients mais le Groupe leur garantit néanmoins (i) de mettre en place des mesures techniques et organisationnelles destinées à protéger les données personnelles qu’ils lui communiquent notamment contre la perte accidentelle, l’altération ou la diffusion non autorisée, ou tout accès malveillant ou illégal et (ii) de traiter ces données conformément à leurs seules instructions et pour aucune autre finalité que celles qu’ils ont définies. Avec l’entrée en vigueur du RGPD le 25 mai 2018, le Groupe remplira spécifiquement les obligations suivantes : Traiter les données conformément aux instructions écrites ● exclusives du client et à aucune autre fins que celles établies par le client ; Mettre en œuvre des mesures techniques et d’organisation ● pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés en prenant en compte les mesures de pseudonymisation et de cryptage des données personnes, en s’assurant de leur disponibilité et en mettant en place un processus de tests réguliers, en mesurant et en évaluant l’effectivité de ces mesures techniques et d’organisation ; Ne pas impliquer d’autre sous-traitant sans un accord ● préalable ou une autorisation écrite générale du responsable de traitement ; Aider le responsable de traitement à garantir le respect des ● obligations pertinentes du RGPD ; Sur demande du responsable de traitement, supprimer ou ● lui renvoyer toutes les données personnelles à l’issue de la fourniture de services liée au traitement de donnée, et de supprimer les copies existantes ; Mettre à disposition du responsable de traitement toutes les ● informations nécessaires pour démontrer le respect des obligations pertinentes du RGPD ;

Tenir un registre des activités de traitement en tant que ● responsable de traitement de données ; Suivre les principes de la protection des données par ● conception et de la protection des données par défaut lors de la conception de solutions et de la préparation des activités de traitement. Bien que le droit des données personnelles ait été largement harmonisé dans l’EEE, la transposition de la directive « données personnelles » dans les droits nationaux des Etats membres a pu donner lieu à des régimes pouvant varier entre eux et être parfois plus restrictifs que celui imposé par la Directive Données personnelles. Avec l’entrée en vigueur du RGPD, cette harmonisation sera renforcée, bien que les clauses liminaires du règlement permettent une marge de manœuvre plus étroite pour les variations nationales, dans le cadre de la législation sur les données personnelles et des instances de contrôles. Afin d’assurer une approche coordonnée et harmonisée respectant les législations nationales applicables, le groupe Atos a adopté une « Politique Groupe relative à la Protection des Données Personnelles » (Politique AP17), laquelle a force obligatoire pour l’ensemble de ses entités et de leurs salariés, y compris celles et ceux du Groupe Worldline. Cette politique est fondée sur trois piliers : Des principes fondés sur ceux de la Directive Données (i) personnelles et par la suite sur ceux du RGDP ; Un ensemble de procédures permettant de s’assurer de la (ii) mise en œuvre et le respect de ces principes ; et Un programme de formation de l’ensemble des salariés du (iii) Groupe adapté selon les postes et les responsabilités. Dans la mesure où les exigences relatives à la notification des autorités de protection des données ainsi que des personnes concernées en cas de violation de données à caractère personnel seront adaptées avec l'entrée en vigueur de RGDP, le Groupe actualisera, à cet égard, le processus déjà mis en œuvre pour la notification des violations de données à caractère personnel sur la base de la politique du groupe Atos "Politique en matière de violation de données à caractère personnel (politique AP21) ». Le respect des diverses législations nationales et la mise en œuvre effective de cette politique par le Groupe est assurée et encadrée par un réseau de protection des données personnelles, reposant sur une double expertise à la fois juridique et technique, composée de Responsables de la Protection des Données (Data Protection Officers) et de juristes référents dans chacune des entités du Groupe Worldline, composant ainsi un ensemble de Bureaux Locaux dédiés à la protection des données personnelles, lesquels sont coordonnés au niveau du groupe Worldline par Responsable Global de la Protection des Données (Global Data Protection Officer) et au niveau du groupe Atos par le Responsable Groupe de la Protection des Données (Group Chief Data Protection Officer), responsable du Bureau Global. L’ensemble des mesures décrites ci-dessus a été mis en œuvre pour respecter le RGPD. Un programme global de conformité RGPD Worldline, conforme au programme de conformité RGPD du groupe Atos et soutenu par différentes sous-pistes, met l'accent à la fois sur la mise en œuvre initiale de la nouvelle loi sur la protection des données et sur la préparation d’une conformité constante.

C

65

Worldline Document de Référence 2017