Questions fréquentes








télécharger 48.88 Kb.
titreQuestions fréquentes
date de publication05.10.2017
taille48.88 Kb.
typeDocumentos
l.21-bal.com > loi > Documentos
Vos données, vos droits: Règles Internes d’Entreprise Ericsson applicables aux sous-traitants en matière de protection des données

Introduction


Ericsson mène ses activités selon des principes d’Intégrité, de transparence et responsabilité. En tant que société sous-traitante de traitements d’énormes volumes de données à caractère personnel appartenant à nos Clients (pour plus d’informations, consultez notre liste terminologique à la fin de ce document), nous devons veiller au respect des droits en matière de confidentialité et à la mise en place de règles de protection des données adaptées.

Nous exerçons notre activité dans un monde des affaires résolument interconnecté et très international, qui nécessite une réponse adaptée pour garantir la protection des données. Nos Règles Internes d’Entreprise (« BCR » pour « Binding Corporate Rules ») applicables aux sous-traitants définissent des règles efficaces et homogènes régissant le traitement des données à caractère personnel dans les différentes activités mondiales d’Ericsson. Nos BCR nous aident à respecter les normes de protection des données au sein de l’Union européenne (« UE ») et de l’Espace économique européen (« EEE »)

Le document suivant témoigne de notre volonté de transparence et contient des informations sur notre approche en matière de protection des données. Il contient des informations complètes sur les différents aspects de nos BCR qui confèrent des droits aux personnes, aussi appelées « Intéressés » (pour plus d’informations, consultez notre liste terminologique à la fin de ce document), dont nous traitons les données à caractère personnel pour le compte de nos Clients. L’objectif du présent document est d’aider les Intéressés de l’Espace économique européen à comprendre les normes appliquées au sein de notre société, ainsi que les droits qu’ils pourront faire valoir en cas de problème. Dans la mesure où il existe une divergence entre le texte de ce document et les BCR, celui des BCR prévaudra.

Questions fréquentes


À quoi servent les Règles Internes d’Entreprise (BCR) ?

Les Règles Internes d’Entreprise, ou BCR, sont un code de conduite contraignant qui régit la manière dont une entreprise multinationale transfère des données à caractère personnel entre différentes entités au sein de son groupe d’entreprises. Une entreprise multinationale compte plusieurs filiales implantées partout dans le monde et donc soumises à différentes législations locales. Bien que certaines législations nationales garantissent un niveau de protection élevé des données à caractère personnel, d’autres peuvent se révéler insuffisantes face à la norme fixée par l’UE/EEE : Directive sur la protection des données (et le Règlement Européen sur la protection des données qui succèdera à ladite Directive à partir du 25 mai 2018). Par conséquent, la plupart des données à caractère personnel soumises aux différentes législations des États membres de l’UE/EEE ne peuvent pas être transférées vers des pays ne disposant d’aucune protection adaptée, sauf en la présence de garanties supplémentaires en place, comme par exemple, l’approbation d’un ensemble de BCR.

Lorsque nous réalisons nos prestations de services, nous agissons en tant que Société sous-traitante pour nos Clients qui, quant à eux, sont Responsables de traitement. Nos Clients déterminent la cause et la manière dont leurs données à caractère personnel devront être traitées, et nous effectuons ce traitement à leur place. Pour garantir que nous sommes un partenaire responsable pour de nos Clients, nous avons adopté nos propres BCR qui ont été approuvées par les Autorités de protection des données compétentes de l’UE/EEE. L’Autorité suédoise de protection des données (Datainspektionen) a fait office d’autorité principale au cours de ce processus d’approbation.

À quel moment les BCR d’Ericsson s’appliquent-elles ?

Nos BCR s’appliquent à toutes les données à caractère personnel traitées par Ericsson pour le compte de nos Clients et transférées de l’UE/EEE vers un pays tiers (à savoir un pays non-membre de l’UE/EEE) ou consultées depuis un pays tiers. Pour plus d’informations sur le champ d’application de nos BCR, consultez la rubrique « F » (Champ d’application matériel et description des transferts) ci-dessous.

Dans quelles mesures les BCR d’Ericsson affectent-elles mes droits ?

En cas de violation des BCR, vous pouvez alors obtenir réparation auprès d’Ericsson dans le cas où il ne vous serait pas possible de vous retourner contre l’entité pour laquelle nous traitons vos données à caractère personnel (à savoir notre Client), soit parce qu’elle a disparu ou cessé d’exister en droit, soit parce qu’elle est devenue insolvable. Pour plus d’informations, consultez la rubrique « B » (Droits du tiers bénéficiaire pour les Intéressés) ci-dessous.

Comment puis-je obtenir plus de renseignements ?

Si vous souhaitez obtenir plus d’informations sur la manière dont nous traitons vos données à caractère personnel pour le compte de nos Clients, ou si vous pensez avoir été victime d’une violation de vos données à caractère personnel, n’hésitez pas à nous contacter en utilisant les coordonnées indiquées à la fin de ce document.1

Informations sur les droits des bénéficiaires dans le cadre de nos BCR

A. Devoir de respect des BCR


Tous les membres du groupe Ericsson, employés et main-d’œuvre externe, doivent respecter les BCR et le Contrat de service. Notre devoir est de respecter les instructions du Client en matière de traitement des données, comme prévu dans le Contrat de service. L’Équipe principale du Groupe Ericsson chargée du respect de la confidentialité devra fournir une aide et des conseils en cas de problèmes de conformité en matière de confidentialité.

B. Droits du tiers bénéficiaire pour les Intéressés

En cas d’impossibilité pour un Intéressé de déposer une réclamation auprès du Client concerné, si ce dernier a matériellement disparu ou cessé d’exister en droit ou s’il est devenu insolvable, et à moins qu’une entité succédant au Client assume l’ensemble des obligatoires légales du Client par contrat ou application de la loi, alors les obligations suivantes s’appliqueront :

      1. Les Intéressés ont le droit de faire appliquer les présentes BCR à toute Entité du groupe Ericsson ayant violé les présentes BCR.

      2. La partie contractante de l’EEE2 avec le Client a la responsabilité de, et devra prendre les actions nécessaires pour régulariser les agissements des Entités du groupe Ericsson implantées hors de l’EEE ou remédier aux violations causées par des sous-traitants externes implantés hors de l’EEE et indemniser les Intéressés pour tout préjudice résultant de la violation des présentes BCR.

      3. Ericsson AB peut assumer cette responsabilité, toutefois, l’Intéressé a la possibilité de s’adresser à l’entité chargée du traitement des données à caractère personnel implantée dans son propre pays, à savoir la partie contractante de l’EEE du Client, s’il le souhaite.

L’Entité du groupe Ericsson ayant assumé ses responsabilités, conformément aux points ii. ou iii. ci-dessus, sera alors responsable si lesdites violations ont été causées par cette dernière et non par l’Entité du groupe Ericsson implantée hors de l’EEE ou à la place du sous-traitant externe implanté hors de l’EEE.

Par ailleurs, si une Société du groupe Ericsson ayant assumé ses responsabilités, conformément aux points ii et iii ci-dessus, peut prouver que le membre du groupe implanté hors de l’EEE n’est pas responsable de cet agissement, elle pourra se décharger de toute responsabilité.

C. Responsabilité envers le Client

Le Client a le droit de faire appliquer ces BCR et le Contrat de service à n’importe quelle Entité du groupe Ericsson pour toute violation qu’elle aura commise, y compris le droit de les faire appliquer à la partie contractante dans l’EEE avec le Client si une violation a été causée par un sous-traitant externe implanté hors de l’EEE.

La partie contractante de l’EEE avec le Client, et Ericsson AB le cas échéant, a la responsabilité de, et devra prendre les actions nécessaires pour remédier aux agissements des Entités du groupe Ericsson implantées hors de l’EEE ou remédier aux violations causées par un sous-traitant externe implanté hors de l’EEE et verser des indemnités pour tout dommage résultant de la violation des présentes BCR, tel que prévu au Contrat de service.

La partie contractante de l’EEE avec le Client devra assumer cette responsabilité si ladite violation a été causée par la partie contractante de l’EEE avec le Client elle-même, et non l’Entité du groupe Ericsson implantée hors de l’EEE ou le sous-traitant externe implanté hors de l’EEE.

Par ailleurs, si la partie contractante de l’EEE avec le Client peut prouver que le membre du groupe implanté hors de l’EEE n’est pas responsable de cet agissement, elle pourra se décharger de toute responsabilité.

D. Processus de traitement des réclamations


Les Intéressés souhaitant déposer une réclamation ou une demande devront envoyer un
e-mail à ericsson.group.privacy@ericsson.com, de préférence conformément à l’instruction suivante :
Comment communiquer en toute sécurité par e-mail avec les utilisateurs Ericsson. Ces réclamations ou demandes devront être reportées dans l’outil SIMS3, communiquées au Client concerné et gérées par ce dernier conformément aux instructions4 mentionnées dans le Contrat de service.

Si un Client a matériellement disparu ou cessé d’exister en droit ou s’il est devenu insolvable et qu’aucune entité succédant au Client n’a repris l’ensemble des obligations légales du Client par contrat ou en vertu de la loi, alors le Groupe Ericsson s’occupera de la gestion des réclamations des Intéressés conformément à la procédure suivante :

À la réception des réclamations, une confirmation devra être envoyée et un délai initial pour leur traitement communiqué au demandeur. Ce dernier sera également informé des conséquences selon que sa réclamation soit refusée, ou qu’elle soit considérée comme étant justifiée. Il est aussi informé des conséquences dans le cas où il ne serait pas satisfait des réponses fournies, comme le droit de déposer une réclamation devant les instances judiciaires et/ou les autorités de protection des données compétentes. Les réclamations seront prises en charges par la Direction des Affaires juridiques du Groupe.

L’Autorité de protection des données compétente sera l’Autorité suédoise de protection des données (où se trouve le siège mondial d’Ericsson), ou celle du pays où est implantée la partie contractante de l’EEE du Client, ou celle de tout autre pays où l’Intéressé a légalement le droit d’intenter une action devant l’Autorité de protection des données. L’instance juridique compétente sera une instance suédoise (où se trouve le siège mondial d’Ericsson), ou celle du pays où est implantée la partie contractante de l’EEE du Client, ou celle de tout autre pays où l’Intéressé a légalement le droit d’intenter une action devant une instance juridique.

E. Devoir de coopération avec le Client et les Autorités de protection des données

Les Entités du groupe Ericsson ont le devoir de coopérer avec et d’accepter un audit de l’Autorité de protection des données compétente ou des Clients concernés. Si une Autorité de protection des données venait à émettre une décision contraignante, alors elle devra être respectée au sein du Groupe Ericsson lorsqu’Ericsson n’a pas choisi de faire appel de la décision. Les Entités du groupe Ericsson devront également tenir compte de tout conseil donné pour résoudre les problèmes liés aux réglementations en matière de confidentialité. Les Autorités de protection des données peuvent donner des conseils concernant tout problème lié à la protection des données, auquel cas une Entité du groupe Ericsson sera chargée d’en informer l’Équipe principale du Groupe chargée du respect de la confidentialité, le cas échéant, cherchant des conseils sur ce sujet.

F. Champ d’application matériel et description des transferts

Les présentes BCR doivent assurer un niveau adéquat de protection des données à caractère personnel lors de leur transfert de l’Espace économique européen vers un pays tiers qui ne dispose pas d’un niveau de protection adéquat.

Ces BCR sont applicables à l’ensemble du groupe Ericsson lorsqu’Ericsson est la Société sous-traitante de données5 et qu’un Client est le Responsable de traitement.

Ces règles sont applicables au traitement électronique des données à caractère personnel et aux systèmes de classement papier accessibles de manière systématique. Voici quelques exemples des activités concernées :

Services gérés,

Service client,

Livraison logicielle à distance,

Analyses de data mining et du Big Data,

Analyses commerciales et de R&D,

Services Cloud,

M-Commerce,

Gestion de compte,

Marketing, ventes et promotions,

Affaires gouvernementales et réglementaires.

Les Entités du groupe Ericsson concernées par ces BCR sont Telefonaktiebolaget LM Ericsson (LME) et toute société ou entité juridique dont LME, directement ou indirectement, détient plus de 50 % du capital social, détient plus de 50 % des droits de vote aux assemblées générales des actionnaires ou a le pouvoir de nommer la majorité des directeurs de ladite société ou entité juridique.

Le Client devra également s’assurer que ces BCR sont appliquées à tous les transferts et au traitement de ses données à caractère personnel réalisés par Ericsson.

G. Principes en matière de protection de la vie privée

Transparence et équité

Les Clients devront être informés des pays dans lesquels les Entités du groupe Ericsson ou les sous-traitants externes procèderont au traitement de leurs données à caractère personnel. Toute modification concernant lesdits pays devra être communiquée aux Clients concernés.

Les informations relatives aux activités de traitement applicables devront être communiquées aux Clients et aux Autorités de protection des données concernées, selon le principe du « besoin d’en connaître ». Toute modification importante liée au traitement devra être communiquée aux Clients concernés.

Les Clients et Autorités de protection des données concernés devront être rapidement notifiés si une législation existante ou future, déjà anticipée, empêche la conformité prévue par les présentes BCR ou le Contrat de service en vigueur. Dans ce cas, le Client aura le droit de suspendre le transfert de ses données.

Lorsque la loi l’autorise, les Clients seront rapidement informés si une autorité chargée de l’application des lois demande à Ericsson de divulguer les données à caractère personnel du Client.

Limitation de la finalité

Toutes les données à caractère personnel traitées pour le compte du Client devront uniquement être recueillies et traitées conformément aux obligations légales ou contractuelles. Ericsson devra respecter le principe selon lequel seul le Client peut donner la définition et la finalité des données à caractère personnel traitées en son nom.

Les données à caractère personnel confiées à Ericsson et traitées pour le compte du Client devront lui être renvoyées à la fin du contrat, sauf si ce dernier ordonne à Ericsson de détruire les données en sa possession.

Qualité des données

Toutes les Entités du groupe Ericsson doivent aider le Client à se conformer aux lois de protection des données en vigueur, plus particulièrement ce qui concerne l’actualisation, la modification, la suppression ou l’Anonymisation des données.

Sur demande raisonnable du Client les dispositions nécessaires devront être prises pour la modification de toute inexactitude et la suppression des données à caractère personnel. Il conviendra de s’assurer que lesdites dispositions seront appliquées par l’ensemble des Entités du groupe Ericsson et leurs sous-traitants externes disposant des données à caractère personnel en question. Sauf indication contraire, les données à caractère personnel du Client devront être supprimées ou Anonymisées lorsqu’elles ne seront plus requises pour garantir le respect des obligations légales ou contractuelles.

Sécurité

Des mesures de sécurité, conformes aux exigences de la législation des États membres de l’EEE, concernant l’exportation des données du Client devront être appliquées et les instructions du Client définies dans le Contrat de service respectées, ainsi que les règles de sécurité du Groupe Ericsson mentionnées dans ses documents directeurs applicables. Lesdites mesures permettront de protéger les données à caractère personnel contre toute utilisation abusive ou destruction, perte, modification, divulgation ou accès accidentel. Les droits d’accès aux données à caractère personnel sont accordés individuellement, selon le principe du besoin d’en connaître, sauf accord contraire conclu avec le Client. Tout employé accédant à des données à caractère personnel devra respecter les obligations en matière de confidentialité, conformément aux accords de non-divulgation en vigueur. Toute violation de sécurité affectant la confidentialité des données à caractère personnel en cours de traitement pour le compte du Client devra immédiatement être signalée au Client concerné.

Le Processus de gestion des incidents de sécurité comporte les instructions obligatoires garantissant une signalisation et une gestion correctes de tout incident lié à la sécurité et à la protection de la vie privée pour éviter tout dommage et frais inutiles, et pour se conformer à la législation, aux règles et obligations contractuelles.

Droits des Intéressés :

Veuillez consulter les rubriques B (Droits du tiers bénéficiaire pour les Intéressés) et D (Processus de traitement des réclamations) du présent document.

Sous-traitance et transfert ultérieur

Le contrat de service conclu entre le Client et une Entité du groupe Ericsson préalablement à la prestation de service devra, de préférence, autoriser tout membre du Groupe Ericsson à sous-traiter des données. Ce contrat devra inclure des informations concernant les éléments principaux, tels que les parties, les pays, les mesures de sécurité, etc.

Dans le cas contraire et préalablement au traitement des données, le Client devra donner son accord au cas par cas.6 Avant de transférer des données à caractère personnel vers des sous-traitants externes, le Client devra donner son accord par écrit. Des instructions écrites, garantissant la mise en place d’une protection adéquate par des sous-traitants externes, devront être acceptées préalablement au traitement de toute donnée personnelle. Ces instructions devront inclure les dispositions suivantes qui devront être appliquées en accord avec les sous-traitants externes :

(a)Les données à caractère personnel devront uniquement être traitées conformément aux instructions d’Ericsson et aux fins autorisées par Ericsson.

(b)Les données à caractère personnel devront rester confidentielles.

(c)Toute sous-traitance ultérieure sera interdite sans un accord écrit d’Ericsson, qui devra préalablement obtenir l’aval du Client.

(d)Ericsson devra rapidement être informée de toute violation avérée ou suspectée de la confidentialité des données.

(e)Des mesures devront être mises en place pour protéger les données à caractère personnel de ce type de risque.

En ce qui concerne les transferts ultérieurs des données à caractère personnel de l’EEE, Ericsson utilise des Clauses contractuelles types, conformément à la décision de la Commission européenne du 5 février 2010 concernant les clauses contractuelles types, pour le transfert de données à caractère personnel vers des sous-traitants implantés dans des pays tiers et en vertu de la Directive sur la protection des données de l’UE/EEE (et du Règlement Européen sur la protection des données qui succèdera à ladite Directive à partir du 25 mai 2018) ou d’une autre disposition juridique en matière de transfert, telle que les Règles d’Entreprise Contraignantes.

H. Liste des entités soumises aux BCR

Une liste des principales Entités du groupe Ericsson est disponible ici. Les BCR s’appliquent également à Ericsson India Global Services Private Limited en Inde. Les présentes règles sont également applicables si le recours à un sous-traitant externe a été autorisé.

I. Liste terminologique


Terme

Définition

Anonymisé

Éléments de données à caractère personnel ayant été supprimés pour éviter toute identification d’une personne, le terme « désidentifié » est également utilisé.

Règles Internes d’Entreprise

Code de conduite volontairement établi et suivi par les organisations multinationales. Ces règles visent à garantir la mise en place de protections adaptées pour le traitement et le transfert de données à caractère personnel entre des entités appartenant à un même groupe d’entreprises et soumises à ces règles d’entreprise. Ces règles se basent sur les règles européennes de protection des données à caractère personnel.

Client

Personne morale ou physique, autorité publique, agence ou toute autre entité avec laquelle Ericsson a conclu un Contrat de service pour le traitement de données à caractère personnel pour le compte de cette entité. Voir « Responsable de traitement » ci-dessous.

Responsable de traitement

Personne morale ou physique, autorité publique, agence ou toute autre entité qui, seule ou conjointement avec d’autres, détermine les objectifs et méthodes de traitement des données à caractère personnel. Dans ce contexte, le Responsable de traitement est une entité externe avec laquelle Ericsson a conclu un Contrat de service, tel un client, partenaire, etc.

Le Responsable de traitement est principalement responsable envers les Autorités de protection des données et les Intéressés de garantir la protection de leurs données à caractère personnel lors de leur transfert hors de l’EEE.

Sous-traitant de données

Personne morale ou physique, autorité publique, agence ou toute autre entité traitant des données à caractère personnel pour le compte du Responsable de traitement. Dans ce contexte, le Sous-traitant de données est une Entité du groupe Ericsson.

Intéressé

Personne identifiée ou identifiable à laquelle se rapportent des données à caractère personnel spécifiques. Il s’agit d’une personne pouvant être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs facteurs spécifiques (physique, physiologique, mental, économique, culturel, social).

Partie contractante de l’EEE

Entité Ericsson implantée dans un pays de l’EEE7 étant partie au Contrat de service conclu avec le Client.

Données à caractère personnel

Toute information concernant un Intéressé.

Atteinte à la vie privée

Accès, utilisation ou divulgation non autorisés d’Informations personnelles et interdits par une loi, réglementation ou contrat, qui compromet la sécurité et la confidentialité de données à caractère personnel et constituant un risque important d’usurpation d’identité, de fraude ou de préjudice pour une personne. Ceci inclut toute destruction, perte, modification accidentelle ou illégale ou toute divulgation non autorisée de données à caractère personnel.

Traitement

Toute opération ou ensemble d’opérations, automatiques ou non, réalisées sur des données à caractère personnel (par exemple : collecte, enregistrement, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, suppression ou destruction, etc.).

Pays tiers

Pays situé hors de l’EEE.

La Commission européenne gère une liste de pays tiers garantissant un niveau satisfaisant de protection des données.

Tiers bénéficiaire

Personne extérieure à un contrat, mais disposant de droits légaux pour faire appliquer le contrat ou percevoir une part des bénéfices (contrat ayant été rédigé à l’avantage d’un tiers).

Coordonnées


Si vous avez des questions concernant les BCR d’Ericsson ou plus généralement notre approche en matière de protection des données à caractère personnel, n’hésitez pas nous contacter à l’adresse e-mail suivante :

ericsson.group.privacy@ericsson.com

ou par courrier à l’adresse suivante :

Group Data Protection Officer, Ericsson AB, Group Function Legal Affairs, 164 80 Stockholm, Suèdu

1 Le Client doit fournir, sur demande, aux Intéressés une copie complète de nos BCR et du Contrat de service régissant nos relations avec eux (hormis toute information commerciale confidentielle ou sensible).

2 L’Entité du groupe Ericsson implantée au sein de l’EEE ayant conclu le Contrat de service avec le Client.

3 Le système de gestion des incidents de sécurité (SIMS pour « Security Incident Management System ») enregistre les problèmes liés à la confidentialité et les transmet aux responsables de la sécurité pour qu’il puisse agir en conséquence.

4 Il indique les mesures à exécuter, les délais de réponse à respecter et les conséquences si une réclamation ou demande venait à ne pas être correctement traitée.

5 Principalement lié au transfert et au traitement international des données des abonnés du Client.

6 Remarque : Un Client a la possibilité d’empêcher ou de restreindre un transfert de données.

7 Espace économique européen (EEE) Se compose des États membres de l’UE, ainsi que de la Norvège, de l’Islande et du Liechtenstein.

similaire:

Questions fréquentes iconLe Conseil municipal est appelé à
«lieux publics» concernant l’utilisation de certains produits dans les lieux fréquentés par le grand public

Questions fréquentes iconCinq questions concernent les caractéristiques comportementales de...

Questions fréquentes iconDébat sur le thème «La forêt française en questions»
«La forêt française en questions», organisé à la demande du groupe Les Républicains

Questions fréquentes iconExamen de Werner Brevet Yachtman (questions du 07/03/2011)
«tuyaux crevés», mais reprend des exceptions et particularités qui méritent que l’on s’y attarde. Ecole Francophone de Navigation...

Questions fréquentes iconChapitre 1 Les grandes questions que se posent les économistes Questions centrales du chapitre 1

Questions fréquentes iconLittérature russe
Dans ma table des questions philosophico-religieuses, je formule les perplexités accablantes qui nous guettent sur toute l’étendue...

Questions fréquentes iconQuestions de révision

Questions fréquentes iconQuestions de cours de pc*

Questions fréquentes iconLe dif en 10 questions

Questions fréquentes iconQuestions diverses et généralités








Tous droits réservés. Copyright © 2016
contacts
l.21-bal.com