Délibération 2016-039 du 18 février 2016

Commission Nationale de l'Informatique et des Libertés
Délibération n°2016-039 du 18 février 2016
Délibération n° 2016-039 du 18 février 2016 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « sous-traitant » du groupe Salesforce (BCR-024)
NOR: CNIL1605451
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 101 et 103 ;


Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou Binding Corporate Rules [BCR] constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR sous-traitant aux exigences posées par les documents de référence adoptés par le groupe de travail de l'article 29. A ce titre, les BCR sous-traitant du groupe Salesforce (dont le siège social mondial est situé The Landmark @ One Market, Suite 300, San Francisco, CA 94105, Etats-Unis) sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe Salesforce.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à l'autorisation unique n° BCR-024 et adresseront, à cette fin, à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Article 1


Sur les responsables de traitement/champ d'application.
Peuvent seuls adresser un engagement de conformité à la présente autorisation unique les responsables de traitement ayant recours à des entités du groupe Salesforce, agissant en qualité de sous-traitant, étant juridiquement liées par les BCR sous-traitant du groupe Salesforce et ayant mis en œuvre les engagements pris au titre des BCR sous-traitant . De plus, les BCR sous-traitant du groupe Salesforce doivent être rendues contraignantes à l'égard des responsables de traitement par le biais des contrats de prestation conclus avec les sous-traitants concernés.

Article 2


Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR sous-traitant du groupe Salesforce et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :


- les traitements mis en œuvre conformément aux instructions du client (responsable de traitement) stipulées dans le contrat conclu entre ce client et un membre du groupe Salesforce agissant en qualité de sous-traitant ; et
- les traitements initiés par le client (responsable de traitement) dans le cadre de son utilisation des services dénommés Sales Cloud, Service Cloud, Chatter, Communities et Force.com.

Article 3


Sur les catégories de données personnelles transférées.


Conformément au champ matériel et à la description des transferts couverts par les BCR sous-traitant du groupe Salesforce et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus et déterminées par les clients (responsables de traitement), les catégories de données à caractère personnel suivantes :
- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté (lorsque ces données peuvent être collectées localement par les responsables de traitement qui doivent ou ont la possibilité de les collecter conformément au droit applicable) ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, origine raciale (lorsque ces données peuvent être collectées localement par les responsables de traitement qui doivent ou ont la possibilité de les collecter conformément au droit applicable) ;
- données biométriques (lorsque ces données peuvent être collectées localement par les responsables de traitement qui doivent ou ont la possibilité de les collecter conformément au droit applicable) ;
- décès des personnes ;
- identité/données d'identification des investigateurs ;
- appréciation sur les difficultés sociales des personnes (lorsque ces données peuvent être collectées localement par les responsables de traitement qui doivent ou ont la possibilité de les collecter conformément au droit applicable) ;
- données de l'assurance maladie (lorsque ces données peuvent être collectées localement par les responsables de traitement qui doivent ou ont la possibilité de les collecter conformément au droit applicable),


étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés, et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Article 4


Sur les catégories de personnes concernées par les transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR sous-traitant du groupe Salesforce et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus et déterminées par les clients (responsables de traitement), les données à caractère personnel relatives aux catégories de personnes suivantes :


- salariés (actuels ou anciens), et leurs personnes à charge ;
- stagiaires (actuels ou anciens) ;
- usagers ;
- adhérents, ;
- étudiants/élèves ;
- clients (actuels ou potentiels) ;
- visiteurs ;
- clients finaux des revendeurs ;
- clients finaux des clients ;
- fournisseurs et partenaires commerciaux ;
- candidats à un emploi ;
- travailleurs indépendants (actuels ou anciens) ;
- consultants (actuels ou anciens) ;
- visiteurs du site internet.

Article 5


Sur les destinataires habilités à accéder aux données transférées.
Peuvent seules être habilitées à accéder aux données les entités du groupe Salesforce juridiquement liées aux BCR sous-traitant du groupe Salesforce et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR sous-traitant du groupe Salesforce et à leurs annexes.

Article 6


Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent, avec l'aide des sous-traitants appartenant au groupe Salesforce, tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR sous-traitant du groupe Salesforce, précisant, pour chaque transfert, les informations suivantes :


- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR sous-traitant ;
- pays d'établissement ;
- catégorie de destinataire (ex. : prestataire, partenaire commercial), et
- nature du traitement opéré par ce dernier.

Article 7


Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que le responsable du traitement aura désignés.

Article 8


Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données...).


La présente délibération sera publiée au Journal officiel de la République française.



  • ANNEXE
    MODÈLE DE DOCUMENTATION SUR LES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL ENCADRÉS PAR DES BCR SOUS-TRAITANT



    TRANSFERT N°1

    MODIFICATIONS
    (préciser la date et l'objet)

    Date de mise en œuvre

    Finalité générale du transfert

    Catégories de personnes concernées

    Nature des données personnelles transférées

    Destinataire 1

    Raison sociale

    Nom du groupe auquel il appartient et ayant adopté des BCR sous-traitant

    Pays d'établissement

    Type de destinataire
    (ex. : prestataire, partenaire commercial)

    Nature du traitement opéré par le destinataire
    (ex. : lecture seule, saisie)

    Destinataire 2

    Raison sociale

    Nom du groupe auquel il appartient et ayant adopté des BCR sous-traitant

    Pays d'établissement

    Type de destinataire
    (ex. : prestataire, partenaire commercial)

    Nature du traitement opéré par le destinataire
    (ex. : lecture seule, saisie)


Pour la présidente :

La vice-présidente déléguée,

M.-F. Mazars




Nature de la délibération: AUTORISATION UNIQUE
Date de la publication sur legifrance: 27 février 2016