DELIBERATION n°2017-165 du 1 JUIN 2017

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2017-165 du 1 JUIN 2017
Délibération n° 2017-165 du 1 juin 2017 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d’entreprise (BCR) « responsable de traitement » et « sous-traitant » du groupe BOX.(BCR-040)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, notamment ses articles 101 et 103 ;

Sur la proposition de Mme/M. Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

En application de l’article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l’Union européenne, ni de l’Espace économique européen ou qui n’assurent pas un niveau de protection suffisant sont interdits.

Néanmoins, il peut être fait exception à cette interdiction par application de l’article 69 de la loi précitée, notamment par décision de la Commission nationale de l’informatique et des libertés lorsqu’un niveau de protection suffisant est apporté aux données transférées par l’intermédiaire de règles internes, c’est-à-dire des règles contraignantes d’entreprise (« binding corporate rules » - BCR) constituant un code de conduite interne s’imposant à toutes les entités d’un même groupe.

Au terme d’une procédure de coopération, la Commission et les autorités européennes de protection des données compétentes ont reconnu les BCR « responsable de traitement » et les BCR « sous-traitant » du groupe BOX (dont le siège social mondial est situé (BOX, Inc.

900 Jefferson Ave., Redwood City, CA 94063 – USA) conformes aux exigences posées par les documents de référence adoptés par le Groupe de travail de l’article 29.

Ainsi, ces BCR sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe BOX.

Les organismes mentionnés à l’article 1er ci-dessous, qui se réfèreront à la présente autorisation unique (n° BCR-xx) et adresseront à la Commission un engagement de conformité à celle-ci, seront autorisés à mettre en œuvre leurs transferts.

Un transfert ne peut être autorisé que dans la mesure où :

lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l’informatique et des libertés, et

le transfert est réalisé dans le strict respect du cadre défini par cette formalité.

Tout transfert de données à caractère personnel qui excèderait le cadre ou les exigences définis par la présente autorisation unique devra faire l’objet d’une décision d’autorisation spécifique.

Article 1 : Sur les responsables de traitement / champ d’application

Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe BOX, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe BOX et ayant mis en œuvre les engagements pris au titre des BCR « responsable de traitement ».

Peuvent également adresser un engagement de conformité à la présente autorisation unique les responsables de traitement ayant recours à des entités du groupe BOX, agissant en qualité de sous-traitant, étant juridiquement liées par les BCR « sous-traitant » du groupe BOX et ayant mis en œuvre les engagements pris au titre des BCR « sous-traitant ». De plus, les BCR « sous-traitant » du groupe BOX doivent être rendues contraignantes à l’égard des responsables de traitement par le biais des contrats de prestation conclus avec les sous-traitants concernés.

Article 2 : Sur les finalités des transferts

2.1 Sur les finalités des transferts opérés sur la base des BCR « responsable de traitement » du groupe BOX

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe BOX et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :

Transferts opérés sur la base des BCR « responsable de traitement » du groupe BOX :

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe BOX et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :

s’agissant des salariés et assimilés:

la gestion des ressources humaines ;

la gestion des recrutements ;

la gestion des carrières et des formations ;

la gestion de la mobilité professionnelle ;

la gestion des paies et autres avantages (notamment primes) ;

la gestion des déplacements professionnels ;

la gestion des prestations sociales et assimilées (notamment régimes de retraite, assurance-vie, assurance-maladie) ;

la gestion opérationnelle des salariés et assimilés (notamment promotions, déploiement de projets, sanctions disciplinaires) ;

le respect des règles de santé, sécurité, et autres obligations légales s’imposant à BOX en tant qu’employeur en application de la législation applicable ;

la mise à disposition d’outils informatiques, systèmes d’information, outils relatifs à la sécurité ou la cybersécurité ;

la gestion des badges et contrôle d’accès (hors dispositifs biométriques) ;

la communication interne et externe.

s’agissant des clients et contacts professionnels de BOX (utilisateurs personnes physiques):

la conclusion et l’exécution des contrats ;

le respect des obligations légales et réglementaires ;

le traitement des inscriptions et la gestion des abonnements en cours ;

la gestion des comptes utilisateurs ;

la fourniture, l’exploitation, le maintien et l’amélioration des services BOX ;

la possibilité pour les clients d’accéder et d’utiliser les services BOX, y compris le chargement, le téléchargement, la collaboration et le partage de contenu et l’envoi d’emails au nom des clients ;

l’envoi d’avis techniques, mises à jour, alertes de sécurité et messages d’assistance et administratifs aux clients ;

la fourniture et la livraison de services et de fonctionnalités que les clients demandent, le traitement et la réalisation de transactions et l’envoi aux clients des informations associées, y compris les confirmations d’achat et les factures ;

la réponse aux commentaires, questions et demandes des clients et la fourniture d’une assistance et d’un service clientèle ;

la publicité ciblée, opérations marketing et promotionnelles, notamment la communication avec les clients, dans les conditions prévues par la loi applicable, à des fins marketing, y compris l’information régulière des clients sur les services, les fonctionnalités, les enquêtes, les bulletins d’information, les offres, les promotions, les concours et les évènements, et la fourniture d’autres informations ou d’informations sur BOX et ses partenaires privilégiés (notamment, la communication d’informations personnelles relatives aux clients à des fins marketing et/ou l’envoi aux clients de supports promotionnels correspondant strictement à leurs préférences) ;

le traitement des inscriptions et la livraison des récompenses aux concours ou loteries publicitaires ;

la surveillance et l’analyse des tendances, de l’utilisation et des activités en relation avec les services BOX et à des fins marketing ou de publicité conformément à la loi applicable ;

la réalisation d’enquêtes et la prévention d’opérations frauduleuses, de l’accès non-autorisé aux services BOX, et d’autres activités illégales ;

la personnalisation et l’amélioration des services BOX, et la fourniture de contenu, de fonctions et/ou d’annonces qui correspondent aux intérêts et aux préférences des clients, ou autre personnalisation de l’expérience des clients des services BOX conformément à la loi applicable ;

la mise en relation ou le rapprochement avec d’autres informations que BOX reçoit de tiers, pour les aider à comprendre les besoins des clients et leur fournir un meilleur service conformément à la loi applicable;

la possibilité pour les clients de communiquer, de collaborer et de partager des fichiers avec des utilisateurs désignés par les clients.

2.2 Sur les finalités des transferts opérés sur la base des BCR « sous-traitant » du groupe BOX

Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe BOX et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :

Finalités de transferts pour l’ensemble des personnes concernées :

les traitements mis en œuvre conformément aux instructions du client (responsable de traitement) stipulées dans le contrat conclu entre ce client et un membre du groupe BOX Inc. agissant en qualité de sous-traitant ;

les traitements initiés par le client (responsable de traitement) dans le cadre de son utilisation des services des membres du groupe BOX ;

les finalités définies par BOX pour les traitements mis en œuvre par BOX en qualité d’hébergeur de données agissant comme sous-traitant pour le compte du client, tels que spécifiées aux conditions contractuelles de BOX

la mise en œuvre des opérations commerciales et l’exécution des contrôles clients ;

l’hébergement et stockage des données ;

le chiffrement des données ;

l’effacement et/ou destruction des données/fichiers de données sur demande des clients ;

l’utilisation des données relatives aux comptes utilisateurs pour les stricts besoins du fonctionnement du service.

Article 3 : Sur les catégories de données personnelles transférées

3.1 Sur les catégories de données personnelles transférées sur la base des BCR « responsable de traitement » du groupe BOX

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe BOX et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :

Pour les transferts relatifs aux salariés et assimilés :

état civil/identité/données d’identification ;

vie professionnelle ;

données de connexion ;

numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;

informations d’ordre économique et financier ;

décès des personnes.

Pour les transferts relatifs aux clients et contacts professionnels de BOX (utilisateurs personnes physiques):

état civil/identité/données d’identification ;

vie professionnelle ;

vie personnelle ;

données de connexion ;

données de localisation ;

informations d’ordre économique et financier ;

décès des personnes.

3.2 Sur les catégories de données personnelles transférées sur la base des BCR « sous-traitant » du groupe BOX

Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe BOX et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :

Catégories de données personnelles transférées :

état civil/identité/données d’identification ;

vie professionnelle ;

vie personnelle ;

données de connexion ;

données de localisation ;

numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;

informations d’ordre économique et financier ;

infractions, condamnations, mesures de sûreté ;

opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, origine raciale ;

données biométriques ;

décès des personnes ;

appréciation sur les difficultés sociales des personnes, (dans le respect de la législation applicable).

étant précisé que le transfert de données sensibles au sens de l’article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :

le traitement auquel ce transfert se rattache a préalablement fait l’objet, lorsque cela est requis, d’une autorisation par la Commission nationale de l’informatique et des libertés, et

ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Article 4 : Sur les catégories de personnes concernées par les transferts

4.1 Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « responsable de traitement » du groupe BOX

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe BOX et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

salariés,

clients (actuels ou potentiels),

visiteurs.

4.2 Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « sous-traitant » du groupe BOX

Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe BOX et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

salariés ;

usagers ;

adhérents ;

étudiants/élèves ;

clients (actuels ou potentiels et clients de clients) ;

visiteurs.

Article 5 : Sur les destinataires habilités à accéder aux données transférées

5.1 Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « responsable de traitement » du groupe BOX

Peuvent seules être habilitées à accéder aux données les entités du groupe BOX juridiquement liées aux BCR « responsable de traitement » du groupe BOX et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe BOX et à leurs annexes.

5.2 Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « sous-traitant » du groupe BOX

Peuvent seules être habilitées à accéder aux données les entités du groupe BOX juridiquement liées aux BCR « sous-traitant » du groupe BOX et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « sous-traitant » du groupe BOX et à leurs annexes.

Article 6 : Sur les informations relatives à chaque transfert

6.1 Sur les informations relatives à chaque transfert encadré par les BCR « responsable de traitement » du groupe BOX

Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe BOX, précisant, pour chaque transfert, les informations suivantes :

la finalité générale du transfert,

la ou les catégories de données à caractère personnel transférées,

la ou les catégories de personnes concernées par le transfert,

les informations relatives à chaque destinataire des données :

raison sociale,

nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement »,

pays d’établissement,

catégorie de destinataire (ex : maison-mère, filiale), et

nature du traitement opéré par ce dernier.

6.2 Sur les informations relatives à chaque transfert encadré par les BCR « sous-traitant » du groupe BOX

Les responsables de traitement doivent, avec l’aide des sous-traitants appartenant au groupe BOX, tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 2 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « sous-traitant » du groupe BOX, précisant, pour chaque transfert, les informations suivantes :

la finalité générale du transfert,

la ou les catégories de données à caractère personnel transférées,

la ou les catégories de personnes concernées par le transfert,

les informations relatives à chaque destinataire des données :

raison sociale,

nom du groupe auquel le destinataire appartient et ayant adopté des BCR « sous-traitant »,

pays d’établissement,

catégorie de destinataire (ex : prestataire, partenaire commercial), et

nature du traitement opéré par ce dernier.

Article 7 : Sur les droits d'accès, de rectification et d'opposition des personnes

Les droits d’accès, de rectification et d’opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s’exercent auprès du ou des services que le responsable du traitement aura désignés.

Article 8 : Sur l'information des personnes

Les responsables de traitement doivent avoir clairement informé les personnes concernées de l’existence de transferts de données vers des pays tiers et des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d’établissement du destinataire des données, …).

La présente délibération sera publiée au Journal officiel de la République française.

Pour la Présidente Le Vice-Président délégué

Marie-France MAZARS

Annexe 1 : Modèle de documentation sur les transferts de données à caractère personnel encadrés par des BCR « responsable de traitement »

Transfert n°1

Modifications

(préciser la date et l’objet)

Date de mise en œuvre

Finalité générale du transfert

Catégories de personnes concernées

Nature des données personnelles transférées

Destinataire 1

Raison sociale

Pays d’établissement

Type de destinataire

(ex : maison-mère, filiale)

Nature du traitement opéré par le destinataire

(ex : lecture seule, saisie)

Destinataire 2

Raison sociale

Pays d’établissement

Type de destinataire

(ex : maison-mère, filiale)

Nature du traitement opéré par le destinataire

(ex : lecture seule, saisie)

Annexe 2 : Modèle de documentation sur les transferts de données à caractère personnel encadrés par des BCR « sous-traitant »

Transfert n°1

Modifications

(préciser la date et l’objet)

Date de mise en œuvre

Finalité générale du transfert

Catégories de personnes concernées

Nature des données personnelles transférées

Destinataire 1

Raison sociale

Nom du groupe auquel il appartient et ayant adopté des BCR « sous-traitant »

Pays d’établissement

Type de destinataire

(ex : prestataire, partenaire commercial)

Nature du traitement opéré par le destinataire

(ex : lecture seule, saisie)

Destinataire 2

Raison sociale

Nom du groupe auquel il appartient et ayant adopté des BCR « sous-traitant »

Pays d’établissement

Type de destinataire

(ex : prestataire, partenaire commercial)

Nature du traitement opéré par le destinataire

(ex : lecture seule, saisie)




Nature de la délibération: Autorisation unique
Date de la publication sur legifrance: 27 juin 2017