DELIBERATION n°2017-166 du 1 JUIN 2017

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2017-166 du 1 JUIN 2017
Délibération n° 2017-166 du 15 juin 2017 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d’entreprise (BCR) « responsable de traitement » du groupe LVMH.(BCR n° 041)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, notamment ses articles 101 et 103 ;

Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

En application de l’article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l’Union européenne, ni de l’Espace économique européen ou qui n’assurent pas un niveau de protection suffisant sont interdits.

Néanmoins, il peut être fait exception à cette interdiction par application de l’article 69 de la loi précitée, notamment par décision de la Commission nationale de l’informatique et des libertés lorsqu’un niveau de protection suffisant est apporté aux données transférées par l’intermédiaire de règles internes, c’est-à-dire des règles contraignantes d’entreprise (« binding corporate rules » - BCR) constituant un code de conduite interne s’imposant à toutes les entités d’un même groupe .

Au terme d’une procédure de coopération, la Commission et les autorités européennes de protection des données compétentes ont reconnu les BCR « responsable de traitement » du groupe LVMH (dont le siège social mondial est situé 22, avenue Montaigne, 75008 PARIS - France) conformes aux exigences posées par les documents de référence adoptés par le Groupe de travail de l’article 29.

Ainsi, ces BCR sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe LVMH.

Les organismes mentionnés à l’article 1er ci-dessous, qui se réfèreront à la présente autorisation unique (n° BCR-00) et adresseront à la Commission un engagement de conformité à celle-ci, seront autorisés à mettre en œuvre leurs transferts.

Un transfert ne peut être autorisé que dans la mesure où :

lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l’informatique et des libertés, et

le transfert est réalisé dans le strict respect du cadre défini par cette formalité.

Tout transfert de données à caractère personnel qui excèderait le cadre ou les exigences définis par la présente autorisation unique devra faire l’objet d’une décision d’autorisation spécifique.

Article 1er : Sur les responsables de traitement / champ d’application

Seules les entités du groupe LVMH agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR responsable de traitement du groupe LVMH et ayant mis en œuvre les engagements pris au titre des BCR peuvent adresser un engagement de conformité à la présente autorisation unique.

Article 2 : Sur les finalités des transferts

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe LVMH et à leurs annexes, seuls sont autorisés les transferts de données à caractère personnel ayant pour finalités :

celles relatives à l’administration des ressources humaines (employés, cadres, salariés temporaires ou à durée déterminée, candidats à un poste, stagiaires, employés ou candidats à un “VIE” (Volontariat International en Entreprises):

les relations avec les employés et l’administration générale des ressources humaines (y compris l’administration des droits ou avantages sociaux des employés, etc.) ;

la gestion des performances et plans de carrières (dans le respect des dispositions légales, réglementaires et contractuelles applicables) ;

la formation des employés ;

la mobilité des employés ;

l'accès aux données nécessaires à la gestion de la relation de travail ;

le respect des dispositions légales et règlementaires.

celles relatives à la gestion des systèmes d’information, des bases de données, des infrastructures et des services de gestion des affaires et des opérations relatives aux employés, cadres, salariés temporaires ou à durée déterminée, candidats à un poste, stagiaires, employés ou candidats à un “VIE” :

les infrastructures, les systèmes et les bases de données de gestion des informations relatives aux personnes concernées (dans le respect des dispositions légales, réglementaires et contractuelles applicables) ;

l'hébergement des données nécessaires à l'administration de la paie localement par les entités LVMH hors UE ayant accès à leurs données dans l'outil « Talent » ;

le planning organisationnel et stratégique ;

l’administration des affaires et la gestion des opérations ;

la gestion des systèmes d’information et l’administration des bases de données ;

la comptabilité et l’audit ;

l'accès aux données nécessaires à la gestion de la relation de travail ;

le respect des dispositions légales et règlementaires.

les études statistiques liées aux activités des employés du Groupe LVMH.

Article 3 : Sur les catégories de données personnelles transférées

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe LVMH et à leurs annexes, seules peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :

Pour les transferts relatifs à l'administration des ressources humaines :

état civil/identité/données d’identification ;

vie professionnelle ;

vie personnelle ;

données de connexion ;

données de localisation ;

numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie par les seules entités du groupe LVMH concernées) ;

informations d’ordre économique et financier ;

opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale (: uniquement dans les pays dans lesquels la collecte de ces données est autorisée ou exigée par la réglementation locale du pays dans lequel est situé le salarié) ;

décès des personnes.

Pour les transferts relatifs à la gestion des systèmes d’information, des bases de données, des infrastructures et des services de gestion des affaires et des opérations :

état civil/identité/données d’identification ;

vie professionnelle ;

vie personnelle ;

données de connexion ;

données de localisation ;

numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie par les seules entités du groupe LVMH concernées) ;

informations d’ordre économique et financier ;

opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale (: uniquement dans les pays dans lesquels la collecte de ces données est autorisée ou exigée par la réglementation locale du pays dans lequel est situé le salarié) ;

décès des personnes.

Article 4 : Sur les catégories de personnes concernées par les transferts

Conformément au champ matériel et à la description des transferts couverts par les BCR responsable de traitement du groupe LVMH et à leurs annexes, seules peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

employés, cadres, salariés temporaires ou à durée déterminée ;

étudiants, élèves ;

candidats à un poste ;

stagiaires ;

employés ou candidats à un “VIE”.

Article 5 : Sur les destinataires habilités à accéder aux données transférées

Seules peuvent être habilitées à accéder aux données les entités du groupe LVMH juridiquement liées aux BCR responsable de traitement du groupe LVMH dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés.

Article 6 : Sur les informations relatives à chaque transfert

Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe LVMH précisant, pour chaque transfert, les informations suivantes :

la finalité générale du transfert ;

la ou les catégories de données à caractère personnel transférées ;

la ou les catégories de personnes concernées par le transfert ;

les informations relatives à chaque destinataire des données :

raison sociale ;

nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;

pays d’établissement ;

catégorie de destinataire (ex : maison-mère, filiale) et

nature du traitement opéré par ce dernier.

Article 7 : Sur les droits d'accès, de rectification et d'opposition des personnes

Les droits d’accès, de rectification et d’opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s’exercent auprès du ou des services que les responsables de traitement auront désignés.

Article 8 : Sur l'information des personnes

Les responsables de traitement doivent avoir clairement informé les personnes concernées de l’existence de transferts de données vers des pays tiers et des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié.

La présente délibération sera publiée au Journal officiel de la République française.

Pour la Présidente Le Vice-Président délégué

Marie-France MAZARS

Annexe 1 : Modèle de documentation sur les transferts de données à caractère personnel encadrés par des BCR « responsable de traitement »

Transfert n°1

Modifications

(préciser la date et l’objet)

Date de mise en œuvre

Finalité générale du transfert

Catégories de personnes concernées

Nature des données personnelles transférées

Destinataire 1

Raison sociale

Pays d’établissement

Type de destinataire

(ex : maison-mère, filiale)

Nature du traitement opéré par le destinataire

(ex : lecture seule, saisie)

Destinataire 2

Raison sociale

Pays d’établissement

Type de destinataire

(ex : maison-mère, filiale)

Nature du traitement opéré par le destinataire

(ex : lecture seule, saisie)




Nature de la délibération: Autorisation unique
Date de la publication sur legifrance: 27 juin 2017