Délibération 2017-273 du 12 octobre 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-273 du 12 octobre 2017
Délibération n° 2017-273 du 12 octobre 2017 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » du groupe Merck & Co (MSD) (BCR n° 046)
NOR: CNIL1730041
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, notamment ses articles 101 et 103 ;


Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
En application de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen ou qui n'assurent pas un niveau de protection suffisant sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes, c'est-à-dire des règles contraignantes d'entreprise ( binding corporate rules - BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un même groupe.
Au terme d'une procédure de coopération, la Commission et les autorités européennes de protection des données compétentes ont reconnu les BCR responsable de traitement du groupe Merck Sharp and Dohme, connu sous la dénomination de Merck & Co. (ci-après MSD) (dont le siège social mondial est situé à Kenilworth, New Jersey, États-Unis) conformes aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29.
Ainsi, ces BCR sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe MSD.
Les organismes mentionnés à l'article 1er ci-dessous, qui se réfèreront à la présente autorisation unique (n° BCR-046) et adresseront à la Commission un engagement de conformité à celle-ci, seront autorisés à mettre en œuvre leurs transferts.
Un transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) le transfert est réalisé dans le strict respect du cadre défini par cette formalité.
Tout transfert de données à caractère personnel qui excèderait le cadre ou les exigences définis par la présente autorisation unique devra faire l'objet d'une décision d'autorisation spécifique.

Article 1


Sur les responsables de traitement / champ d'application
Seules les entités du groupe MSD agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR responsable de traitement du groupe MSD et ayant mis en œuvre les engagements pris au titre des BCR peuvent adresser un engagement de conformité à la présente autorisation unique.

Article 2


Sur les finalités des transferts
Conformément au champ matériel et à la description des transferts couverts par les BCR responsable de traitement du groupe MSD et à leurs annexes, seuls sont autorisés les transferts de données à caractère personnel ayant pour finalités :


- celles relatives aux transferts de données personnelles du personnel et assimilés (anciens, présents et potentiels) et de leurs proches désignés :
- gestion du recrutement et de l'embauche ;
- gestion administrative du personnel ;
- gestion des postes et de l'organisation du travail, gestion du temps de travail et des absences, suivi de projets et d'activité, déplacements professionnels ;
- communication avec le personnel y compris enquêtes auprès des employés, liste de contact, organigramme, annuaire, réseau social interne ;
- gestion de la paie et des avantages sociaux du personnel et de leurs proches désignés ;
- gestion des carrières et de la mobilité, y compris l'évaluation professionnelle du personnel, dans le respect de la loi applicable ; la gestion des compétences professionnelles internes ; la validation des acquis de l'expérience professionnelle ; les simulations de carrière et la gestion de la mobilité professionnelle ;
- formation du personnel y compris le suivi des demandes de formation et des périodes de formation effectuées ; l'organisation des sessions de formation, l'évaluation des connaissances et des formations ;
- gestion des audits, enquêtes, procédures disciplinaires et contentieux ;
- gestion des questions d'éthique et de vie privée et réalisation d'enquêtes ;
- gestion et sécurité des biens physiques et virtuels et de l'infrastructure de l'entreprise ; y compris la mise en œuvre de dispositifs destinés à assurer la sécurité, le bon usage et le bon fonctionnement des applications informatiques et de réseau ;
- fourniture, gestion et paiement de biens et services, y compris la gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement ;
- respect des engagements sociétaux, notamment en matière d'environnement, de santé et de sécurité ;
- prise de contact avec les médias ;
- gestion des fusions, acquisitions, restructurations ou cessions ;
- respect des exigences légales, réglementaires et éthiques ;
- celles relatives aux transferts de données personnelles des patients, des sujets participant aux recherches et des chercheurs :
- évaluation des besoins et des opportunités en matière d'innovation médicale et de santé ;
- planification, mise en place, gestion et financement de travaux de recherche ;
- évaluation et recrutement de chercheurs, interactions avec les intervenants impliqués dans les recherches et de partenaires commerciaux afin de supporter les travaux de recherche et le développement des produits ;
- évaluation de la sécurité, de l'efficacité et de la qualité des produits candidats de recherche et commercialisés ;
- respect des obligations en matière de sécurité et de qualité des produits, y compris le signalement et la gestion des incidents et des plaintes en matière de qualité des produits ;
- gestion et suivi des demandes d'information médicale ;
- gestion des exigences réglementaires telles que des demandes d'autorisation et d'enregistrement des produits auprès des autorités compétentes en matière de santé ;
- amélioration des soins délivrés aux patients à travers le monde par l'intermédiaire de services basés sur les données et des solutions axées sur les services cliniques, des solutions de collaboration et sur l'analytique en matière de santé ;
- respect des exigences légales, réglementaires et éthiques ;
- celles relatives aux transferts de données personnelles des clients et prospects y compris les professionnels de la santé :
- analyse des marchés de produits/services ;
- élaboration de statistiques commerciales ;
- publicité et marketing ;
- vente, distribution et livraison de biens ;
- gestion des clients ;
- gestion des activités relatives l'information et à la promotion de produits ;
- pilotage de la connaissance et de la relation clients ;
- communication et collaboration médicale et scientifique ;
- gestion des événements organisés ou en partenariat avec un tiers et des interactions telles que partenariats, dons, congrès, réunions, prestations de services ;
- gestion des activités commerciales et contractuelles, des données financières et transactionnelles ;
- gestion et suivi des demandes d'information médicale ainsi que des réclamations relatives à la qualité des produits ;
- gestion des contentieux ;
- respect des exigences légales, réglementaires et éthiques.
- celles relatives aux transferts de données personnelles des partenaires commerciaux, des investisseurs, des actionnaires et autres parties prenantes :
choix, évaluation et collaboration avec des partenaires commerciaux afin de supporter les activités commerciales ;
- gestion des activités commerciales et contractuelles, des données financières et transactionnelles ;
- gestion des contentieux ;
- communications officielles de l'entreprise ;
- prise de contact avec les autorités et les médias ;
- gestion de l'image de l'entreprise ;
- gestion des fusions, acquisitions, restructurations ou cessions ;
- respect des exigences légales, réglementaires et éthiques ;
- celles relatives aux transferts de données personnelles des utilisateurs des sites internet et services en lignes :
- gestion administrative des services en ligne et gestion des réponses aux demandes des utilisateurs des services ;
- optimisation de l'offre de services.

Article 3


Sur les catégories de données personnelles transférées
Conformément au champ matériel et à la description des transferts couverts par les BCR responsable de traitement du groupe MSD et à leurs annexes, seules peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les transferts relatifs aux données personnelles du personnel et assimilé (anciens, présents et potentiels) et de leurs proches désignés :


- état civil/identité/ données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- numéro de sécurité sociale (uniquement pour la gestion de la paie) ;
- données de connexion ;
- données de localisation ;
- informations d'ordre économique et financières ;
- décès des personnes.


Pour les transferts relatifs aux données personnelles des patients et des sujets participant aux recherches :


- état civil/identité/données d'identification ;
- vie personnelle ;
- vie professionnelle ;
- données de santé ;
- origine raciale ou ethnique ;
- données génétiques strictement nécessaires pour répondre aux objectifs ou finalités de la recherche ;
- décès des personnes ;
- informations d'ordre économique et financières ;


Pour les transferts relatifs aux données personnelles des clients, prospects y compris professionnels de la santé, des chercheurs et des intervenants impliqués dans les recherches :


- état civil/identité/ données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financières ;
- numéro de sécurité sociale (uniquement pour la gestion de la paie des professionnels de santé ayant un statut assimilé salarié ) ;
- données de connexion ;


Pour les transferts relatifs aux données personnelles des partenaires commerciaux, investisseurs, actionnaires, et autres parties prenantes :


- état civil/identité/ données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financières.


Pour le transfert de données personnelles des utilisateurs des sites internet ou autres services en ligne :


- état civil/identité/ données d'identification ;
- données de connexion.

Article 4


Sur les catégories de personnes concernées par les transferts
Conformément au champ matériel et à la description des transferts couverts par les BCR responsable de traitement du groupe MSD et à leurs annexes, seules peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :


- personnel et assimilé (anciens, présents et potentiels) et leurs proches désignés :
- patients, sujets participant aux recherches et chercheurs ;
- clients et prospects y compris les professionnels de la santé ;
- partenaires commerciaux, investisseurs, actionnaires et autres parties prenantes ;
- utilisateurs de sites internet ou autres service en ligne.

Article 5


Sur les destinataires habilités à accéder aux données transférées
Seules peuvent être habilitées à accéder aux données les entités du groupe MSD juridiquement liées aux BCR responsable de traitement du groupe MSD dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés.

Article 6


Sur les informations relatives à chaque transfert
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR responsable de traitement du groupe MSD, précisant, pour chaque transfert, les informations suivantes :


- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR responsable de traitement ;
- pays d'établissement ;
- catégorie de destinataire (ex : maison-mère, filiale) ; et
- nature du traitement opéré par ce dernier.

Article 7


Sur les droits d'accès, de rectification et d'opposition des personnes
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Article 8


Sur l'information des personnes
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié.
La présente délibération sera publiée au Journal officiel de la République française.

  • Annexe


    ANNEXE I
    Modèle de documentation sur les transferts de données à caractère personnel encadrés par des BCR responsable de traitement


    Transfert n° 1

    Modifications
    (préciser la date et l'objet)

    Date de mise en œuvre

    Finalité générale du transfert

    Catégories de personnes concernées

    Nature des données personnelles transférées

    Destinataire 1

    Raison sociale

    Pays d'établissement

    Type de destinataire
    (ex : maison-mère, filiale)

    Nature du traitement opéré par le destinataire
    (ex : lecture seule, saisie)

    Destinataire 2

    Raison sociale

    Pays d'établissement

    Type de destinataire
    (ex : maison-mère, filiale)

    Nature du traitement opéré par le destinataire
    (ex : lecture seule, saisie)


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars




Nature de la délibération: AUTORISATION UNIQUE
Date de la publication sur legifrance: 1 novembre 2017