Délibération n° 2016-055 du 10 mars 2016 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » et « sous-traitant » du groupe Capgemini (BCR-027)

JORF n°0073 du 26 mars 2016
texte n° 101



Délibération n° 2016-055 du 10 mars 2016 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » et « sous-traitant » du groupe Capgemini (BCR-027)

NOR: CNIL1607450X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 101 et 103 ;


Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » (BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » et BCR « sous-traitant » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29. A ce titre, les BCR « responsable de traitement » et les BCR « sous-traitant » du groupe Capgemini (dont le siège social mondial est situé 11, rue de Tilsitt, 75017 Paris, France) sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe Capgemini.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-027 et adresseront à cette fin à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache, a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés ; et
(ii) le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Article 1


Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe Capgemini, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe Capgemini et ayant mis en œuvre les engagements pris au titre des BCR « responsable de traitement ».
Peuvent également adresser un engagement de conformité à la présente autorisation unique les responsables de traitement ayant recours à des entités du groupe Capgemini, agissant en qualité de sous-traitant, étant juridiquement liées par les BCR « sous-traitant » du groupe Capgemini et ayant mis en œuvre les engagements pris au titre des BCR « sous-traitant ». De plus, les BCR « sous-traitant » du groupe Capgemini doivent être rendues contraignantes à l'égard des responsables de traitement par le biais des contrats de prestation conclus avec les sous-traitants concernés.

Article 2


Sur les finalités des transferts.
2.1. Sur les finalités des transferts opérés sur la base des BCR « responsable de traitement » du groupe Capgemini.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Capgemini et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités la mise en œuvre ou l'assistance dans la mise en œuvre de l'ensemble des traitements nécessaires à la conduite de l'activité des sociétés du groupe Capgemini, dont notamment :
Finalités relatives aux transferts des données personnelles des salariés et assimilés :


- la gestion des ressources humaines ;
- la gestion de la mobilité professionnelle ;
- la gestion des recrutements ;
- la gestion des carrières et formations ;
- la gestion des paies et autres avantages (notamment stock options, autres plans ou avantages) ;
- la gestion opérationnelle des salariés et assimilés (notamment déploiement de projets, promotions, sanctions disciplinaires) ;
- la présentation des prestations auprès de clients potentiels (notamment mise en avant des savoir-faire) ;
- la gestion des prestations sociales et assimilées (notamment régimes de retraite, assurance vie, assurance maladie) ;
- le respect des règles de santé, sécurité et autres obligations légales s'imposant à Capgemini en tant qu'employeur ;
- l'exercice et le respect des droits et obligations légales de Capgemini en tant qu'employeur tel que requis par la législation locale ;
- la mise à disposition d'outils, systèmes d'information, sécurité, cyber-sécurité ;
- la gestion des badges, contrôle d'accès, vidéosurveillance et biométrie ;
- la communication interne et externe ;
- la gestion de crise ;
- la gestion des ressources du groupe Capgemini ;
- les audits et statistiques.


Finalités relatives aux transferts des données personnelles des contacts professionnels (notamment clients, prospects, fournisseurs, partenaires commerciaux et visiteurs) :


- la conclusion et l'exécution de contrats ;
- la gestion des comptes du groupe Capgemini ;
- la publicité, le marketing et les relations publiques ;
- la communication avec les contacts professionnels ;
- les études de marchés ;
- la santé, la sécurité, l'environnement et le contrôle qualité ;
- le respect des obligations légales et réglementaires ;
- la conservation des certifications ;
- les audits et statistiques.


2.2. Sur les finalités des transferts opérés sur la base des BCR « sous-traitant » du groupe Capgemini.
Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Capgemini et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités la mise en œuvre ou l'assistance dans la mise en œuvre de l'ensemble des traitements nécessaires à la prestation des services fournis par les sociétés du groupe Capgemini, dont notamment :
Prestations de conseil :


- transformation numérique ;
- amélioration de l'expérience client ;
- stratégie et conduite du changement ;
- analyses de données ;
- gouvernance et organisation numérique ;
- conseil aux directeurs des systèmes d'information.


Prestations de services applicatifs :


- conseil, développement et intégration d'applications/logiciels ;
- solutions mobiles ;
- informatique dans les nuages (cloud computing) ;
- solutions de test informatique (testing) ;
- gestion de solutions ERP (progiciel de gestion intégré) ;
- analyses de données ;
- gestion des processus métiers ;
- gestion de la qualité logicielle.


Prestations de services d'infrastructure :


- transformation des infrastructures ;
- sécurité ;
- plate-forme de prestations de services ;
- orchestration cloud des solutions ;
- réseau et centres de données (backbone).


Prestations d'infogérance et d'externalisation de processus métiers :


- gestion de processus finance/comptabilité ;
- gestion de la chaîne logistique ;
- gestion de traitement des sinistres ;
- gestion des participations ;
- gestion de logiciels de sécurité ;
- analyses prédictives commerciales.


Assistance technique et services de proximité :


- services d'applications ;
- services d'ingénierie de production ;
- transformation des infrastructures/informatique dans les nuages (cloud computing) ;
- gestion de la qualité logicielle ;
- solutions mobiles ;
- cyber-sécurité ;
- informatique décisionnelle.

Article 3


Sur les catégories de données personnelles transférées.
3.1. Sur les catégories de données personnelles transférées sur la base des BCR « responsable de traitement » du groupe Capgemini.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Capgemini et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données relatives aux salariés et assimilés :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté (sous réserve du respect de la législation locale applicable) ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale (sous réserve du respect de la législation locale applicable) ;
- données biométriques ;
- décès des personnes.


Pour les données relatives aux contacts professionnels (notamment clients, prospects, fournisseurs, partenaires commerciaux et visiteurs) :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- données de connexion ;
- données de localisation ;
- informations d'ordre économique et financier ;
- données biométriques,


étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés ; et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.
3.2. Sur les catégories de données personnelles transférées sur la base des BCR « sous-traitant » du groupe Capgemini.
Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Capgemini et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté (sous réserve du respect de la législation locale applicable) ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale (sous réserve du respect de la législation locale applicable) ;
- données biométriques ;
- données génétiques ;
- décès des personnes ;
- identité/données d'identification des investigateurs ;
- appréciation sur les difficultés sociales des personnes ;
- données de l'assurance maladie,


étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés ; et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Article 4


Sur les catégories de personnes concernées par les transferts.
4.1. Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « responsable de traitement » du groupe Capgemini.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Capgemini et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :


- salariés et assimilés ;
- étudiants/élèves ;
- clients (actuels ou potentiels et clients de clients) ;
- visiteurs ;
- fournisseurs ;
- partenaires commerciaux.


4.2. Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « sous-traitant » du groupe Capgemini.
Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Capgemini et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :


- salariés et assimilés ;
- usagers ;
- adhérents ;
- patients ;
- étudiants/élèves ;
- clients (actuels ou potentiels et clients de clients) ;
- visiteurs ;
- fournisseurs ;
- partenaires commerciaux.

Article 5


Sur les destinataires habilités à accéder aux données transférées.
5.1. Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « responsable de traitement » du groupe Capgemini.
Peuvent seules être habilitées à accéder aux données les entités du groupe Capgemini juridiquement liées aux BCR « responsable de traitement » du groupe Capgemini et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe Capgemini et à leurs annexes.
5.2. Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « sous-traitant » du groupe Capgemini.
Peuvent seules être habilitées à accéder aux données les entités du groupe Capgemini juridiquement liées aux BCR « sous-traitant » du groupe Capgemini et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « sous-traitant » du groupe Capgemini et à leurs annexes.

Article 6


Sur les informations relatives à chaque transfert.
6.1. Sur les informations relatives à chaque transfert encadré par les BCR « responsable de traitement » du groupe Capgemini.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe Capgemini, précisant, pour chaque transfert, les informations suivantes :


- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert.
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : maison-mère, filiale) ; et
- nature du traitement opéré par ce dernier.


6.2. Sur les informations relatives à chaque transfert encadré par les BCR « sous-traitant » du groupe Capgemini.
Les responsables de traitement doivent, avec l'aide des sous-traitants appartenant au groupe Capgemini, tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (voir modèle proposé en annexe 2 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « sous-traitant » du groupe Capgemini, précisant, pour chaque transfert, les informations suivantes :


- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « sous-traitant » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : prestataire, partenaire commercial) ; et
- nature du traitement opéré par ce dernier.

Article 7


Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que le responsable du traitement aura désignés.

Article 8


Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données).
La présente délibération sera publiée au Journal officiel de la République française.

  • Annexe


    ANNEXES


    ANNEXE 1
    MODÈLE DE DOCUMENTATION SUR LES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL ENCADRÉS PAR DES BCR « RESPONSABLE DE TRAITEMENT »


    TRANSFERT N° 1

    MODIFICATIONS
    (préciser la date et l'objet)

    Date de mise en œuvre

    Finalité générale du transfert

    Catégories de personnes concernées

    Nature des données personnelles transférées

    Destinataire 1

    Raison sociale

    Pays d'établissement

    Type de destinataire
    (ex. : maison mère, filiale)

    Nature du traitement opéré par le destinataire
    (ex. : lecture seule, saisie)

    Destinataire 2

    Raison sociale

    Pays d'établissement

    Type de destinataire
    (ex. : maison mère, filiale)

    Nature du traitement opéré par le destinataire
    (ex. : lecture seule, saisie)

  • Annexe


    ANNEXE 2


    MODÈLE DE DOCUMENTATION SUR LES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL ENCADRÉS PAR DES BCR « SOUS-TRAITANT »


    TRANSFERT N° 1

    MODIFICATIONS
    (préciser la date et l'objet)

    Date de mise en œuvre

    Finalité générale du transfert

    Catégories de personnes concernées

    Nature des données personnelles transférées

    Destinataire 1

    Raison sociale

    Nom du groupe auquel il appartient et ayant adopté des BCR « sous-traitant »

    Pays d'établissement

    Type de destinataire
    (ex. : prestataire, partenaire commercial)

    Nature du traitement opéré par le destinataire
    (ex. : lecture seule, saisie)

    Destinataire 2

    Raison sociale

    Nom du groupe auquel il appartient et ayant adopté des BCR « sous-traitant »

    Pays d'établissement

    Type de destinataire
    (ex. : prestataire, partenaire commercial)

    Nature du traitement opéré par le destinataire
    (ex. : lecture seule, saisie)


Pour la présidente :

La vice-présidente déléguée,

M.-F. Mazars