Délibération n° 2017-238 du 7 septembre 2017 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » du groupe IBM (BCR 044)

JORF n°0218 du 17 septembre 2017
texte n° 24



Délibération n° 2017-238 du 7 septembre 2017 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » du groupe IBM (BCR 044)

NOR: CNIL1726028X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, notamment ses articles 101 et 103 ;


Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
En application de l'article 68 de la loi du 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen ou qui n'assurent pas un niveau de protection suffisant sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes, c'est-à-dire des règles contraignantes d'entreprise (« Binding Corporate Rules » - BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un même groupe.
Au terme d'une procédure de coopération, la commission et les autorités européennes de protection des données compétentes ont reconnu les BCR « responsable de traitement » du groupe IBM (dont le siège social mondial est situé 1 New Orchard Road, Armonk, New York 10504-1722) conformes aux exigences posées par les documents de référence adoptés par le groupe de travail de l'article 29.
Ainsi, ces BCR sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe IBM.
Les organismes mentionnés à l'article 1er ci-dessous, qui se référeront à la présente autorisation unique (n° BCR-044) et adresseront à la commission un engagement de conformité à celle-ci, seront autorisés à mettre en œuvre leurs transferts.
Un transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) le transfert est réalisé dans le strict respect du cadre défini par cette formalité.
Tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique devra faire l'objet d'une décision d'autorisation spécifique.

Article 1


Sur les responsables de traitement/champ d'application.
Seules les entités du groupe IBM agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR responsable de traitement du groupe IBM, et ayant mis en œuvre les engagements pris au titre des BCR peuvent adresser un engagement de conformité à la présente autorisation unique.

Article 2


Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe IBM, et à leurs annexes, seuls sont autorisés les transferts de données à caractère personnel ayant pour finalités :


- celles relatives aux transferts des données personnelles des salariés, prestataires, consultants, intérimaires et stagiaires :
- la gestion opérationnelle de la société (comptabilité, gestion des locaux y compris badges et accès aux locaux et à la cantine, gestion des outils de géolocalisation sur le site, gestion de la sécurité des sites du groupe y compris les outils de vidéosurveillance, etc.) ;
- la gestion des salariés (l'ensemble des finalités visées aux normes simplifiées n° 42, n° 46, n° 47, ainsi que et y compris la gestion du recrutement et des départs, la gestion des congés, la gestion des fusions, acquisitions et cessions, la gestion de la paie [salaires, primes, bonus, etc.], la gestion des avantages sociaux, la gestion des carrières, la gestion des missions à l'international, le suivi de l'éducation et de la certification des règles et des programmes du groupe IBM, la gestion des contacts tiers des salariés en cas d'urgence, la gestion des contrats, la fourniture d'outils informatiques y compris la surveillance individuelle de l'utilisation de ces outils, la formation, la gestion des alertes éthiques et enquêtes y étant liées, la gestion de la téléphonie, la gestion des notes de frais, la mise en œuvre d'outils de suivi des dossiers, etc.) ;
- celles relatives aux transferts aux transferts des données personnelles relatives aux clients et prospects :
- la gestion comptable, administrative et opérationnelle ;
- la gestion des communications marketing ;
- la facturation ;
- les enquêtes de satisfaction ;
- la gestion des événements clients ;
- celles relatives aux transferts aux transferts des données personnelles relatives aux clients des clients :
- la gestion administrative et opérationnelle ;
- celles relatives aux transferts des données personnelles relatives aux fournisseurs, partenaires, partenaires commerciaux :
- la gestion comptable, administrative et opérationnelle ;
- celles relatives aux transferts des données personnelles relatives aux visiteurs :
- la gestion opérationnelle (gestion de la sécurité des sites du groupe, y compris les outils de contrôle des accès de vidéosurveillance, etc.) ;
- celles relatives aux finalités communes à toutes les catégories de personnes concernées :
- la gestion des risques et des audits d'entreprise ;
- la gestion opérationnelle de la société et de ses locaux (gestion des locaux, gestion de la sécurité des sites du groupe y compris les outils de contrôle des accès, de vidéosurveillance, etc.) ;
- la gestion des contentieux nationaux et internationaux de la société ;
- la gestion et l'administration des réseaux et systèmes, y compris toutes les mesures de sécurité mises en œuvre à ce titre ;
- l'administration des bases de données ;
- le stockage et l'hébergement des données ;
- la maintenance corrective et évolutive des outils, systèmes et applicatifs mis en œuvre dans la conduite des activités du groupe ;
- la réalisation de copies de sauvegarde des informations ;
- la mise en œuvre de mesures préventives et correctives de sécurité pour prévenir tous accès non autorisés ou frauduleux.

Article 3


Sur les catégories de données personnelles transférées.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe IBM et à leurs annexes, seules peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les transferts relatifs aux données personnelles des salariés, prestataires, consultants, intérimaires et stagiaires :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation.


Pour les transferts relatifs aux données personnelles des clients :


- état civil/identité/données d'identification ;
- vie personnelle ;
- vie professionnelle ;
- informations d'ordre économique et financier.


Pour les transferts relatifs aux données personnelles des salariés et assimilés :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté (dans le respect de la législation locale applicable) ;
- données biométriques ;
- décès des personnes.


Pour les transferts relatifs aux données personnelles des clients et prospects :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier ;
- données de connexion.


Pour les transferts relatifs aux données personnelles des clients des clients :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier ;
- données de connexion.


Pour les transferts relatifs aux données personnelles des fournisseurs, prestataires de services, partenaires, partenaires commerciaux :


- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier ;
- données de connexion.


Pour les transferts relatifs aux données personnelles des visiteurs :


- état civil/identité/données d'identification ;
- vie professionnelle.

Article 4


Sur les catégories de personnes concernées par les transferts.


Conformément au champ matériel et à la description des transferts couverts par les BCR responsable de traitement du groupe IBM et à leurs annexes, seules peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :
- salariés et assimilés (ex : anciens employés, intérimaires, candidats, stagiaires, apprentis, etc.) ;
- clients (actuels ou potentiels) ;
- clients de clients ;
- fournisseurs, prestataires de services et partenaires ;
- partenaires commerciaux ;
- visiteurs.

Article 5


Sur les destinataires habilités à accéder aux données transférées.
Seules peuvent être habilitées à accéder aux données les entités du groupe IBM juridiquement liées aux BCR responsable de traitement du groupe IBM dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés.

Article 6


Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (voir modèle proposé en annexe de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe IBM, précisant, pour chaque transfert, les informations suivantes :


- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex : maison mère, filiale) et
- nature du traitement opéré par ce dernier.

Article 7


Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Article 8


Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié.
La présente délibération sera publiée au Journal officiel de la République française.

  • Annexe


    ANNEXE
    MODÈLE DE DOCUMENTATION SUR LES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL ENCADRÉS PAR DES BCR « RESPONSABLE DE TRAITEMENT »


    Transfert n° 1

    Modifications
    (préciser la date et l'objet)

    Date de mise en œuvre

    Finalité générale du transfert

    Catégories de personnes concernées

    Nature des données personnelles transférées

    Destinataire 1

    Raison sociale

    Pays d'établissement

    Type de destinataire
    (ex : maison-mère, filiale)

    Nature du traitement opéré par le destinataire
    (ex : lecture seule, saisie)

    Destinataire 2

    Raison sociale

    Pays d'établissement

    Type de destinataire
    (ex : maison-mère, filiale)

    Nature du traitement opéré par le destinataire
    (ex : lecture seule, saisie)


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars