Image Secure ;

Partie 1: Introduction

1. Définitions

Le terme « Pays assurant un niveau de protection adéquat » désigne tous les territoires, les pays (ou une ou plusieurs régions déterminées dans ce pays) ou les organisations qui sont situés en dehors de l’EEE/Royaume-Uni et sont reconnus par la Commission européenne ou par l’ICO pour le RU comme garantissant un niveau adéquat de protection des données à caractère personnel. La liste des Pays assurant un niveau de protection adéquat pour l'EEE est disponible sur : https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

Le sigle « REC » désigne les règles d’entreprise contraignantes, qui constituent un mécanisme juridique permettant le transfert de données à caractère personnel provenant de l’EEE/RU ou traitées dans l’EEE/RU au sein du Groupe.

Le sigle “RU”désigne le Royaume-Uni.

Le signe “EEE/RU” désigne l’Espace Economique Européen et le Royaume-Uni

Le terme « client » désigne un tiers à qui Teleperformance délivre des prestations décrites dans un contrat signé entre Teleperformance et ledit client. Dans cette situation, le client agit en tant que responsable du traitement des données à l’égard du traitement de vos données à caractère personnel par Teleperformance, qui agit à son tour en tant que sous-traitant des données pour le compte de ce client.

Le sigle « CNIL » désigne la Commission nationale de l’informatique et des libertés, qui est l’APD française, et l’APD principale de Teleperformance.

Le sigle “ICO” désigne “Information Commissioner’s Office”, qui est l’APD du Royaume-Uni.

Le sigle « RC » désigne le responsable de la confidentialité.

L’expression « responsable du traitement des données » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul(e) ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de vos données à caractère personnel.

L’expression « sous-traitant des données » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui traite vos données à caractère personnel pour le compte du responsable du traitement des données.

Le sigle « APD » désigne une autorité de protection des données ou de la vie privée.

Le sigle « DPD » désigne le délégué à la protection des données, lorsque les lois et règlements en vigueur l’exigent.

L’expression « personne concernée » désigne toute personne physique identifiée ou identifiable par ses données à caractère personnel. Une personne physique identifiable est une personne susceptible d’être identifiée, directement ou indirectement, en particulier par référence à un identifiant, tel que le nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs critères se rapportant à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de ladite personne physique.

Le sigle « EEE » désigne l’Espace économique européen et comprend tous les États membres de l’Union européenne, ainsi que l’Islande, le Liechtenstein et la Norvège.

Le terme « Groupe » désigne Teleperformance SE et toutes les filiales détenues totalement ou partiellement, de manière directe ou indirecte, par Teleperformance SE.

L’expression « responsable national de la confidentialité » désigne le principal point de contact entre la société TP ou la fonction locale dont il est responsable et le bureau de la confidentialité.

L’expression « données à caractère personnel » désigne toute information relative à une personne concernée, comme défini ci-dessus.

L’expression « bureau de la confidentialité » désigne le responsable de la confidentialité, les vice-présidents principaux de la protection de la vie privée et les responsables régionaux de la protection de la vie privée.

Le terme « traiter » ou « traitement », en rapport avec les données à caractère personnel, désigne toute opération ou tout ensemble d’opérations effectuées sur vos données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit par des moyens automatiques ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition de vos données à caractère personnel, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Le terme « profilage » désigne toute forme de traitement automatique qui utilise vos données à caractère personnel pour évaluer certains de vos aspects personnels, en particulier pour analyser ou prédire des aspects liés à votre rendement professionnel, à votre situation économique, à votre santé, à vos préférences personnelles, à vos intérêts, à votre fiabilité, à votre comportement, à votre site ou à vos mouvements.

L’expression « données sensibles » désigne les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques et des données biométriques afin d’identifier de manière univoque une personne physique, ou les données concernant la santé, la vie sexuelle ou l’orientation sexuelle.

L’expression « sous-traitant ultérieur » désigne une société de TP engagée par une autre société de TP, qui agit en tant que sous-traitant des données ou sous-traitant ultérieur, pour traiter les données à caractère personnel.

Le sigle « SVPP » désigne le vice-président principal de la protection de la vie privée et le responsable régional de la protection de la vie privée.

Le terme « Teleperformance » ou l’expression « société(s) de TP » désigne une ou l’ensemble des filiales du Groupe.

L’expression « sous-traitant externe » désigne une société n’appartenant pas au Groupe TP engagée par une société de TP pour traiter les données à caractère personnel.

2. Objectif

La présente politique (« la Politique ») exprime le ferme engagement du Groupe Teleperformance de respecter et de protéger votre vie privée et vos Données à caractère personnel, que vous fassiez notamment partie de nos employés, de nos fournisseurs, de nos partenaires commerciaux, de nos Clients ou de leurs clients finaux respectifs. Elle a pour objet d’apporter les garanties nécessaires lorsque le Groupe, ou une de ses sociétés, traite vos Données à caractère personnel.

Conformément aux lois et règlements de protection des données et de la vie privée en vigueur dans les pays de l’EEE et au RU, la Politique constitue également un mécanisme juridique (à savoir, des « règles d’entreprise contraignantes ») permettant les transferts internationaux de données au sein du Groupe, chaque fois que Teleperformance agit en tant que Responsable du traitement des données ou sous-traitant, y compris lorsqu’il transfère ces Données à caractère personnel pour le compte d’un Client. Lorsque des Données à caractère personnel sont transférées au sein du Groupe pour le compte d’un Client, il appartient à ce dernier (i) de décider si la Politique apporte les garanties nécessaires pour ces transferts, et (ii) de mettre en œuvre d’autres garanties s’il choisit de ne pas s’appuyer sur la Politique.

3. Champ d’application

La Politique s’applique globalement à toutes les sociétés de TP.

Selon son rôle dans le Traitement, une société de TP appliquera la Politique comme suit :

  • Lorsqu’elle traite des Données à caractère personnel en tant que Responsable du traitement des données, elle se conformera aux Parties 1 et 2 de la Politique.
  • Lorsqu’elle traite des données à caractère personnel en tant que sous-traitante pour le compte d’un Client, elle se conformera aux Parties 1 et 3 de la politique, ainsi qu’aux instructions du Client figurant sur le contrat signé avec lui.

Certaines sociétés de TP peuvent agir à la fois en tant que Responsable du traitement des données et sous-traitant, et se conformeront donc aux Parties 1, 2 et 3 de la Politique, selon le cas.

La Politique définit les exigences mondiales que toutes les sociétés de TP doivent remplir. Les exigences de l’« EEE/RU » et des « REC » s’appliquent en complément de ces exigences mondiales. Les exigences de la Politique marquées de l’indication « EEE/RU » s’appliquent lorsque vos Données à caractère personnel traitées sont assujetties aux lois et règlements en vigueur dans les pays de l’EEE/RU. Les exigences de la Politique marquées de l’indication « REC » s’appliquent dans les cas où vos Données à caractère personnel de l’EEE/RU sont transférées à des sociétés de TP dans des pays situés en dehors de l’EEE/RU.

Aucune politique de confidentialité spécifique à un pays n’est autorisée pour les sociétés de TP situées dans les pays de l’EEE/RU. Lorsque des politiques de confidentialité spécifiques à un pays sont élaborées pour des pays situés en dehors de l’EEE/RU, elles doivent renvoyer à la présente Politique et, sauf disposition contraire de la loi applicable, elles ne doivent pas comprendre de dispositions qui contredisent les exigences applicables figurant dans la Présente politique.

4. Conflit entre la Politique et les lois et règlements locaux

Lorsque les lois et règlements locaux exigent un plus haut niveau de protection de vos Données à caractère personnel, ils ont la préséance sur la Politique. D’ailleurs, les exigences particulières de la Politique ne s’appliquent que lorsque les lois et règlements locaux le permettent.

Partie 2: Activités du responsable du traitement des données

1. Traitement de vos données à caractère personnel

1.1. Finalités du traitement de vos données à caractère personnel

Les sociétés de TP agissant en tant que Responsables du traitement des données traitent vos Données à caractère personnel dans l’exercice de leurs activités. Les catégories de Personnes concernées et de Données à caractère personnel, ainsi que les finalités du Traitement comprennent, mais sans s’y limiter, les suivantes :

1. Employés, personnel temporaire, candidats, entrepreneurs indépendants et stagiaires : pour les processus de gestion des ressources humaines et du personnel, qui peuvent couvrir tout type de traitement, et comprennent le recrutement, la planification des effectifs, la gestion de la formation et de la performance, la rémunération et les avantages sociaux, la gestion des congés et des avantages, la distribution des bulletins de salaire, la gestion des informations et des compétences des employés, les sondages auprès des employés, les entretiens et processus de départ, ainsi que la santé et la sécurité. Ce traitement couvre les données à caractère personnel des RH, y compris, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance) ; la formation, l’expérience professionnelle et les affiliations (par ex., éducation et formation, langues, appartenance syndicale) ; les déplacements et les frais de l’employé (par ex., réservations de voyage, exigences alimentaires, passeports et visas) ; la famille, le mode de vie et les conditions sociales (par ex., état civil, coordonnées en cas d’urgence, religion ou convictions religieuses) ; les données RH élémentaires (par ex., titre, rôle, lieu de travail, date d’embauche) ; la santé, le bien-être et les absences (par ex., motif d’absence, handicap, accessibilité, besoins spéciaux) ; la formation et la performance de l’employé (par ex., mesure disciplinaire, évaluation du rendement, enregistrement d’appel) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale, paiement de primes) ; les données photographiques, vidéo et de localisation (par ex., images de vidéosurveillance, données d’accès) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, permis de travail) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité) ; l’accès au système (par ex., journaux d’accès, informations de suivi) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité).

Clients : pour la gestion de la relation avec le client, qui peut couvrir tout type de traitement, et comprend le développement de nouvelles relations commerciales, les ventes, le marketing, la négociation de contrats, les études de marché, la gestion des relations commerciales existantes, la facturation, les services aux clients, le traitement des demandes et l’acquittement des obligations juridiques et réglementaires. Ce traitement couvre les données à caractère personnel des clients, y compris, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet) ; les données photographiques, vidéo et de localisation (par ex., images de vidéo surveillance) ; les contrôles d’identification et d’antécédents (par ex., extrait du casier judiciaire, vérification de solvabilité) ; l’accès au système (par ex., journaux d’accès, informations de suivi) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité).

Toute autre partie : pour garantir toute autre opération commerciale, qui peut couvrir tout type de traitement, et comprend la gestion des fournisseurs et des distributeurs, la conformité, le signalement, la diligence raisonnable, la gestion des bâtiments et des installations, l’informatique, les enquêtes auprès des clients, et l’acquittement des obligations juridiques et réglementaires. Ce traitement couvre les données à caractère personnel des tiers, y compris, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet) ; les activités commerciales (par ex., biens ou services fournis) ; les données financières (par ex., compte bancaire) ; les données photographiques, vidéo et de localisation (par ex., images de vidéo surveillance) ; les contrôles d’identification et d’antécédents (par ex., extrait du casier judiciaire) ; l’accès au système (par ex., journaux d’accès, informations de suivi) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité).

1.2. Règles à suivre lors du traitement de vos données à caractère personnel et de vos données sensibles

Toutes les sociétés de TP et leurs employés observeront les principes suivants lors du Traitement de vos Données à caractère personnel :

Les sociétés de TP s’appuieront toujours sur une base juridique pour traiter vos Données à caractère personnel et vos Données sensibles, conformément aux lois locales et règlements applicables.

Lorsque le Traitement de vos Données à caractère personnel est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU, les sociétés de TP s’appuieront sur l’un des motifs suivants :

  • Vous avez donné votre consentement au traitement de vos données à caractère personnel pour une ou plusieurs finalités spécifiques.
  • Le traitement est nécessaire à l’exécution d’un contrat entre vous et le responsable du traitement des données, ou afin de prendre des mesures précontractuelles à votre demande.
  • Le traitement est nécessaire au respect d’une loi ou d’un règlement en vigueur dans un pays de l’EEE/RU à laquelle/auquel la société de TP est assujettie.
  • Le traitement est nécessaire à la sauvegarde de vos intérêts vitaux ou de ceux d’une autre personne physique.
  • Le traitement est nécessaire à la réalisation d’une mission d’’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi la société de TP ou le tiers auquel vos données à caractère personnel sont communiquées.
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par la société de TP ou par le tiers auquel vos données à caractère personnel sont communiquées, sauf lorsque vos intérêts ou les droits et libertés fondamentaux prévalent sur ces intérêts.

 

Lorsque le Traitement de vos données sensibles est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU, les sociétés de TP s’appuieront sur l’un des motifs suivants :

  • Vous avez donné votre consentement explicite au traitement de vos données sensibles pour une ou plusieurs finalités spécifiques, sauf si cela est interdit par les lois et règlements applicables à la société de TP dans un pays de l’EEE/RU.
  • Le traitement est nécessaire aux fins d’exécuter vos obligations et vos droits spécifiques ou ceux de la société de TP dans le domaine du droit du travail, de la Sécurité sociale et du droit de la protection sociale, et dans la mesure où cela est autorisé par les lois et règlements applicables à la société de TP dans un pays de l’EEE/RU, dont les lois et règlements fournissent des garanties appropriées.
  • Le traitement est nécessaire à la protection de vos intérêts vitaux ou de ceux d’une autre personne, chaque fois que vous êtes dans l’incapacité physique ou juridique de donner votre consentement.
  • Le traitement est réalisé dans le cadre des activités légitimes, avec des garanties appropriées, par une fondation, association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, et à condition que le traitement se rapporte aux seuls membres de l’organisme ou aux personnes entretenant entretenant avec lui des contacts réguliers liés à sa finalité et que vos données à caractère personnel ne soient pas communiquées à des tiers sans votre consentement.
  • Le traitement se rapporte à des données à caractère personnel que vous avez manifestement rendues publiques.
  • Le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice, ou à l’exercice de la fonction juridictionnelle d’un tribunal.
  • Le traitement de vos données sensibles est nécessaire aux fins de la médecine préventive ou du travail, de l’évaluation de la capacité de travail de l’employé, des diagnostics médicaux, de la prestation de soins de santé et sociaux ou de traitements, ou de la gestion des systèmes et services de santé et sociaux en fonction des lois et règlements en vigueur dans les pays de l’EEE/RU, et lorsque ces données sensibles sont traitées conformément au contrat avec un professionnel de santé soumis à l’obligation de secret professionnel en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU, ou par une autre personne également soumise à une obligation équivalente de secret.

 

En ce qui concerne le Traitement de vos Données à caractère personnel liées aux condamnations et infractions pénales ou aux mesures de sécurité soumises aux lois et règlements en vigueur dans les pays de l’EEE/RU, les sociétés de TP ne traiteront ces Données à caractère personnel que sous le contrôle d’une autorité publique, ou lorsque le Traitement est autorisé par les lois et règlements en vigueur dans les pays de l’EEE/RU prévoyant les garanties appropriées en ce qui concerne vos droits et libertés.

 

Lorsqu’un Traitement se fonde sur votre consentement, les sociétés de TP :

  • s’assureront que votre consentement est spécifique, éclairé et volontaire, et qu’il constitue une indication sans équivoque que vous souhaitez (par une déclaration ou une action affirmative claire) accepter le traitement ;
  • s’assureront que vous pouvez retirer facilement votre consentement à tout moment, et que vous êtes informé(e) de cette possibilité avant de donner votre consentement ; mettront en œuvre et maintiendront des processus pour enregistrer l’accord et le retrait de votre consentement ;
  • s’assureront que votre consentement, s’il est donné dans le cadre d’une déclaration écrite comprenant également d’autres questions, est présenté d’une manière qui le distingue clairement des autres questions, sous une forme intelligible, en utilisant un langage simple et clair.

Avant de collecter des Données à caractère personnel, les sociétés de TP vous fourniront toutes les informations exigées par les lois et règlements en vigueur, et au moins l’identité et les coordonnées du Responsable du traitement des données et de ses représentants, le cas échéant ; les finalités du Traitement ; les destinataires ou catégories de destinataires de vos Données à caractère personnel ; et l’existence de vos droits d’accès et de rectification sur vos Données à caractère personnel.

En outre, les sociétés de TP vous fourniront les informations indiquées ci-dessous par écrit ou par d’autres moyens, y compris, le cas échéant, sous forme électronique.  Ces informations seront fournies de manière concise, transparente et facilement accessible, en utilisant un langage simple et clair, et comprendront :

  • les coordonnées du SVPP et/ou du DPD, le cas échéant ;
  • la base juridique du traitement ;
  • les intérêts légitimes poursuivis par la société de TP ou par un tiers, lorsque ces intérêts fournissent la base juridique du traitement ;
  • en cas de transfert vers des pays situés en dehors de l’EEE/RU, le fait que la société de TP ait l’intention de transférer vos données à caractère personnel vers des pays situés en dehors de l’EEE/RU, les mesures adoptées pour protéger vos données à caractère personnel transférées, et les moyens par lesquels vous pouvez en obtenir un exemplaire ou connaître l’endroit où elles sont disponibles ;
  • la durée de conservation de vos données à caractère personnel, à défaut, les critères utilisés pour déterminer cette durée ;
  • l’existence de vos droits :
    • d’accès et d’effacement concernant vos données à caractère personnel, de restriction du traitement, de portabilité des données et d’opposition au traitement ; ce droit d’opposition sera porté de façon explicite à votre attention, clairement et séparément de toute autre information, lorsque le traitement se fonde sur les intérêts légitimes du responsable du traitement des données, ou lorsque vos données à caractère personnel sont traitées à des fins de marketing direct,
    • de retrait du consentement à tout moment lorsqu’il fournit la base juridique du traitement de vos données à caractère personnel ou de vos données sensibles ; ce retrait n’affectera pas la légalité du traitement effectué avant votre demande de retrait de votre consentement,
    • de déposer une plainte pertinente auprès des APD de L’EEE/RU ;
  • Si la fourniture de vos données à caractère personnel est une exigence statutaire ou contractuelle, ou une exigence pour conclure un contrat, et si vous êtes obligé(e) de fournir vos données à caractère personnel et les conséquences possibles si vous ne les fournissez pas ;
  • l’existence d’une prise de décision automatique, y compris le profilage, et des informations utiles sur la logique utilisée, ainsi que la signification et les conséquences envisagées de ce traitement pour vous.

 

Les sociétés de TP qui ont l’intention de traiter vos Données à caractère personnel à des fins autres que la finalité initiale vous informeront, avant d’effectuer le Traitement, de ces autres fins et de toute autre information importante comme indiqué ci-dessus.

Lorsque vos Données à caractère personnel ne sont pas obtenues directement auprès de vous, vous recevrez les informations indiquées dans l’Article 1.2.2.1 ci-dessus, ainsi que les catégories des Données à caractère personnel concernées, la source de vos Données à caractère personnel, et si celles-ci proviennent de sources accessibles au public.

Si vous n’avez pas encore reçu ces informations, vous les recevrez sous un mois à compter de l’obtention de vos Données à caractère personnel, eu égard aux circonstances spécifiques dans lesquelles vos Données à caractère personnel sont traitées, ou, si vos Données à caractère personnel doivent être utilisées pour communiquer avec vous, au plus tard au moment de la première communication avec vous, ou, si une divulgation à un tiers est envisagée, au plus tard au moment où vos Données à caractère personnel sont communiquées.

Ces informations ne sont pas nécessaires s’il s’avère impossible de les fournir ou si cela demande un effort disproportionné, si leur collecte ou leur divulgation est explicitement demandée par les lois et règlements en vigueur, ou si vos Données à caractère personnel doivent rester confidentielles en application d’une obligation de secret professionnel exigée par les lois et règlements en vigueur dans les pays situés dans l’EEE/RU.

Les sociétés de TP qui ont l’intention de traiter vos Données à caractère personnel à des fins autres que la finalité initiale vous informeront, avant d’effectuer le Traitement, de ces autres fins et de toute autre information importante comme indiqué ci-dessus.

Lorsque les lois et règlements en vigueur l’exigent, tout signalement ou enregistrement auprès d’une APD sera réalisé par les sociétés de TP.

Une version publique à jour de la présente Politique et une liste à jour des sociétés de TP liées par celle-ci seront rendues aisément accessibles pour vous sur le site internet du Groupe https://teleperformance.com/en-us/data-privacy-information-and-inquires/.

Les sociétés de TP ne collecteront vos Données à caractère personnel que pour une ou plusieurs finalités spécifiques, explicites et légitimes, et ne les traiteront pas ultérieurement de manière incompatible avec ces finalités.

Vos Données à caractère personnel seront adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

Il vous incombe d’informer Teleperformance de toute inexactitude ou mise à jour de vos Données à caractère personnel. Néanmoins, Teleperformance s’efforcera raisonnablement de garantir que ses bases de données sont aussi précises et à jour que possible, notamment en supprimant vos Données à caractère personnel inexactes.

Vos Données à caractère personnel ne seront pas conservées plus longtemps que nécessaire, et la conservation se fera conformément aux règles suivantes :

  • La durée pendant laquelle vos données à caractère personnel sont conservées sera révisée périodiquement.
  • Cette durée de conservation sera adéquate pour les finalités du traitement, et vos données à caractère personnel ne seront pas conservées une fois ces finalités atteintes.

Lorsqu’elles ne sont plus nécessaires, vos données à caractère personnel seront supprimées ou rendues anonymes d’une manière sûre garantissant une protection contre tout accès illicite et injustifié.

2. Vos droits sur vos données à caractère personnel

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous accorderont le droit d’accéder à vos Données à caractère personnel traitées par les sociétés de TP.

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous permettront également de corriger, sans retard excessif, vos Données à caractère personnel lorsque celles-ci sont incomplètes ou inexactes, y compris en fournissant une déclaration supplémentaire.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’accès, de rectification, d’effacement et d’opposition.

Vous aurez accès aux informations suivantes :

  • la confirmation que vos données à caractère personnel sont traitées par la société de TP ;
  • l’explication des finalités du traitement, les catégories de données à caractère personnel et les destinataires ou catégories de destinataires à qui vos données à caractère personnel sont communiquées (en particulier les destinataires dans les pays situés en dehors de l’EEE/RU) et les garanties appropriées apportées à ces transferts ;
  • dans la mesure du possible, la durée de conservation de vos données à caractère personnel, et à défaut, les critères utilisés pour déterminer cette durée ;
  • la communication de vos données à caractère personnel faisant ou ayant fait l’objet du traitement, et toutes les informations disponibles sur leur source lorsque vos données à caractère personnel ne sont pas obtenues auprès de vous ;
  • l’existence de votre droit de demander à la société de TP la rectification ou l’effacement de vos données à caractère personnel, ou la restriction du traitement de vos données à caractère personnel, ou de s’opposer à ce traitement ;
  • le droit de déposer une plainte auprès d’une APD pertinente de l’EEE/RU ;
  • lorsque la société de TP prend des décisions fondées uniquement sur le traitement automatique de vos données à caractère personnel, y compris le profilage, des informations utiles sur la logique utilisée dans ce traitement automatique, ainsi que la signification et les conséquences envisagées de ce traitement pour vous.

 

Les sociétés de TP ne peuvent rejeter une demande d’accès que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP vous permettront de demander l’effacement de vos Données à caractère personnel sans retard excessif si l’une des situations suivantes se présente :

  • Vos données à caractère personnel ne sont plus nécessaires aux effets pour lesquelles elles ont été collectées ou traitées.
  • Vous retirez votre consentement sur lequel le traitement est fondé, et il n’existe aucune autre base juridique du traitement.
  • Vous vous opposez au traitement effectué en fonction des intérêts légitimes du responsable du traitement des données lorsqu’il n’existe aucune raison légitime première pour le traitement, ou vous vous opposez au traitement à des fins de marketing direct.
  • Vos données à caractère personnel ont été traitées illicitement.
  • Vos données à caractère personnel seront supprimées conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti.

Lorsque vos Données à caractère personnel faisant l’objet de la demande d’effacement ont été rendues publiques par la société de TP agissant en tant que Responsable du traitement des données, celle-ci informera, eu égard à la technologie disponible et au coût de mise en œuvre, les autres Responsables du traitement des données qui traitent vos Données à caractère personnel de votre demande de supprimer tout lien ou exemplaire de ces Données à caractère personnel.

Les sociétés de TP ne peuvent rejeter votre demande d’effacement que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque l’effacement de vos Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.
  • Le traitement est nécessaire à (i) l’exercice du droit de liberté d’expression et d’information ; (ii) au respect d’une obligation légale exigeant le traitement en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti ; ou (iii) à la constatation, à l’exercice ou à la défense d’un droit en justice.

Vous avez le droit de vous opposer à tout moment au Traitement de vos Données à caractère personnel basé sur les intérêts légitimes de la société de TP, y compris le profilage, à moins que le Traitement ne soit autorisé par des lois et règlements en vigueur dans les pays de l’EEE/RU.  Lorsque l’opposition est justifiée, le Traitement sera interrompu, à moins que les sociétés de TP ne puissent démontrer des motifs impérieux et légitimes de continuer le Traitement, qui l’emportent sur vos intérêts, vos droits et vos libertés, ou que le traitement est nécessaire à  la constatation, l’exercice ou la défense d’un droit en justice.

En outre, vous avez le droit de vous opposer à tout moment, sur demande et gratuitement, au Traitement de vos Données à caractère personnel à des fins de marketing direct (y compris le profilage, dans la mesure où il est lié au marketing direct).  Ce traitement cessera dès que raisonnablement possible.

Les sociétés de TP ne peuvent rejeter une demande que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • La demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la supression des Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Vous avez le droit de restreindre le Traitement de vos données à caractère personnel, et de demander de geler leur Traitement en conséquence, si l’une des situations suivantes se présente :

  • Vous contestez l’exactitude de vos données à caractère personnel, pendant un délai permettant à la société de TP agissant en tant que responsable du traitement des données de vérifier l’exactitude de ces données.
  • Le traitement est illicite et vous vous opposez à l’effacement de vos Données à caractère personnel et demandez à la place la limitation de leur utilisation.
  • La société de TP agissant en tant que responsable du traitement des données n’a plus besoin de vos données à caractère personnel aux fins du traitement, mais vous en avez besoin pour la constatation, l’exercice ou la défense d’actions en justice.
  • Vous vous êtes opposé(e) au traitement basé sur les intérêts légitimes du responsable du traitement des données, et il reste à vérifier si les motifs légitimes du responsable du traitement des données l’emportent sur les vôtres.

Lorsque le traitement est limité, les sociétés de TP peuvent traiter vos Données à caractère personnel, à l’exception du stockage, seulement :

  • avec votre consentement ;
  • pour la constatation, l’exercice ou la défense d’actions en justice ;
  • pour la protection des droits d’une autre personne physique ou morale ; ou
  • pour des motifs d’intérêt public importants comme défini dans les lois et règlements en vigueur dans les pays de l’EEE/RU.

Lorsque des sociétés de TP ont limité le Traitement à votre demande, elles vous informeront de cette limitation du Traitement avant qu’elle ne soit levée.

Les sociétés de TP ne peuvent rejeter une demande de limitation que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de limitation.

Lorsque le Traitement se fonde sur votre consentement ou un contrat, et est réalisé de manière automatisée, vous avez le droit de demander à :

  • recevoir les données à caractère personnel que vous avez fournies à la société de TP agissant en tant que responsable du traitement des données, sous un format structuré, couramment utilisé et lisible par des machines ;
  • transmettre vos données à caractère personnel à un autre responsable du traitement des données sans entraves du responsable du traitement des données initial, ou les faire transmettre directement d’un responsable du traitement des données à un autre, lorsque cela est techniquement possible.

Les sociétés de TP ne peuvent rejeter une demande de portabilité que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vous identifier.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction des données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Votre demande de portabilité de vos Données à caractère personnel est sans préjudice de votre droit à demander leur effacement en vertu de la Partie 2, Article 2.1.2 de la politique, et n’affectera pas de façon négative les droits et libertés de tiers.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de portabilité des données.

Vous avez le droit de vous opposer à toute décision fondée uniquement sur le Traitement automatique de vos Données à caractère personnel, y compris le profilage, qui produit un effet juridique à votre égard, ou vous affectant de manière significative.

Les sociétés de TP ne peuvent rejeter ces demandes que lorsqu’elles peuvent démontrer que les décisions remplissent l’une des conditions suivantes :

  • Elles sont nécessaires à la conclusion ou à l’exécution d’un contrat entre vous et la société de TP agissant en tant que responsable du traitement des données, ou se fondent sur votre consentement explicite. Dans ces cas, les sociétés de TP adopteront des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et vous accorderont au moins le droit d’obtenir une intervention humaine de la part des sociétés de TP, pour exprimer votre point de vue et contester la décision.
  • Elles sont autorisées par les lois et règlements en vigueur dans les pays de l’EEE/RU, qui établissent également des mesures pour protéger vos droits, vos libertés et vos intérêts légitimes.

Les sociétés de TP ne prendront des décisions fondées uniquement sur le Traitement automatique de vos données sensibles, que si elles ont mis en place des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et lorsque vous avez donné votre consentement explicite, ou lorsque le traitement est nécessaire pour des raisons d’intérêt public importantes au titre des lois et règlements en vigueur dans les pays de l’EEE/RU.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’opposition aux décisions vous affectant fondées sur le traitement automatique, y compris le profilage.

3. Transferts de données à caractère personnel

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous accorderont le droit d’accéder à vos Données à caractère personnel traitées par les sociétés de TP.

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous permettront également de corriger, sans retard excessif, vos Données à caractère personnel lorsque celles-ci sont incomplètes ou inexactes, y compris en fournissant une déclaration supplémentaire.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’accès, de rectification, d’effacement et d’opposition.

Vous aurez accès aux informations suivantes :

  • la confirmation que vos données à caractère personnel sont traitées par la société de TP ;
  • l’explication des finalités du traitement, les catégories de données à caractère personnel et les destinataires ou catégories de destinataires à qui vos données à caractère personnel sont communiquées (en particulier les destinataires dans les pays situés en dehors de l’EEE/RU) et les garanties appropriées apportées à ces transferts ;
  • dans la mesure du possible, la durée de conservation de vos données à caractère personnel, et à défaut, les critères utilisés pour déterminer cette durée ;
  • la communication de vos données à caractère personnel faisant ou ayant fait l’objet du traitement, et toutes les informations disponibles sur leur source lorsque vos données à caractère personnel ne sont pas obtenues auprès de vous ;
  • l’existence de votre droit de demander à la société de TP la rectification ou l’effacement de vos données à caractère personnel, ou la restriction du traitement de vos données à caractère personnel, ou de s’opposer à ce traitement ;
  • le droit de déposer une plainte auprès d’une APD pertinente de l’EEE/RU ;
  • lorsque la société de TP prend des décisions fondées uniquement sur le traitement automatique de vos données à caractère personnel, y compris le profilage, des informations utiles sur la logique utilisée dans ce traitement automatique, ainsi que la signification et les conséquences envisagées de ce traitement pour vous.

 

Les sociétés de TP ne peuvent rejeter une demande d’accès que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP vous permettront de demander l’effacement de vos Données à caractère personnel sans retard excessif si l’une des situations suivantes se présente :

  • Vos données à caractère personnel ne sont plus nécessaires aux effets pour lesquelles elles ont été collectées ou traitées.
  • Vous retirez votre consentement sur lequel le traitement est fondé, et il n’existe aucune autre base juridique du traitement.
  • Vous vous opposez au traitement effectué en fonction des intérêts légitimes du responsable du traitement des données lorsqu’il n’existe aucune raison légitime première pour le traitement, ou vous vous opposez au traitement à des fins de marketing direct.
  • Vos données à caractère personnel ont été traitées illicitement.
  • Vos données à caractère personnel seront supprimées conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti.

Lorsque vos Données à caractère personnel faisant l’objet de la demande d’effacement ont été rendues publiques par la société de TP agissant en tant que Responsable du traitement des données, celle-ci informera, eu égard à la technologie disponible et au coût de mise en œuvre, les autres Responsables du traitement des données qui traitent vos Données à caractère personnel de votre demande de supprimer tout lien ou exemplaire de ces Données à caractère personnel.

Les sociétés de TP ne peuvent rejeter votre demande d’effacement que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque l’effacement de vos Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.
  • Le traitement est nécessaire à (i) l’exercice du droit de liberté d’expression et d’information ; (ii) au respect d’une obligation légale exigeant le traitement en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti ; ou (iii) à la constatation, à l’exercice ou à la défense d’un droit en justice.

Vous avez le droit de vous opposer à tout moment au Traitement de vos Données à caractère personnel basé sur les intérêts légitimes de la société de TP, y compris le profilage, à moins que le Traitement ne soit autorisé par des lois et règlements en vigueur dans les pays de l’EEE/RU.  Lorsque l’opposition est justifiée, le Traitement sera interrompu, à moins que les sociétés de TP ne puissent démontrer des motifs impérieux et légitimes de continuer le Traitement, qui l’emportent sur vos intérêts, vos droits et vos libertés, ou que le traitement est nécessaire à  la constatation, l’exercice ou la défense d’un droit en justice.

En outre, vous avez le droit de vous opposer à tout moment, sur demande et gratuitement, au Traitement de vos Données à caractère personnel à des fins de marketing direct (y compris le profilage, dans la mesure où il est lié au marketing direct).  Ce traitement cessera dès que raisonnablement possible.

Les sociétés de TP ne peuvent rejeter une demande que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • La demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la supression des Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Vous avez le droit de restreindre le Traitement de vos données à caractère personnel, et de demander de geler leur Traitement en conséquence, si l’une des situations suivantes se présente :

  • Vous contestez l’exactitude de vos données à caractère personnel, pendant un délai permettant à la société de TP agissant en tant que responsable du traitement des données de vérifier l’exactitude de ces données.
  • Le traitement est illicite et vous vous opposez à l’effacement de vos Données à caractère personnel et demandez à la place la limitation de leur utilisation.
  • La société de TP agissant en tant que responsable du traitement des données n’a plus besoin de vos données à caractère personnel aux fins du traitement, mais vous en avez besoin pour la constatation, l’exercice ou la défense d’actions en justice.
  • Vous vous êtes opposé(e) au traitement basé sur les intérêts légitimes du responsable du traitement des données, et il reste à vérifier si les motifs légitimes du responsable du traitement des données l’emportent sur les vôtres.

Lorsque le traitement est limité, les sociétés de TP peuvent traiter vos Données à caractère personnel, à l’exception du stockage, seulement :

  • avec votre consentement ;
  • pour la constatation, l’exercice ou la défense d’actions en justice ;
  • pour la protection des droits d’une autre personne physique ou morale ; ou
  • pour des motifs d’intérêt public importants comme défini dans les lois et règlements en vigueur dans les pays de l’EEE/RU.

Lorsque des sociétés de TP ont limité le Traitement à votre demande, elles vous informeront de cette limitation du Traitement avant qu’elle ne soit levée.

Les sociétés de TP ne peuvent rejeter une demande de limitation que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vérifier votre identité.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de limitation.

Lorsque le Traitement se fonde sur votre consentement ou un contrat, et est réalisé de manière automatisée, vous avez le droit de demander à :

  • recevoir les données à caractère personnel que vous avez fournies à la société de TP agissant en tant que responsable du traitement des données, sous un format structuré, couramment utilisé et lisible par des machines ;
  • transmettre vos données à caractère personnel à un autre responsable du traitement des données sans entraves du responsable du traitement des données initial, ou les faire transmettre directement d’un responsable du traitement des données à un autre, lorsque cela est techniquement possible.

Les sociétés de TP ne peuvent rejeter une demande de portabilité que lorsqu’elles peuvent démontrer l’un des points suivants :

  • La société de TP n’arrive pas à vous identifier.
  • Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
  • Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction des données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Votre demande de portabilité de vos Données à caractère personnel est sans préjudice de votre droit à demander leur effacement en vertu de la Partie 2, Article 2.1.2 de la politique, et n’affectera pas de façon négative les droits et libertés de tiers.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de portabilité des données.

Vous avez le droit de vous opposer à toute décision fondée uniquement sur le Traitement automatique de vos Données à caractère personnel, y compris le profilage, qui produit un effet juridique à votre égard, ou vous affectant de manière significative.

Les sociétés de TP ne peuvent rejeter ces demandes que lorsqu’elles peuvent démontrer que les décisions remplissent l’une des conditions suivantes :

  • Elles sont nécessaires à la conclusion ou à l’exécution d’un contrat entre vous et la société de TP agissant en tant que responsable du traitement des données, ou se fondent sur votre consentement explicite. Dans ces cas, les sociétés de TP adopteront des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et vous accorderont au moins le droit d’obtenir une intervention humaine de la part des sociétés de TP, pour exprimer votre point de vue et contester la décision.
  • Elles sont autorisées par les lois et règlements en vigueur dans les pays de l’EEE/RU, qui établissent également des mesures pour protéger vos droits, vos libertés et vos intérêts légitimes.

Les sociétés de TP ne prendront des décisions fondées uniquement sur le Traitement automatique de vos données sensibles, que si elles ont mis en place des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et lorsque vous avez donné votre consentement explicite, ou lorsque le traitement est nécessaire pour des raisons d’intérêt public importantes au titre des lois et règlements en vigueur dans les pays de l’EEE/RU.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’opposition aux décisions vous affectant fondées sur le traitement automatique, y compris le profilage.

4. Sécurité de l’information

Teleperformance adoptera les mesures techniques et organisationnelles de sécurité appropriées pour protéger vos Données à caractère personnel contre toute perte accidentelle, modification ou divulgation ou accès non autorisés, en particulier lorsque le Traitement comprend la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.

Eu égard à l’état de l’art et au coût de leur mise en œuvre, ces mesures garantiront un niveau de sécurité approprié à la gravité et à la probabilité des risques présentés par le traitement quant à vos droits et libertés, ainsi que par la nature de vos Données à caractère personnel à protéger, le champ d’application, le contexte et les finalités du traitement.  Ces mesures peuvent comprendre, au besoin :

  • l’utilisation de pseudonymes et le chiffrement de vos données à caractère personnel ;
  • la capacité de garantir à tout moment la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
  • la capacité de rétablir la disponibilité et l’accès à vos données à caractère personnel en temps utile en cas d’incident physique ou technique ;
  • les processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles garantissant la sécurité du traitement.

Les normes de sécurité se conformeront aux lois et règlements locaux de protection des données et de la vie privée, ainsi qu’à toute exigence contractuelle.

En cas de violation de Données à caractère personnel, Teleperformance mettra en œuvre un plan de réponse aux incidents.

EEE et REC - Lorsque la violation des données à caractère personnel est susceptible d’entraîner un haut risque pour vos droits et libertés, les sociétés de TP vous informeront de la violation sans retard excessif, en décrivant avec un langage simple et clair :

  • la nature de la violation ;
  • le nom et les coordonnées du SVPP et/ou du DPD, le cas échéant, ou tout autre point de contact auprès duquel de plus amples informations peuvent être obtenues ;
  • les conséquences possibles de la violation ;
  • les mesures adoptées ou proposées par la société de TP pour traiter la violation, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets néfastes.

 

Cette communication peut ne pas s’avérer nécessaire dans l’un des cas suivants :

  • La société de TP a adopté des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données à caractère personnel affectées par la violation, en particulier celles qui rendent vos données à caractère personnel incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès (par ex., le chiffrement).
  • La société de TP a adopté d’autres mesures pour garantir que le haut risque pour vos droits et libertés est peu susceptible de se matérialiser.
  • Cela engagerait des efforts disproportionnés, auquel cas les sociétés de TP publieront une communication publique ou adopteront une mesure similaire selon laquelle vous serez informé(e) d’une manière tout aussi efficace.

5. Relation avec les sous-traitants des données - EEE et REC

Lorsque des sociétés de TP agissant en tant que Responsables du traitement des données engageront des sous-traitants externes ou des sous-traitants ultérieurs, elles réaliseront des contrôles de diligence raisonnable afin d’évaluer si ces sous-traitants externes ou ces sous-traitants ultérieurs peuvent fournir des garanties suffisantes en ce qui concerne les mesures techniques et organisationnelles régissant le traitement envisagé, de sorte que le Traitement réponde aux exigences de sécurité et de confidentialité définies dans la partie 2, Article 4.1 ci-dessus.

En outre, les sociétés de TP garantiront que les contrats écrits sont en place et stipulent toutes les exigences statutaires relatives à la protection des données.

6. Respect de la vie privée dès la conception et par défaut

En tenant compte de l’état de l’art, du coût de mise en œuvre et de la nature, du champ d’application, du contexte et des finalités du Traitement, ainsi que des risques de probabilité et gravité variables de vos droits et libertés que présente le Traitement, les sociétés de TP mettront en œuvre, lors de la détermination des moyens de traitement et lors du traitement proprement dit, les mesures techniques et organisationnelles appropriées (par ex., l’utilisation de pseudonymes) pour consacrer les principes de la protection des données et de la vie privée (par ex., minimisation des données) dans les produits, les processus, les technologies, les systèmes, les programmes et les dispositifs potentiels, nouveaux ou modifiés, le cas échéant, de manière efficace, et d’intégrer les garanties nécessaires au traitement de vos données à caractère personnel.

Les sociétés de TP mettront en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules vos Données à caractère personnel nécessaires à chaque finalité spécifique du Traitement sont traitées.  Cette exigence s’applique à la quantité de vos Données à caractère personnel, à l’étendue de leur Traitement, à la durée de leur conservation et à leur accessibilité.  Plus particulièrement, par défaut, vos Données à caractère personnel ne seront pas accessibles à un nombre indéfini de personnes physiques sans votre intervention.

7. Coopération avec les APD

Il appartient à toutes les sociétés de TP et à leurs employés de coopérer et d’assurer un traitement diligent et approprié en cas de demande, y compris un audit, provenant d’APD locales pertinentes et de suivre les indications de ces APD.

REC - En outre, la société de TP pertinente et le Bureau de la confidentialité coopèreront avec les APD pertinentes de l’EEE/RU sur toute question découlant de la Politique, et pour se conformer aux décisions et conseils de ces APD.

8. Traitement des demandes et des plaintes

REC - Teleperformance maintient une procédure interne de traitement des demandes et des plaintes pour permettre aux personnes concernées d’envoyer des demandes liées à leurs droits conformément à la partie 2, Article 2 ci-dessus, ou de soulever des préoccupations sur la conformité d’une société de TP à la Politique.

REC - Toutes les sociétés de TP respecteront la procédure de Teleperformance relative aux droits des personnes concernées pour les activités du responsable du traitement des données lors du traitement des demandes ou des plaintes des personnes concernées.

Les personnes concernées enverront leurs demandes sur leurs droits au point de contact local identifié dans la note d’information relative à la protection des données et de la vie privée applicable, en remplissant un formulaire en ligne sur http://teleperformance.com/en-us/data-privacy-information-and-inquires/ , et enverront leurs plaintes concernant la Politique par courrier électronique à privacy@teleperformance.com.

Personne ne fera l’objet d’une discrimination pour avoir envoyé une demande ou une plainte.

Bien que Teleperformance encourage les personnes concernées à utiliser la procédure de Teleperformance spécifique au traitement des plaintes, elles ont le droit de déposer une plainte directement auprès de l’APD pertinente et d’effectuer un recours judiciaire.

9. Vos droits de tiers bénéficiaires - REC

Lorsque vos Données à caractère personnel dont le Traitement est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU ont été transférées vers des sociétés de TP ou des tiers se trouvant en dehors de l’EEE/RU conformément aux exigences de la Politique, vous avez le droit de faire appliquer les exigences définies à la Partie 1, Article 2 (Objectif), 3 (Champ d’application) et 4 (Conflit entre la Politique et les lois et règlements locaux), ainsi qu’à la Partie 2 de la Politique, en tant que tiers bénéficiaires conformément à la Partie 2, Article 10 de la Politique.

Ce droit couvre les recours judiciaires en cas de violation de vos droits, et le droit de recevoir une indemnisation.

Vous pouvez choisir de déposer votre plainte auprès de l’une des autorités suivantes :

  • les juridictions compétentes au regard de la société de TP de l’EEE/RU à l’origine du transfert ;
  • les juridictions compétentes au regard de votre lieu de résidence habituel dans l’EEE/RU ;
  • l’APD pertinente de l’EEE/RU pour le pays de l’EEE/RU où vous résidez ou travaillez habituellement, ou celui où la prétendue violation a eu lieu.

10. Responsabilité - REC

Teleperformance SE assume la responsabilité de toute violation des exigences figurant dans la Politique par des sociétés de TP situées en dehors de l’EEE/RU, et accepte d’adopter les mesures nécessaires pour y remédier et de verser une indemnisation en cas de préjudices matériels ou immatériels découlant de cette violation.  Dans ce cas, vous aurez les mêmes droits et recours contre Teleperformance SE que si la violation avait eu lieu dans l’EEE/RU.

Cette responsabilité n’est engagée que si vos Données à caractère personnel dont le Traitement est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU ont été transférées vers des sociétés de TP ou des tiers se trouvant en dehors de l’EEE /RU conformément à la Politique.

Il incombera à Teleperformance SE de démontrer que Teleperformance n’est pas responsable du préjudice.  Lorsque Teleperformance SE peut prouver que la société de TP située en dehors de l’EEE/RU n’est pas responsable du manquement, elle peut se décharger de toute responsabilité comme décrit ci-dessus.

11. Conflit entre la Politique et les lois et règlements locaux - EEE et REC

Les sociétés de TP évalueront tout jugement rendu par un tribunal en dehors de l’EEE/RU ou toute décision prise par une autorité administrative en dehors de l’EEE/RU demandant le transfert ou la divulgation de vos données à caractère personnel dont le traitement est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU, afin de garantir que ce transfert ou cette divulgation sont réalisés conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU.

Nonobstant les exigences figurant à la Partie 1, Article 4 ci-dessus, lorsqu’une loi ou un règlement local(e) sont susceptibles d’empêcher la conformité à une exigence figurant dans la Politique ou ont un effet important sur les garanties offertes par la Politique, en particulier celles marquées de l’indication « REC », la société de TP affectée informera rapidement le bureau de la confidentialité, sauf interdiction d’un organisme d’application de la loi, d’une autorité réglementaire, d’un organisme de sécurité de l’État ou d’une ordonnance de tribunal (par ex., interdiction de caractère pénal visant à préserver le secret d’une enquête policière).

Dans les situations où le non-respect de la Politique n’aurait pas un effet important sur les garanties offertes par les présentes, les lois et règlements locaux l’emportent.

Le Bureau de la confidentialité décidera des mesures appropriées à adopter pour résoudre le conflit, et lorsqu’une loi ou un règlement local(e) en dehors de l’EEE/RU applicable à une société de TP est susceptible d’avoir un effet néfaste important sur les garanties offertes par la Politique, il le signalera à l’APD pertinente de l’EEE/RU.

Si Teleperformance reçoit une demande juridiquement contraignante de divulgation de vos Données à caractère personnel traitées d’un organisme d’application de la loi en dehors de l’EEE/RU, d’une autorité réglementaire, d’un organisme de sécurité de l’État ou d’une ordonnance de tribunal, les règles suivantes s’appliquent :

  • Teleperformance évaluera chaque demande de divulgation au cas par cas et informera l’APD pertinente de l’EEE/RU de la demande, en donnant des informations sur les données à caractère personnel demandées, l’organisme à l’origine de la demande et la base juridique de la divulgation, sauf interdiction (par ex., interdiction de caractère pénal visant à préserver le secret d’une enquête policière).
  • Lorsque la suspension de la demande ou le signalement sont interdits (par ex., interdiction de caractère pénal visant à préserver le secret d’une enquête policière), Teleperformance s’efforcera de demander une dérogation de cette interdiction afin de pouvoir communiquer à l’APD pertinente de l’EEE/RU un maximum d’informations dans les plus brefs délais possible, et conservera la preuve de la demande de dérogation.
  • Lorsqu’une demande de dérogation a été refusée, Teleperformance fournira annuellement des informations générales sur les demandes reçues (par ex., nombre de demandes de divulgation, type de données demandé, demandeur dans la mesure du possible) aux APD pertinentes de l’EEE/RU.

Quoi qu’il en soit, les transferts de vos Données à caractère personnel vers une autorité publique ne peuvent pas être massifs, disproportionnés et sans distinction d’une manière qui irait au-delà de ce qui est nécessaire dans une société démocratique.

 

Partie 3 : Activités du sous-traitant des données

1. Traitement de vos données à caractère personnel

Les sociétés de TP agissant pour le compte des Clients de Teleperformance peuvent traiter vos Données à caractère personnel afin de délivrer des services auxdits Clients.  La nature et les catégories de vos Données à caractère personnel, ainsi que les finalités du Traitement sont déterminées par les Clients de Teleperformance, et varieront en fonction de leurs instructions et des services fournis par les sociétés de TP.

En fonction des activités commerciales de Teleperformance, les finalités prévues et la nature et les catégories attendues de Données à caractère personnel couvertes par la Politique comprennent, mais sans s’y limiter, les suivantes :

  1. clients des Clients, car les activités commerciales du Groupe consistent principalement à fournir des services externalisés de gestion de la relation client. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel liés aux clients du client, conformément aux instructions de ce dernier, et peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance) ; les activités commerciales (par ex., services fournis par les clients) ; la famille, le mode de vie et les conditions sociales (par ex., informations sur les personnes à charge, le conjoint et la famille, religion ou convictions religieuses, condamnations et infractions pénales) ; la santé (par ex., données sur l’état de santé physique et psychologique) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale) ; les données photographiques, vidéo et de localisation (par ex., images de vidéosurveillance) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, vérification de solvabilité).
  2. Demandeurs de visa, car les sociétés de TP peuvent fournir des services externalisés pour les demandes de visa. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel liés aux demandeurs de visa, conformément aux instructions de ce dernier, et peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance, informations sur le passeport, données biométriques) ; les activités commerciales (par ex., activités commerciales de la personne concernée) ; la famille, le mode de vie et les conditions sociales (par ex., informations sur les personnes à charge, le conjoint et la famille, religion ou convictions religieuses, condamnations et infractions pénales) ; la santé (par ex., données sur l’état de santé physique et psychologique) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale) ; les informations photographiques, vidéo et de localisation (par ex., images photographiques) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, vérification de solvabilité).
  3. Toute donnée à caractère personnel liée à des services externalisés d’interprétation ou de traduction, pouvant inclure, mais sans s’y limiter : les données à caractère personnel des clients, patients, partenaires commerciaux ou utilisateurs de services publics du client. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel dans le contexte de services d’interprétation ou de traduction, qui peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance, données biométriques) ; la formation, l’expérience professionnelle et les affiliations (par ex., éducation et formation, langues, appartenance syndicale) ; les déplacements et les frais de l’employé (par ex., réservations de voyage, exigences alimentaires, passeports et visas) ; la famille, le mode de vie et les conditions sociales (par ex., état civil, coordonnées en cas d’urgence, religion ou convictions religieuses) ; la santé et le bien-être (par ex., handicap, accessibilité, besoins spéciaux, données génétiques) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, permis de travail).
  4. Clients et personnes participant à des enquêtes, car les sociétés de TP peuvent fournir des services externalisés d’enquête auprès des clients. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel traités dans le contexte de la réalisation d’enquêtes, qui peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., âge) ; la famille, le mode de vie et les conditions sociales (par ex., informations sur la famille, religion ou convictions religieuses) ; la santé (par ex., par ex., données sur l’état de santé physique et psychologique).

Lorsqu’elles agissent pour le compte d’un client, les sociétés de TP et leurs employés respecteront les instructions concernant le Traitement de vos Données à caractère personnel et les mesures de sécurité et de confidentialité figurant sur le contrat avec chaque Client, et observeront les principes suivants :

Les sociétés de TP agissant en tant que sous-traitants des données aideront raisonnablement les Clients à respecter les lois et règlements, notamment en garantissant le Traitement transparent de vos Données à caractère personnel et la qualité des données.

Plus particulièrement, les Clients seront informés des Sous-traitants ultérieurs ou des Sous-traitants externes concernés par leurs traitements respectifs.

Une version publique à jour de la Politique et une liste à jour des sociétés de TP liées par la politique seront rendues aisément accessibles aux personnes concernées sur le site internet du Groupe https://teleperformance.com/en-us/data-privacy-information-and-inquires/.

REC - Lorsque les Clients s’appuient sur la Politique pour les transferts effectués par Teleperformance pour leur compte, les Parties 1 et 3 de la Politique seront intégrées au contrat avec ces Clients. 

Les sociétés de TP ne traiteront vos Données à caractère personnel que pour le compte des Clients, et conformément aux instructions de ces derniers.

Plus particulièrement, Teleperformance adoptera toutes les mesures nécessaires selon les instructions des Clients afin de mettre à jour, de corriger, de supprimer ou de rendre anonyme toute Donnée à caractère personnel traitée pour le compte de ces derniers.  Chaque sous-traitant ultérieur et chaque sous-traitant externe auxquels vos données à caractère personnel ont été communiquées seront informés de ces instructions et les respecteront.

EEE et REC - Les sociétés de TP respecteront les instructions documentées par le Client, notamment pour les transferts de vos Données à caractère personnel vers un pays en dehors de l’EEE/RU, à moins que les lois et règlements en vigueur dans les pays de l’EEE/RU auxquels les sociétés de TP sont assujetties ne l’exigent pas.  Dans ce cas, les sociétés de TP informeront les Clients de cette disposition juridique avant que le traitement n’ait lieu, à moins que les lois et règlements en vigueur dans les pays de l’EEE/RU interdisent ces informations pour des motifs importants d’intérêt public.

EEE et REC - Si une société de TP n’est pas en mesure de respecter les instructions raisonnables du Client, elle informera rapidement le Bureau de la confidentialité et le Client, et Teleperformance tentera de tenir compte des instructions du Client en prenant en considération les lois et règlements locaux en vigueur dans les pays de l’EEE/RU et la Politique.  Si le Client rejette raisonnablement les tentatives de Teleperformance de tenir compte de ses instructions, et si, ni Teleperformance ni le client ne peuvent trouver une solution pour tenir compte de ces instructions, Teleperformance permettra au Client de suspendre, pour une raison légitime liée à la protection des données et de la vie privée conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU, le transfert de vos Données à caractère personnel concernées jusqu’à ce que la société de TP puisse respecter les instructions raisonnables du Client, ou de résilier la partie spécifique des services affectée en vertu du bon de commande ou du contrat d’application applicable, conformément aux dispositions contractuelles figurant sur le contrat signé avec ce Client, mais seulement dans la mesure où la situation perturbe fortement la capacité de Teleperformance à délivrer les services à ce Client.

EEE et REC - Lorsque la prestation de services rendue à un Client prend fin, toutes vos Données à caractère personnel traitées pour le compte de ce Client par Teleperformance et tout sous-traitant externe seront, au choix du Client et conformément aux conditions pertinentes de son contrat avec Teleperformance, retournées en toute sécurité (y compris tous les exemplaires) au Client, ou détruites (y compris tous les exemplaires), auquel cas Teleperformance certifiera à ce Client qu’elle a procédé ainsi.  Ce retour ou cette destruction sera effectué(e) sous 90 jours à compter de la résiliation du contrat entre le Client et Teleperformance, délai qui pourra être prolongé  avec l’accord du RC en fonction du délai convenu dans ce contrat.

EEE et REC - Lorsque les lois et règlements exigent la conservation par Teleperformance de vos Données à caractère personnel transférées, celle-ci informera le Client et assurera qu’elle garantira la confidentialité de vos Données à caractère personnel, et ne traitera plus activement lesdites Données à caractère personnel.

Teleperformance aidera les Clients à traiter toute demande lorsque vous exercez vos droits, notamment les demandes d’accès, de rectification ou d’effacement de vos Données à caractère personnel conformément aux lois et aux règlements en vigueur.

Plus particulièrement, les sociétés de TP, ainsi que tout sous-traitant ultérieur et sous-traitant externe, le cas échéant, exécuteront toutes les mesures techniques et organisationnelles appropriées, dans la mesure du possible, à la demande des Clients, pour s’acquitter de leurs obligations de répondre à vos demandes liées à l’exercice de vos droits, y compris en fournissant toutes les informations utiles afin de donner suite à vos demandes.

EEE et REC - Lorsque Teleperformance reçoit directement une demande de votre part, elle la communiquera rapidement au Client concerné, lequel reste responsable du traitement de la demande, à moins qu’il ait explicitement autorisé Teleperformance à s’en charger.  Dans ces cas, Teleperformance suivra les instructions figurant sur le contrat avec le Client.  Les coûts des demandes traitées directement par Teleperformance seront assumés par le client, sauf disposition contraire du contrat signé avec ce Client.

Teleperformance ne peut recourir aux Sous-traitants ultérieurs ou aux Sous-traitants externes qu’après en avoir informé le Client, et si ce dernier n’a émis aucune objection vis-à-vis de ce Sous-traitant ultérieur ou de ce Sous-traitant externe sous 30 jours à compter de la réception de la notification, sauf disposition contraire dans le contrat signé avec ce Client.

Dans le cas d’un Sous-traitant ultérieur, ce dernier traitera vos Données à caractère personnel conformément aux instructions du Client et aux obligations de protection des données et de la vie privée de Teleperformance définies par le contrat signé entre Teleperformance et le Client.

Dans le cas d’un Sous-traitant externe, Teleperformance ne désignera un tiers que s’il offre les garanties suffisantes à l’égard des engagements de Teleperformance en vertu de la Partie 3 de la Politique.  Plus particulièrement, ce Sous-traitant externe s’engagera par contrat ou autre acte juridique en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU à traiter vos Données à caractère personnel conformément aux instructions du Client et aux obligations de protection des données et de la vie privée de Teleperformance définies par le contrat signé entre Teleperformance et son client, et à adopter les mesures techniques et organisationnelles appropriées pour garantir une protection adéquate eu égard à la Partie 3, Article 3.1 de la Politique.

Si le Client s’oppose à l’ajout ou au remplacement d’un sous-traitant ultérieur ou d’un sous-traitant externe, Teleperformance (i) proposera de ne pas effectuer le changement, ou (ii) offrira une solution alternative au client, y compris le recours à un autre Sous-traitant ultérieur ou Sous-traitant externe.  Si le Client rejette la solution alternative offerte par Teleperformance pour une raison légitime liée à la protection des données et de la vie privée conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU, le client pourra résilier la partie spécifique des services affectée en vertu du bon de commande ou de la convention d’exécution applicable, en application des dispositions contractuelles figurant sur le contrat signé avec ce Client.

2. Transferts de vos données à caractère personnel - EEE et REC

Les transferts de vos Données à caractère personnel à des Sous-traitants ultérieurs et à des Sous-traitants externes se feront conformément à la Partie 3, Article 1.2.4 de la Politique et aux exigences définies ci-dessus.

EEE et REC - Il s’agit de la situation dans laquelle un Client ou une société de TP, situé dans l’EEE, transfère vos Données à caractère personnel vers l’une des personnes physiques ou morales suivantes :

EEE et REC - Un Client à une société de TP (Sous-traitant ou Sous-traitant ultérieur) basée dans l’EEE ou dans un Pays de protection adéquat. Par exemple, un transfert d’un Client situé en France à une société TP (Sous-traitant ultérieur) située en Italie, ou un Client situé en Allemagne à une société de TP (Sous-traitant) située au Canada.  

  • EEE et REC - Une société de TP à un sous-traitant ultérieur ou un sous-traitant externe personnel effectué par une société de TP en France vers un sous-traitant ultérieur en Italie.
  • EEE et REC - Une société de TP à un sous-traitant ultérieur ou un sous-traitant externe se trouvant dans un pays assurant un niveau de protection adéquat. Par exemple, un transfert de données à caractère personnel effectué par une société de TP en Espagne vers un sous-traitant des données tiers en Argentine.

Les lois et règlements en vigueur dans les pays de l’EEE autorisent les transferts de vos Données à caractère personnel entre des organisations situées dans l’EEE, ou d’une organisation située dans l’EEE vers une autre organisation située dans un pays assurant un niveau de protection adéquat.  Par conséquent, Teleperformance n’a pas besoin d’adopter des mesures supplémentaires dans ces cas.

Il s’agit de la situation dans laquelle un Client transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur), ou une société de TP située dans l’EEE transfère vos Données à caractère personnel vers un Sous-traitant ultérieur ou un Sous-traitant externe se trouvant dans un pays n’assurant pas un niveau de protection adéquat.  Par exemple, un transfert de vos données à caractère personnel effectué par une société de TP en Irlande vers un sous-traitant ultérieur aux Philippines, ou par une société de TP en Allemagne vers un sous-traitant des données tiers en Turquie ou un Client situé en Espagne à une société de TP basée aux Philippines.

Lorsqu’un Client transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur) ou une société de TP située dans l’EEE transfère vos Données à caractère personnel vers une autre société de TP situé dans un pays n’assurant pas un niveau de protection adéquat, ce transfert est autorisé dans la mesure où le Sous-traitant ou Sous-traitant ultérieur destinataire a mis en œuvre la Politique et répond à ses exigences, y compris celles marquées de l’indication « REC ».

Lorsqu’une société de TP située dans l’EEE transfère vos Données à caractère personnel vers un Sous-traitant externe situé dans un pays n’assurant pas un niveau de protection adéquat, ou vers un Sous-traitant ultérieur qui n’a pas mis en œuvre la Politique (y compris les exigences de la Politique marquées de l’indication « REC »), la société de TP expéditrice adoptera des mesures supplémentaires pour protéger vos Données à caractère personnel transférées (par ex., en intégrant au contrat signé avec le sous-traitant externe les clauses types de protection des données appropriées émises par la Commission européenne ou une APD de l’EEE), ou garantira que le transfert remplit une des conditions établies par les lois et règlements en vigueur dans les pays de l’EEE (par ex., vous avez donné votre consentement au transfert ; ou le transfert est nécessaire à l’exécution d’un contrat entre vous et le client ou à la mise en œuvre de mesures précontractuelles adoptées en réponse à votre demande).

Si ce n’est pas possible, la société de TP expéditrice peut effectuer un transfert si cela s’avère nécessaire à la réalisation des intérêts impérieux et légitimes poursuivis par le Client, à condition que le transfert ou l’ensemble de transferts de vos Données à caractère personnel ne soit pas répétitif et ne concerne qu’un nombre limité de Personnes concernées ; que vos intérêts ou vos droits et libertés ne priment pas sur les intérêts légitimes du Client ; que le Client ait évalué toutes les circonstances du transfert et, en fonction de cette évaluation, ait fourni des garanties appropriées en ce qui concerne la protection des données et de la vie privée ; et que le Client vous informe, vous et les APD pertinentes de l’EEE, du transfert et des intérêts impérieux et légitimes.

Il s’agit du transfert de vos Données à caractère personnel effectué par une société de TP située en dehors de l’EEE/RU vers un Sous-traitant ultérieur ou un Sous-traitant externe se trouvant dans un autre pays.  Par exemple, un transfert de vos Données à caractère personnel effectué par une société de TP en Albanie vers un sous-traitant ultérieur en Chine, ou par une société de TP au Mexique vers un sous-traitant externe en Argentine.

Tout transfert de vos Données à caractère personnel d’un pays en dehors de l’EEE/RU vers un autre pays sera effectué avec une protection appropriée et raisonnable, et conformément aux lois et règlements applicables à la société de TP à l’origine du transfert, en particulier, mais sans s’y limiter, toute disposition juridique relative aux transferts de vos Données à caractère personnel ou à la sécurité.

REC - Lorsque vos données à caractère personnel transférées de l’EEE/RU vers des sous-traitants ultérieurs ou des sous-traitants externes se trouvant en dehors de l’EEE/RU sont ensuite transférées vers d’autres sous-traitants ultérieurs ou sous-traitants externes se trouvant en dehors de l’EEE/RU, la société de TP située dans l’EEE/RU ou en dehors de l’EEE/RU à l’origine du transfert s’assurera que ces transferts ultérieurs respectent les règles définies dans la Partie 3, Articles 2.2 et 2.4.

Il s’agit de la situation dans laquelle un Client ou une société de TP, situé dans le RU, transfère vos Données à caractère personnel dans l’un des cas suivants :

  • Un Client à une société de TP (Sous-traitant ou Sous-traitant ulterieur) également située dans le RU ou un Pays de protection adéquat ;
  • Une société de TP à un Sous-traitant ultérieur ou un Sous-traitant externe aussi situé dans le RU ou dans un Pays de protection adéquat.
  • La loi et la règlementation applicable au RU autorise le transfert entre entités situées dans le RU ou d’une entité située dans le RU vers une autre entité située dans un Pays de protection adéquat. Aussi, TP n’a pas besoin d’implémenter de mesure additionnelle dans ce cas.

Il s’agit de la situation dans laquelle un Client situé dans le RU transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur) située dans un pays n’assurant pas un niveau de protection adéquat, ou une société de TP située au RU transfère vos Données à caractère personnel à une société de TP ou un tiers situé dans un pays n’assurant pas un niveau de protection adéquat.

Quand un Client situé dans le RU transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur) située dans un pays n’assurant pas un niveau de protection adéquat, ou une société de TP située au RU transfère vos Données à caractère personnel à une société de TP située dans un pays n’assurant pas un niveau de protection adéquat, ce transfert est autorisé pour autant que cette société de TP destinataire ait signé l’accord inter-entreprise, ait implémenté la Politique et se conforme à ses exigences, notamment celles marquées de l’indication “REC”.

Quand une société de TP installée dans le RU transfère vos Données à caractère personnel à un tiers sous-traitant situé dans un pays n’assurant pas un niveau de protection adéquat, ou à une autre société de TP qui n’a pas implémenté la Politique (y compris les exigences de la Politique de l’indication “REC”), la société de TP émettrice doit implémenter des mesures additiionnelles pour protéger vos Données à caractère personnel transférées (exp en incorporant dans le contrat signé avec le tiers les clauses contractuelles types applicables approuvées par l’ICO), ou s’assurer que le transfert répond à l’une des conditions fixées par les loi et règlementations applicables au RU (exp : vous avez consenti explicitement au transfert après avoir été informé des risques probables associés à ce transfert du fait de l’absence de décision d’adéquation et de mesures de protection adéquates; ou le transfert est nécessaire à l’exécution d’un contrat conclu entre vous et le Responsable de traitement ou à l’exécution de mesures pré-contractuelles à votre demande).

Si cela n’est pas possible, la société de TP émettrice peut procéder au transfert si nécessaire sur la base de l’intérêt légitime impérieux du Client, sous réserve que :

  • Le transfert ou l’ensemble des transferts de vos données ne soit pas répétitif et concerne seulement un nombre limité de personnes concernées,
  • L’intérêt légitime impérieux du Client n‘outrepasse pas votre intérêt, vos droits et libertés,
    • Le Client a évalué les circonstances du transfert et sur la base de cette évaluation, a mis en oeuvre les mesures de protection adéquates à la protection de vos données, et
    • Le Client vous informe ainsi que l’ICO du transfert et de son intérêt légitime impérieux.

3. Sécurité de l’information

Les sociétés de TP adopteront les mesures techniques et organisationnelles de sécurité appropriées pour protéger vos Données à caractère personnel contre toute perte accidentelle, modification ou divulgation ou accès non autorisés, en particulier lorsque le Traitement effectué pour le compte des Clients comprend la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.

Eu égard à l’état de l’art et au coût de leur mise en œuvre, ces mesures garantiront un niveau de sécurité approprié à la gravité et à la probabilité des risques présentés par le traitement effectué pour le compte des Clients quant à vos droits et libertés, ainsi que par la nature de vos Données à caractère personnel à protéger, le champ d’application, le contexte et les finalités du Traitement.  Ces mesures peuvent comprendre, au besoin :

  • l’utilisation de pseudonymes et le chiffrement de vos données à caractère personnel ;
  • la capacité de garantir à tout moment la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
  • la capacité de rétablir la disponibilité et l’accès à vos données à caractère personnel en temps utile en cas d’incident physique ou technique ;
  • les processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles garantissant la sécurité du traitement.

REC - En outre, les sociétés de TP respecteront les mesures de sécurité et organisationnelles qui répondront a minima aux exigences des lois et règlements de protection des données et de la vie privée applicables au client.

En cas de violation de Données à caractère personnel, Teleperformance mettra en œuvre un plan de réponse aux incidents, en coopération avec le directeur des systèmes d’information concerné, le responsable mondial de la sécurité des systèmes d’information, le Responsable national de la confidentialité et le Bureau de la confidentialité. Ce plan comprendra les points suivants :

  • Confinement de la violation et récupération: Teleperformance s’efforcera de résoudre l’incident en appliquant un plan de récupération et, le cas échéant, des procédures pour limiter les dommages.
  • Évaluation des risques: Teleperformance évaluera les risques associés, tels que les conséquences négatives pour les personnes concernées et le client affecté ; la gravité de la violation ; et le risque de récidive.
  • Signalement de la violation: conformément au calendrier fourni par les lois et règlements locaux, Teleperformance informera le client affecté et toute autre partie prenante (par ex., la police ou les banques, selon le cas) de la violation de données à caractère personnel, lorsque la loi en vigueur l’exige.
  • Évaluation du processus: une enquête sera menée afin de déterminer la cause de la violation et d’évaluer l’efficacité de la réponse donnée.  Les politiques et procédures seront traitées en conséquence.

 

EEC et REC - En cas de violation de Données à caractère personnel, les sociétés de TP informeront également les Clients affectés par cette violation rapidement après en avoir pris connaissance (au plus tard sous 48 heures), ainsi que le Bureau de la confidentialité, y compris lorsque la violation concerne un sous-traitant externe délivrant des services à ces clients.  En outre, Teleperformance s’assurera que les sous-traitants ultérieurs et les sous-traitants externes ont le devoir d’informer les sociétés de TP agissant en tant que sous-traitant ultérieur des données de toute violation sans retard excessif après en avoir pris connaissance, et celles-ci, à leur tour, informeront rapidement les Clients de cette violation.

4. Coopération avec les APD

Il appartient à toutes les sociétés de TP de coopérer et d’assurer un traitement diligent et approprié en cas de demande, y compris un audit, provenant d’APD locales.  Les sociétés de TP informeront le Bureau de la confidentialité si elles reçoivent des demandes d’une APD, et toute communication ultérieure sera traitée par le Bureau de la confidentialité.

REC - En outre, la société de TP concernée et le Bureau de la confidentialité coopèreront avec les APD pertinentes de l’EEE/RU sur toute question découlant de la Politique, et pour se conformer aux décisions et conseils de ces APD.

 

5. Coopération avec les clients

Teleperformance et tout Sous-traitant externe, le cas échant et de manière raisonnable, coopèreront et aideront les Clients à respecter les lois et règlements de protection des données et de la vie privée en vigueur, et y compris en mettant en œuvre des mesures techniques et organisationnelles appropriées. Toute demande de clients sera traitée rapidement et une aide raisonnable sera fournie.

Les transferts de vos Données à caractère personnel à des Sous-traitants ultérieurs et à des Sous-traitants externes se feront conformément à la Partie 3, Article 1.2.4 de la Politique et aux exigences définies ci-dessus.

6. Traitement des plaintes - REC

Si un Client signale votre plainte relative à la conformité aux exigences des Parties 1 et 3 de la Politique marquées de l’indication « REC » concernant le Traitement de vos Données à caractère personnel par Teleperformance ou un sous-traitant externe, et demande à Teleperformance, dans la mesure convenue dans le contrat signé entre Teleperformance et ce Client, de la traiter directement, Teleperformance adoptera toutes les mesures nécessaires pour garantir que votre plainte est traitée conformément à la procédure décrite ci-dessous.

Lorsque vous souhaitez déposer une plainte liée à la conformité aux exigences des Parties 1 et 3 de la Politique marquées de l’indication « REC » concernant le Traitement de vos Données à caractère personnel par Teleperformance ou un sous-traitant des données tiers, mais que le client a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable et sans successeur, vous pouvez déposer une plainte directement auprès de Teleperformance en envoyant un courrier électronique à privacy@teleperformance.com.

Le Bureau de la confidentialité, ou les Responsables nationaux de la confidentialité, le cas échéant, traiteront la plainte conformément à la procédure suivante :

  • Vérifier votre identité avant d’évaluer toute plainte liée à la Politique. Des formes d’identification supplémentaires peuvent être raisonnablement demandées pour vérifier votre identité.
  • Vous envoyer un accusé de réception et vous informer de la procédure et du calendrier de réponse.
  • D’après les informations figurant dans votre plainte, évaluer si celle-ci est justifiée, et mener une enquête sur les circonstances du traitement faisant l’objet de votre plainte (par ex., étendue de la violation).
  • Lorsque l’enquête révèle que la plainte est justifiée, adopter les mesures pertinentes pour résoudre la violation sans retard excessif et, dans tous les cas, au plus tard deux mois à compter de la réception de votre plainte ; et vous informer du résultat de l’enquête et des mesures correctives adoptées.
  • Lorsqu’il s’avère impossible de donner une réponse substantielle à votre plainte sous un mois en raison de la complexité ou du nombre de plaintes, vous informer de tout prolongement du délai de réponse, en indiquant les motifs du retard, et s’engager à donner une réponse au plus tard dans un délai supplémentaire de deux mois.
  • Lorsque l’enquête révèle que la plainte n’est pas justifiée, vous informer du résultat de l’enquête.
  • Que votre plainte soit justifiée ou non, vous informer de votre droit de porter la plainte à l’attention du RC si vous n’êtes pas satisfait(e) par la réponse reçue à votre plainte.

Bien que Teleperformance vous encourage à utiliser la procédure du Client spécifique au traitement des plaintes (ou la procédure de Teleperformance spécifique au traitement des plaintes si le client a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable et sans successeur), vous avez le droit de déposer une plainte directement auprès de l’APD pertinente et d’effectuer un recours judiciaire.

Toute communication et toute action effectuées par Teleperformance à la suite de votre plainte seront réalisées gratuitement. Toutefois, des frais raisonnables pourront être exigés si les plaintes sont manifestement infondées ou excessives, en particulier en raison de leur caractère répétitif, auquel cas il incombera à Teleperformance de démontrer le caractère manifestement infondé ou excessif des plaintes.

Teleperformance peut refuser d’intervenir à la suite d’une plainte dans un des cas suivants :

  • Elle est manifestement infondée ou excessive, en particulier en raison de son caractère répétitif, et Teleperformance peut démontrer le caractère manifestement infondé ou excessif de ladite plainte.
  • Le traitement ne requiert pas d’identification, et Teleperformance peut démontrer qu’elle n’est pas en mesure de vous identifier.
  • Votre droit est explicitement limité par les lois et règlements en vigueur dans les pays de l’EEE/RU.

7. Vos droits de tiers bénéficiaires - REC

Sous réserve de la Partie 3, Article 8.1 de la Politique, lorsque vos Données à caractère personnel assujetties aux lois et règlements en vigueur dans les pays de l’EEE/RU ont été transférées vers des sociétés de TP ou des tiers se trouvant en dehors de l’EEE/RU en vertu de la Politique, vous avez un droit de recours contre Teleperformance en ce qui concerne les violations définies dans la Partie 1, Article 3 (Champ d’application) et 4 (Conflit entre la Politique et les lois et règlements locaux), ainsi que dans la Partie 3 de la Politique.

Sous réserve de la Partie 3, Article 8.1 de la Politique, lorsque vos Données à caractère personnel assujetties aux lois et règlements en vigueur dans les pays de l’EEE/RU ont été transférées vers des sociétés de TP ou des tiers se trouvant en dehors de l’EEE/RU en vertu de la Politique et que vous n’êtes pas en mesure de déposer une plainte auprès du Client, car il a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable et sans successeur, vous avez un droit à réparation relatif aux violations des obligations définies dans la Partie 1, Articles 2 (Limitation de la finalité), 3 (Champ d’application) et 4 (Conflit entre la Politique et les lois et règlements locaux), ainsi que dans la Partie 3 de la Politique.

Ces droits couvrent les recours judiciaires en cas de violation des droits qui vous sont garantis, et le droit de recevoir une indemnisation.

Vous pouvez choisir de déposer votre plainte auprès de l’une des autorités suivantes :

  • les juridictions compétentes au regard du client ou de la société de TP de l’EEE /RUà l’origine du transfert ;
  • les juridictions compétentes au regard de votre lieu de résidence habituel dans l’EEE/RU ;
  • l’APD compétente de l’EEE/RU pour le pays de l’EEE/RU où vous résidez ou travaillez habituellement, ou celui où la prétendue violation a eu lieu.

8. Responsabilité

Sous réserve de la Partie 3, Article 7, premier paragraphe de la Politique, Teleperformance SE assume la responsabilité de toute violation des exigences figurant dans la Politique par des sociétés de TP situées en dehors de l’EEE/RU, et accepte d’adopter les mesures nécessaires pour y remédier et de verser une indemnisation en cas de préjudices matériels ou immatériels découlant de cette violation.  Dans ce cas, vous aurez les mêmes droits et recours contre Teleperformance SE que si la violation avait eu lieu dans l’EEE/RU.

Sous réserve de la Partie 3, Article 7, deuxième paragraphe de la Politique, lorsque le Client a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable et sans successeur, Teleperformance SE assume la responsabilité de toute violation des exigences figurant dans la Politique par des sociétés de TP ou des sous-traitants externes situés en dehors de l’EEE/RU, et accepte d’adopter les mesures nécessaires pour y remédier et de verser une indemnisation en cas de préjudices matériels ou immatériels découlant de cette violation.  Dans ce cas, vous aurez les mêmes droits et recours contre Teleperformance SE que si la violation avait eu lieu dans l’EEE/RU.

Cette responsabilité se limite aux personnes concernées dont les Données à caractère personnel assujetties aux lois et règlements en vigueur dans les pays de l’EEE/RU ont été transférées vers des sociétés de TP ou des sous-traitants externes se trouvant en dehors de l’EEE/RU conformément à la Politique.

Teleperformance SE ne peut pas s’appuyer sur une violation de ses obligations commise par une autre société de TP ou un sous-traitant externe afin d’éviter ses propres responsabilités.

Lorsque la société de TP et le client participant au même Traitement de données sont jugés responsables d’un préjudice causé par ce Traitement, vous avez le droit de recevoir une indemnisation, pour l’intégralité du préjudice, directement de la société de TP.

Lorsque Teleperformance SE peut prouver que ni une société de TP ni un sous-traitant externe se trouvant en dehors de l’EEE/RU est responsable du manquement, ou que l’acte résulte du client, elle peut se décharger de toute responsabilité comme décrit ci-dessus.

Les sociétés de TP mettront en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules vos Données à caractère personnel nécessaires à chaque finalité spécifique du Traitement sont traitées.  Cette exigence s’applique à la quantité de vos Données à caractère personnel, à l’étendue de leur Traitement, à la durée de leur conservation et à leur accessibilité.  Plus particulièrement, par défaut, vos Données à caractère personnel ne seront pas accessibles à un nombre indéfini de personnes physiques sans votre intervention.

9. Conflit entre la Politique et les lois et règlements locaux - EEE et REC

Les sociétés de TP évalueront tout jugement rendu par un tribunal en dehors de l’EEE/RU ou toute décision prise par une autorité administrative en dehors de l’EEE/RU demandant le transfert ou la divulgation de vos Données à caractère personnel dont le Traitement est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU, afin de garantir que ce transfert ou cette divulgation sont réalisés conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU.

Nonobstant les exigences figurant à la Partie 1, Article 4 ci-dessus, lorsqu’une loi ou un règlement local(e), existants ou futurs, sont susceptibles d’empêcher la conformité à une exigence figurant dans la Politique, en particulier celles marquées de l’indication « REC », ou à toute instruction raisonnable des clients, la société de TP affectée informera rapidement le bureau de la confidentialité, sauf interdiction d’un organisme d’application de la loi, d’une autorité réglementaire, d’un organisme de sécurité de l’État ou d’une ordonnance de tribunal (par ex., interdiction de caractère pénal visant à préserver le secret d’une enquête policière).

Dans les situations où le non-respect de la Politique n’aurait pas un effet important sur les garanties offertes par les présentes, les lois et règlements locaux l’emportent.

Le Bureau de la confidentialité décidera des mesures appropriées à adopter pour résoudre le conflit, et signalera tout conflit relatif à l’EEE à l’APD de l’EEE pertinente pour le Client et à la CNIL et tout conflit relatif au RU à l’APD de l’EEE pertinente pour le Client et à l’ICO.

En outre, le Client sera rapidement informé de ce risque de non-conformité à la Politique ou aux instructions du Client.  Teleperformance s’efforcera d’offrir une solution alternative au Client concerné afin de résoudre le conflit dans des délais raisonnables.  Si le Client rejette la solution alternative offerte par Teleperformance pour une raison légitime liée à la protection des données et de la vie privée conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU, le Client aura le droit de suspendre le transfert des Données à caractère personnel spécifiques affectées par cette non-conformité jusqu’à ce que la société de TP puisse offrir une solution alternative adéquate, ou de résilier la partie spécifique des services affectée par cette non-conformité en vertu du bon de commande ou du contrat d’application applicable, en application des dispositions contractuelles figurant sur le contrat signé avec ce client, mais seulement dans la mesure où ce conflit perturbe considérablement la capacité de Teleperformance à prêter des services à ce Client.

Si Teleperformance reçoit une demande juridiquement contraignante de divulgation de vos Données à caractère personnel traitées pour le compte d’un Client d’un organisme d’application de la loi en dehors de l’EEE/RU, d’une autorité réglementaire, d’un organisme de sécurité de l’État ou d’une ordonnance de tribunal, les règles suivantes s’appliquent :

  • Le client sera rapidement informé, sauf interdiction (par ex., interdiction de caractère pénal visant à préserver le secret d’une enquête policière) ou accord contraire avec le client.
  • Quoi qu’il en soit, Teleperformance évaluera chaque demande de divulgation au cas par cas et s’engage à mettre la demande en suspens pendant une période raisonnable afin d’informer l’APD de l’EEE/RU pertinente pour le client et la CNIL, ou ICO le cas échéant, avant la divulgation à l’organisme à l’origine de la demande, et à leur fournir des informations sur la demande, l’organisme à l’origine de la demande et la base juridique de la divulgation, sauf interdiction (par ex., interdiction de caractère pénal visant à préserver le secret d’une enquête policière).
  • Lorsque la suspension de la demande ou le signalement aux APD pertinentes de l’EEE/RU sont interdits (par ex., interdiction de caractère pénal visant à préserver le secret d’une enquête policière), Teleperformance s’efforcera de demander une dérogation de cette interdiction afin de pouvoir informer l’APD de l’EEE/RU pertinente pour le Client et la CNIL, ou ICO le cas échéant, et conservera la preuve de la demande de dérogation.
  • Lorsqu’une demande de dérogation a été refusée, Teleperformance fournira annuellement des informations générales sur les demandes reçues (par ex., nombre de demandes de divulgation, type de données demandé, demandeur dans la mesure du possible) aux APD de l’EEE/RU mentionnées ci-dessus.

Quoi qu’il en soit, les transferts de vos Données à caractère personnel vers une autorité publique ne peuvent pas être massifs, disproportionnés et sans distinction d’une manière qui irait au-delà de ce qui est nécessaire dans une société démocratique.

Les transferts de vos Données à caractère personnel à des Sous-traitants ultérieurs et à des Sous-traitants externes se feront conformément à la Partie 3, Article 1.2.4 de la Politique et aux exigences définies ci-dessus.

Annexe 1 – Procédure de traitement des demandes et des plaintes pour les activités du responsable du traitement des données

Cette procédure met en œuvre et précise le mécanisme de traitement des demandes et des plaintes défini dans la Partie 2, Article 8 de la Politique.

Cette procédure énonce les exigences minimales auxquelles toutes les sociétés de TP traitant vos données à caractère personnel et assujetties aux lois et règlements de protection des données et de la vie privée en vigueur dans les pays de l’EEE/RU doivent répondre lorsqu’elles agissent en tant que responsables du traitement des données. 

Cette procédure est assujettie à la Politique.  En cas de divergence, la Politique a la préséance.

1. Étapes du traitement de votre demande ou de votre plainte

Lorsqu’une société de TP reçoit votre demande ou votre plainte, celle-ci sera documentée et communiquée au Bureau de la confidentialité sans retard excessif et au plus tard sous 2 (deux) jours à compter de la réception.

Si votre demande ou votre plainte est envoyée directement au Bureau de la confidentialité, celle-ci sera enregistrée dans les mêmes délais à compter de la réception.