Après avoir entendu Mme Marie-Hélène MITJAVILE, commissaire, en son rapport, et Mme Catherine POZZO di BORGO, commissaire adjoint du Gouvernement, en ses observations,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes d'entreprise (règles contraignantes d'entreprises ou « binding corporate rules » (BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » et BCR « sous-traitant » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29.
A ce titre, les BCR « responsable de traitement » et les BCR « sous-traitant » du groupe Atos sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe Atos.
Par conséquent, les organismes mentionnés à l'article 1 ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-001 et adresseront à cette fin à la Commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) la formalité relative au traitement auquel ce transfert se rattache a, lorsque cela est requis, été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excèderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.

Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe Atos, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe Atos et ayant mis en œuvre les engagements pris au titre des BCR « responsable de traitement ».
Peuvent également adresser un engagement de conformité à la présente autorisation unique les responsables de traitement ayant recours à des entités du groupe Atos, agissant en qualité de sous-traitant, étant juridiquement liées par les BCR « sous-traitant » du groupe Atos et ayant mis en œuvre les engagements pris au titre des BCR « sous-traitant ». De plus, les BCR « sous-traitant » du groupe Atos doivent être rendues contraignantes à l'égard des responsables de traitement par le biais des contrats de prestation conclus avec les sous-traitants concernés.

Sur les finalités des transferts.

2.1. - Sur les finalités des transferts opérés sur la base des BCR « responsable de traitement » du groupe Atos

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Atos et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalité la réalisation ou le support dans la réalisation de l'ensemble des traitements nécessaires à la conduite de l'activité des sociétés du Groupe Atos, y compris, notamment :
Finalités relatives aux transferts des données personnelles des salariés et assimilés :

- la gestion opérationnelle de la société (comptabilité, gestion des locaux y compris badges et accès aux locaux et à la cantine, gestion des outils de géolocalisation sur le site, gestion de la sécurité des sites du groupe y compris les outils de vidéosurveillance, etc.) ;
- la gestion des salariés (l'ensemble des finalités visées aux normes simplifiées n° 42, n° 46, n° 47, ainsi que et y compris la gestion du recrutement, de la paie, avantages sociaux, carrière, des contrats, fourniture d'outils informatiques y compris la surveillance individuelle de l'utilisation de ces outils, la formation, la gestion des alertes éthiques et enquêtes y étant liées, la gestion des badges et accès, la gestion de la téléphonie, la gestion des notes de frais, la mise en œuvre d'outils de suivi des dossiers, etc.).

Finalités relatives aux transferts des données personnelles des clients et prospects :
La gestion administrative et opérationnelle, communications marketing, facturation, enquêtes de satisfaction, gestion des événements clients.
Finalités relatives aux transferts des données personnelles des clients finaux des prospects :
La gestion administrative et opérationnelle.
Finalités relatives aux transferts des données personnelles des fournisseurs et partenaires :
La gestion administrative et opérationnelle, comptabilité.
Finalités relatives aux transferts des données personnelles des visiteurs :
La gestion opérationnelle (gestion de la sécurité des sites du groupe y compris les outils de contrôle des accès, de vidéosurveillance, etc.).
Finalités communes à toutes les catégories de personnes concernées :

- la gestion opérationnelle de la société et de ses locaux (gestion des locaux, gestion de la sécurité des sites du groupe y compris les outils de contrôle des accès, de vidéosurveillance, etc.) ;
- la gestion des contentieux nationaux et internationaux de la société ;
- la gestion et l'administration des réseaux et systèmes, y compris toutes les mesures de sécurité mises en œuvre à ce titre ;
- l'administration des bases de données ;
- le stockage et l'hébergement des données ;
- la maintenance corrective et évolutive des outils, systèmes et applicatifs mis en œuvre dans la conduite des activités du Groupe ;
- la réalisation de copies de sauvegarde des informations ;
- la mise en œuvre de mesures préventives et correctives de sécurité pour prévenir tous accès non autorisés ou frauduleux.

2.2. - Sur les finalités des transferts opérés sur la base des BCR « sous-traitant » du groupe Atos

Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Atos et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalité la réalisation ou le support dans la réalisation de l'ensemble des traitements nécessaires à la fourniture de prestations de services informatiques par les sociétés du Groupe Atos, y compris, notamment :

- la gestion et l'administration des réseaux et systèmes, y compris toutes les mesures de sécurité mises en œuvre à ce titre ;
- la fourniture de prestations d'infogérance ;
- la fourniture de prestations d'analyse de données ;
- la fourniture de prestations d'informatique dans les nuages (« cloud computing ») sous toutes formes (y compris, notamment SaaS, PaaS, IaaS) :
- la fourniture de solutions et services de paiement :
- la fourniture de prestations de sécurité informatique ;
- la fourniture d'infrastructures informatiques :
- l'administration des bases de données ;
- le stockage et l'hébergement des données ;
- la maintenance corrective et évolutive des outils, systèmes et applicatifs mis en œuvre dans la conduite des activités ;
- la réalisation de copies de sauvegarde des informations ;
- la mise en œuvre de mesures préventives et correctives de sécurité pour prévenir tous accès non autorisés ou frauduleux.

Sur les catégories de données personnelles transférées.

3.1. - Sur les catégories de données personnelles transférées sur la base des BCR « responsable de traitement » du groupe Atos

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Atos et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données de salariés et assimilés :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté (lorsque ces données sont collectées par des sociétés du groupe Atos devant ou pouvant, localement, les collecter en conformité avec la législation applicable) ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale, (lorsque ces données sont collectées par des sociétés du groupe Atos devant ou pouvant, localement, les collecter en conformité avec la législation applicable) ;
- données biométriques ;
- décès des personnes.

Pour les données de clients et prospects :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier ;
- données de connexion.

Pour les données de clients finaux de clients :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier ;
- données de connexion.

Pour les données de fournisseurs et partenaires :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier ;
- données de connexion.

Pour les données de visiteurs :

- état civil/identité/données d'identification ;
- vie professionnelle.

étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, ne peut être réalisé que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés, et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

3.2. - Sur les catégories de données personnelles transférées sur la base des BCR « sous-traitant » du groupe Atos

Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Atos et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté (lorsque ces données sont collectées par des responsables de traitement devant ou pouvant, localement, les collecter en conformité avec la législation applicable) ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale, (lorsque ces données sont collectées par des responsables de traitement devant ou pouvant, localement, les collecter en conformité avec la législation applicable) ;
- données biométriques ;
- décès des personnes :
- identité/données d'identification des investigateurs ;
- données de l'assurance maladie.

étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, ne peut être réalisé que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés, et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Sur les catégories de personnes concernées par les transferts.

4.1. - Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « responsable de traitement » du groupe Atos

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Atos et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés et assimilés (ex : anciens employés, prestataires externes, candidats, stagiaires, etc.) ;
- clients (actuels ou potentiels) ;
- clients finaux de clients ;
- fournisseurs ;
- visiteurs.

4.2. - Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « sous-traitant » du groupe Atos

Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Atos et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés ;
- usagers ;
- adhérents ;
- patients ;
- étudiants/élèves ;
- clients (actuels ou potentiels) ;
- clients finaux de clients ;
- visiteurs ;
- fournisseurs et partenaires.

Sur les destinataires habilités à accéder aux données transférées.

5.1. - Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « responsable de traitement » du groupe Atos

Peuvent seules être habilités à accéder aux données les entités du groupe Atos juridiquement liées aux BCR « responsable de traitement » du groupe Atos et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe Atos et à leurs annexes.

5.2. - Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « sous-traitant » du groupe Atos

Peuvent seules être habilitées à accéder aux données les entités du groupe Atos juridiquement liées aux BCR « sous-traitant » du groupe Atos et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « sous-traitant » du groupe Atos et à leurs annexes.

Sur les informations relatives à chaque transfert.

6.1. - Sur les informations relatives à chaque transfert encadré par les BCR « responsable de traitement » du groupe Atos

Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe Atos, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert :
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex : maison-mère, filiale), et
- nature du traitement opéré par ce dernier.

6.2. - Sur les informations relatives à chaque transfert encadré par les BCR « sous-traitant » du groupe Atos

Les responsables de traitement doivent, avec l'aide des sous-traitants appartenant au groupe Atos, tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 2 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « sous-traitant » du groupe Atos, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « sous-traitant » ;
- pays d'établissement ;
- catégorie de destinataire (ex : prestataire, partenaire commercial), et
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.

Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que le responsable du traitement aura désignés.

Sur l'information des personnes.

Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données,…).
La présente délibération sera publiée au Journal officiel de la République française.