Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » (BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » et BCR « sous-traitant » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29.
A ce titre, les BCR « responsable de traitement » et les BCR « sous-traitant » du groupe Sopra HR Software sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe Sopra HR Software.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-015 et adresseront à cette fin à la Commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excèderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe Sopra HR Software, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe Sopra HR Software et ayant mis en œuvre les engagements pris au titre des BCR « responsable de traitement ».
Peuvent également adresser un engagement de conformité à la présente autorisation unique les responsables de traitement ayant recours à des entités du groupe Sopra HR Software, agissant en qualité de sous-traitant, étant juridiquement liées par les BCR « sous-traitant » du groupe Sopra HR Software et ayant mis en œuvre les engagements pris au titre des BCR « sous-traitant ». De plus, les BCR « sous-traitant » du groupe Sopra HR Software doivent être rendues contraignantes à l'égard des responsables de traitement par le biais des contrats de prestation conclus avec les sous-traitants concernés.

Sur les finalités des transferts.
2.1. Sur les finalités des transferts opérés sur la base des BCR « responsable de traitement » du groupe Sopra HR Software.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Sopra HR Software et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :
Finalités relatives aux transferts des données personnelles des clients, prospects, partenaires et fournisseurs :
La gestion de la relation clients, prospects, partenaires et fournisseurs, incluant : la fourniture et la facturation des produits et services achetés ; le traitement des paiements électroniques ; le traitement des échanges électroniques de documents (ex : les appels d'offres publics dématérialisés) ; la fourniture aux clients d'un service plus personnalisé ; la fourniture d'un accès aux services Sopra HR Software (ex : système de support technique) et aux applications et environnements du client ; la conduite d'études de marché, d'enquêtes de satisfaction et de contrôle qualité ; la prospection commerciale et la promotion des ventes ; la réponse à toute demande du client (information, réclamation, etc.) ; l'organisation d'événements spéciaux pour les clients ; la gestion et le paiement des fournisseurs ; l'administration globale de la tenue des dossiers.
Finalités relatives aux transferts des données personnelles des salariés et assimilés :
La gestion des ressources humaines, incluant : la gestion de la paie ; la gestion administrative ; la gestion des carrières et de la mobilité ; l'organisation du travail ; la formation des salariés ; la gestion des outils informatiques et de communication mis à la disposition des salariés ; le contrôle d'accès aux locaux et la vidéosurveillance ; la gestion des données des salariés pour les déplacements ; la gestion des organigrammes et des annuaires des salariés ; la gestion des assurances santé et de retraite.
2.2. Sur les finalités des transferts opérés sur la base des BCR « sous-traitant » du groupe Sopra HR Software.
Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Sopra HR Software et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :

- le support, la maintenance et la surveillance du SIRH (monitoring), incluant les opérations suivantes : demande de changements et analyse ; validation des demandes ; documentation des exigences opérationnelles et participation aux tests ; correction/amélioration des cas de test utilisateur et changements de procédures ; recherche de problèmes système et opérationnels et détermination des causes principales, correction ou solution de contournement ; investigation pour résolution des problèmes identifiés ; assistance aux tests, à la validation et au chargement de données ; échanges avec Sopra HR Software par courriel ou téléphone ;
- l'externalisation de la gestion de la paie, incluant les opérations suivantes : exploitation de la paie (production de bulletins et état après paie associés) ; dépôt direct (intervention sur les données salariés, modification, suppressions, conformément aux demandes du client) ; modifications fiscales (maintien et mise à jour des tables et informations fiscales des salariés) ; mise à jour de statut (mise à jour des statuts en liaison avec Sopra HR Software) ; recherche et résolution (recherche des différentes divergences de paie résultant d'erreurs, collaboration avec Sopra HR Software pour les résoudre) ;
- l'externalisation de l'exploitation du traitement de la paie, incluant les opérations suivantes : mise à jour de la saisie manuelle ou traitement de données personnelles ; contrôle de l'ensemble des interfaces entrantes programmées avant le traitement de la paie et validation qu'elles sont exactes et complètes ; revue des différents rapports dans le cadre de la validation postérieure de la paie ; mise à jour des dossiers des salariés tenant compte des jours fériés ; support à la procédure d'embauche pour les nouveaux salariés ; ajout, modification ou suppression des informations relatives à la paie.

Sur les catégories de données personnelles transférées.
3.1. Sur les catégories de données personnelles transférées sur la base des BCR « responsable de traitement » du groupe Sopra HR Software.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Sopra HR Software et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données relatives aux clients, prospects, partenaires et fournisseurs :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- informations d'ordre économique et financier.

Pour les données relatives aux salariés et assimilés :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier.

3.2. Sur les catégories de données personnelles transférées sur la base des BCR « sous-traitant » du groupe Sopra HR Software.
Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Sopra HR Software et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie ;
- informations d'ordre économique et financier.

Sur les catégories de personnes concernées par les transferts.
4.1. Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « responsable de traitement » du groupe Sopra HR Software.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Sopra HR Software et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés et assimilés (anciens salariés, candidats, stagiaires et intérimaires) ;
- clients (actuels ou potentiels) ;
- partenaires ;
- fournisseurs.

4.2. Sur les catégories de personnes concernées par les transferts opérés sur la base des BCR « sous-traitant » du groupe Sopra HR Software.
Conformément au champ matériel et à la description des transferts couverts par les BCR « sous-traitant » du groupe Sopra HR Software et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés des clients ;
- anciens salariés des clients ;
- candidats auprès des clients.

Sur les destinataires habilités à accéder aux données transférées.
5.1. Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « responsable de traitement » du groupe Sopra HR Software.
Peuvent seules être habilitées à accéder aux données les entités du groupe Sopra HR Software juridiquement liées aux BCR « responsable de traitement » du groupe Sopra HR Software et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe Sopra HR Software et à leurs annexes.
5.2. Sur les destinataires habilités à recevoir communication des données transférées sur la base des BCR « sous-traitant » du groupe Sopra HR Software.
Peuvent seules être habilitées à accéder aux données les entités du groupe Sopra HR Software juridiquement liées aux BCR « sous-traitant » du groupe Sopra HR Software et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « sous-traitant » du groupe Sopra HR Software et à leurs annexes.

Sur les informations relatives à chaque transfert.
6.1. Sur les informations relatives à chaque transfert encadré par les BCR « responsable de traitement » du groupe Sopra HR Software.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe Sopra HR Software, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : maison-mère, filiale) ; et
- nature du traitement opéré par ce dernier.

6.2. Sur les informations relatives à chaque transfert encadré par les BCR « sous-traitant » du groupe Sopra HR Software.
Les responsables de traitement doivent, avec l'aide des sous-traitants appartenant au groupe Sopra HR Software, tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 2 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « sous-traitant » du groupe Sopra HR Software, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert;
- les informations relatives à chaque destinataire des données :
- raison sociale,
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « sous-traitant » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : prestataire, partenaire commercial) ; et
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que le responsable du traitement aura désignés.

Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données, …).
La présente délibération sera publiée au Journal officiel de la République française.