Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » (BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29. A ce titre, les BCR « responsable de traitement » du groupe AXA sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe AXA.
Par conséquent, les organismes mentionnés à l'article 1 ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-020 et adresseront à cette fin à la Commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excèderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe AXA, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe AXA et ayant mis en œuvre les engagements pris au titre des BCR.

Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe AXA et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités le soutien et la facilitation des activités commerciales d'AXA, notamment :

- la gestion de la vision (définition de la vision à long terme de la société, définition de la stratégie commerciale, gestion d'un projet stratégique, suivi de l'évolution) ;
- la gestion de la conception (définition de la stratégie en terme de produits, définition de la politique relative aux risques, étude, développement et lancement de produits, préservation du portefeuille de produits existants) ;
- la gestion de la distribution (définition de la stratégie de distribution, gestion et contrôle des réseaux de distribution, exécution des opérations marketing, gestion des relations avec les clients et prospects, personnalisation de l'offre, vente, valorisation des performances commerciales) ;
- la gestion de la production (souscription, administration d'une police, recouvrement des primes, suivi du portefeuille de polices) ;
- la gestion de service (gestion de catastrophe, traitement des sinistres, service client, gestion des auxiliaires, gestion et détection des fraudes, gestion des subrogations, recouvrement des fonds de réassurance, gestion de la récupération d'épaves, contrôle de la gestion des sinistres) ;
- la gestion financière (suivi des activités relatives aux instruments financiers, planification et contrôle des finances, gestion des investissements, gestion des finances de l'entreprise, saisie des opérations, gestion des immobilisations, analyse financière, gestion de trésorerie, gestion des opérations de trésorerie, exécution des obligations fiscales, respect des réglementations, gestion des réassurances) ;
- la gestion des technologies de l'information (gestion des relations avec les clients de l'informatique, fourniture et maintenance de solutions, gestion des services informatiques et assistance, gestion du système informatique, gestion de l'organisation informatique, gestion de la sécurité informatique) ;
- la gestion des ressources humaines (administration des ressources humaines, gestion du personnel telle que la gestion des carrières, de la mobilité, de la performance, de l'organisation du travail, de la formation, communication dans le domaine des ressources humaines, gestion des partenaires sociaux et comités d'entreprises) ;
- la gestion des achats (gestion des fournisseurs, passation, gestion et exécution des contrats, achat, réception de biens et services, gestion des factures fournisseurs, validation des règlements, rapport sur l'approvisionnement et analyse des performances) ;
- la gestion des risques (gestion des risques financiers, gestion des risques d'investissements, gestion du risque opérationnel, projection, calcul de la rentabilité ajustée au risque) ;
- la gestion des autres fonctions de soutien (communication externe, assistance juridique, gestion des améliorations et des changements, audit interne, fonctions centrales).

Sur les catégories de données personnelles transférées.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe AXA et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données des salariés et assimilés :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté ;
- opinions syndicales, données de santé ;
- données biométriques ;
- décès des personnes ;
- appréciation sur les difficultés sociales des personnes.

Pour les données des adhérents (clients)/clients potentiels/demandeurs (victimes ou bénéficiaires) :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale ;
- données biométriques ;
- données génétiques ;
- décès des personnes ;
- appréciation sur les difficultés sociales des personnes.

Pour les données des visiteurs :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données biométriques.

Pour les données des agents d'assurance :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté ;
- opinions syndicales ;
- données biométriques ;
- décès des personnes ;
- appréciation sur les difficultés sociales des personnes.

Pour les données des fournisseurs, des partenaires et autres tiers :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté ;
- données biométriques ;
- décès des personnes.

S'agissant des données traitées en France par des responsables de traitement devant ou pouvant localement les collecter en conformité avec la législation applicable et transférées hors de France :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale ;
- données biométriques ;
- données génétiques ;
- décès des personnes ;
- appréciation sur les difficultés sociales des personnes ;
- données de l'assurance maladie,

étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés, et
(ii) ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Sur les catégories de personnes concernées par les transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe AXA et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés et assimilés (candidats à un poste, étudiants stagiaires, apprentis ou avec un statut similaire) ;
- adhérents (clients)/clients potentiels/demandeurs (victimes ou bénéficiaires) ;
- visiteurs ;
- agents d'assurance ;
- fournisseurs ;
- partenaires ;
- autres tiers (tels que ayant-droits, souscripteurs, tiers victimes, témoins, héritiers, tuteurs, médecin-conseil).

Sur les destinataires habilités à accéder aux données transférées.
Peuvent seules être habilitées à accéder aux données les entités du groupe AXA juridiquement liées aux BCR « responsable de traitement » du groupe AXA et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe AXA et à leurs annexes.

Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe AXA, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex : maison mère, filiale) ; et
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données, …).

La présente délibération sera publiée au Journal officiel de la République française.