Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi du 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » [BCR] constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29. A ce titre, les BCR « responsable de traitement » du groupe AMGEN (dont le siège social mondial est situé One AMGEN Center Drive, Thousand Oaks, CA 91320-1799, USA) sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe AMGEN.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-029 et adresseront à cette fin à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
i) Lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés ; et
ii) Le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe AMGEN, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe AMGEN et ayant mis en œuvre les engagements pris au titre des BCR.

Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe AMGEN et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :

- la gestion opérationnelle des sociétés du groupe (y compris la gestion de la comptabilité, la gestion des horaires, des locaux incluant les badges et l'accès aux locaux et à la cantine, la gestion de la sécurité du site incluant la vidéosurveillance) ;
- l'administration des futurs, actuels et anciens collaborateurs (y compris l'ensemble des finalités de la norme simplifiée n° 46 ainsi que la gestion du recrutement, de la formation, de la paie, des avantages sociaux, des activités caritatives ou de bien-être, de la carrière, de la mobilité, des communications et de la téléphonie fixe et mobile, des outils bureautiques et informatiques y compris de surveillance, des alertes éthiques, des notes de frais, des demandes d'aménagement du temps du travail, de la flotte automobile pouvant inclure le recouvrement des contraventions routières) ;
- l'administration des réseaux et des systèmes, y compris toutes les mesures de sécurité mises en œuvre incluant les mesures préventives et correctives pour prévenir tout accès non autorisé ou frauduleux ainsi que la maintenance corrective et évolutive des outils, le stockage, l'hébergement de données et la réalisation de copies de sauvegarde des informations ;
- la gestion de sites internet, incluant le recours à des « cookies » ou à des technologies similaires ;
- la gestion des données financières et transactionnelles, des activités commerciales et contractuelles ;
- la gestion administrative des appels d'offres et des marchés publics ;
- la gestion des activités scientifiques telles que la participation à des recherches biomédicales, aux essais cliniques et aux études observationnelles, les activités de recherche de développement y compris les études observationnelles, les demandes d'autorisations temporaires d'utilisation (ATU) et des recommandations temporaires d'utilisation (RTU) nominatives et de cohorte, d'usage compassionnel relatifs aux médicaments élaborés par le groupe ;
- la gestion des activités commerciales (vente et marketing) telles que la participation à des congrès, des réunions professionnelles, la promotion de produits et de services lors notamment de visite médicale ;
- la gestion de la pharmacovigilance ;
- la gestion et le suivi des demandes d'information médicale ainsi que des réclamations relatives à la qualité des produits ;
- la gestion et le suivi des plaintes ;
- la gestion des contentieux nationaux et internationaux ;
- la gestion de la conformité incluant les audits internes ou externes et les audits dits de « due/diligence », la ligne éthique et les enquêtes internes.

Sur les catégories de données personnelles transférées.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe AMGEN et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données des salariés et assimilés (stagiaires, personnels intérimaires…), y compris les candidats à un emploi, les anciens salariés, et leurs proches ou ayants droit, ainsi que les consultants :

- état civil/identité/données d'identification (y compris photographie ou vidéo) ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- données de localisation ;
- numéro de sécurité sociale dans le seul cadre de la gestion de la paie,
- copie d'un extrait de casier judiciaire (bulletin n° 3) pour les seuls emplois nécessitant une telle collecte en application d'une disposition législative permettant de déroger à l'article 9 de la loi du 6 janvier 1978 modifiée ;
- informations d'ordre économique et financier ;
- opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale, seulement lorsque ces données peuvent être collectées par le groupe AMGEN en conformité avec la législation applicable ;
- décès des personnes.

Pour les données des clients, des prospects et des parties prenantes y compris des professionnels de santé :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- numéro de sécurité sociale dans le cadre de la paie des professionnels de santé ayant un statut assimilé à celui d'un salarié ;
- informations d'ordre économique et financier.

Pour les données des patients :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- informations d'ordre économique et financier ;
- données de santé, y compris consommation de tabac, d'alcool, de drogues, habitudes de vie et comportements, mode de vie, origine raciale, vie sexuelle, données génétiques, seulement lorsque ces données peuvent être collectées par le groupe AMGEN en conformité avec la législation applicable ;
- décès des personnes.

Pour les données des personnes participant ou contribuant à la pharmacovigilance et à la sécurité des médicaments ainsi que les personnes sollicitant des demandes d'information médicale :

- état civil/identité/données d'identification ;
- vie professionnelle (seulement lorsque ces données peuvent être collectées par le groupe AMGEN en conformité avec la législation applicable) ;
- données de connexion ;
- informations d'ordre économique et financier (seulement lorsque ces données peuvent être collectées par le groupe AMGEN en conformité avec la législation applicable) ;
- données de santé, y compris consommation de tabac, d'alcool, de drogues, habitudes de vie et comportement, mode de vie, vie sexuelle, origine raciale (seulement lorsque ces données peuvent être collectées par le groupe AMGEN en conformité avec la législation applicable).

Pour les données des fournisseurs incluant les sous-traitants, et les prestataires :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- données de connexion ;
- informations d'ordre économique et financier.

Pour les données des visiteurs physiques ou virtuels :

- état civil/identité/données d'identification ;
- données de connexion,

étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
i) Le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés ; et
ii) Ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Sur les catégories de personnes concernées par les transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe AMGEN et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés et assimilés (stagiaires, personnel intérimaire…), y compris les candidats à un emploi, les anciens salariés, et leurs proches ou ayants droit ;
- consultants ;
- salariés des prestataires ;
- clients, prospects et parties prenantes y compris des professionnels de santé ;
- patients ;
- fournisseurs (incluant les sous-traitants et les prestataires) ;
- personnes participant ou contribuant à la pharmacovigilance et à la sécurité des médicaments ainsi que les personnes sollicitant des demandes d'information médicale ;
- visiteurs physiques dans les locaux, visiteurs virtuels (usagers de site internet).

Sur les destinataires habilités à accéder aux données transférées.
Peuvent seules être habilitées à accéder aux données les entités du groupe AMGEN juridiquement liées aux BCR « responsable de traitement » du groupe AMGEN et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe AMGEN et à leurs annexes.

Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe AMGEN, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : maison mère, filiale) ; et
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données…).
La présente délibération sera publiée au Journal officiel de la République française.