Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » [BCR] constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29. A ce titre, les BCR « responsable de traitement » du groupe Flextronics (dont le siège social mondial est situé 2 Changi South Lane, Singapour) sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe Flextronics.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-031 et adresseront à cette fin à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) Lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés ; et
(ii) Le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe Flextronics, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe Flextronics et ayant mis en œuvre les engagements pris au titre des BCR.

Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Flextronics et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :
Finalités relatives aux transferts des données personnelles des salariés :

- recrutement, notamment organisation et mise en place de stratégies de recrutement et de gestion du personnel au sein du groupe ;
- gestion du recrutement et des effectifs ;
- paie et gestion des avantages des salariés, notamment gestion des congés, des indemnités, des évaluations annuelles, de l'évaluation des performances et des services aux salariés ;
- gestion des carrières, du développement professionnel et des talents ;
- gestion des contributions aux organismes de retraite et des plans de retraite supplémentaire ;
- gestion des actions, notamment gestion du régime d'achat d'action des employés, dépôt et présentation ;
- procédures disciplinaires et plaintes ;
- gestion des programmes relatifs à l'égalité des chances aux Etats-Unis ;
- gestion des performances et des évaluations ;
- administration des dossiers du personnel et demandes de renseignements concernant notamment les congés, les absences, la paie, les avantages ;
- gestion des annuaires, mise en œuvre de moyens pour faciliter l'enregistrement des notifications écrites et/ou des communications avec les salariés et les travailleurs indépendants ;
- administration de la formation ;
- prévention ou investigation des fraudes, ou autres finalités de gestion du risque ;
- traitement opéré sur des données à caractère personnel à la suite d'une demande émanant de la personne concernée par ces dernières, le cas échéant sur la base d'un écrit (par exemple demande d'accès aux données par la personne concernée, négociations contractuelles…) ;
- sécurité, notamment informations utiles pour les réclamations d'indemnisation des travailleurs et en cas d'urgence lorsque la santé ou la sécurité d'une personne sont en danger ;
- voyages d'affaires ;
- respect des obligations contractuelles, légales et réglementaires et gestion des revendications légales et des différends ;
- autres questions concernant le titulaire des données en tant que membre du personnel, exigées ou permises par la loi ou les règlements ;
- contact avec la famille ;
- contrôle des autorisations et sécurité des données ;
- solutions de secours et continuité de l'activité ;
- protection de la propriété intellectuelle, des informations et des actifs confidentiels ;
- gestion prévisionnelle et planification des changements dans la structure du groupe.

Finalités relatives aux transferts des données personnelles des contacts professionnels (clients et fournisseurs) :

- gestion et développement des relations clients et des relations fournisseurs ;
- planification de l'activité professionnelle ;
- effectuer une transaction initiée par la personne concernée par les données ;
- effectuer une transaction initiée par un membre du groupe Flextronics telle que l'achat de fournitures ou d'équipement ;
- effectuer une transaction avec, ou pour, les clients de Flextronics ;
- tenir une comptabilité en relation avec toute activité commerciale ou autre de Flextronics ;
- décider d'accepter toute personne comme client ou fournisseur ;
- enregistrer les achats, les ventes ou autres transactions en vue de s'assurer que les paiements nécessaires et/ou les livraisons sont effectuées ou que les services sont fournis ;
- remplissage d'enquêtes de satisfaction auprès des clients ;
- recherche et développement ;
- développement de l'activité ;
- gestion des événements ;
- gestion de bases de données ;
- organisation de concours ;
- sécurité ;
- prévention ou investigation de la fraude et du vol, ou autres finalités de gestion du risque ;
- respect des obligations contractuelles, légales et réglementaires ;
- traitement opéré sur des données à caractère personnel à la suite d'une demande émanant de la personne concernée par ces dernières, le cas échéant sur la base d'un écrit (par exemple demande d'accès aux données par la personne concernée, négociations contractuelles…).

Finalités relatives aux autres transferts de données personnelles :

- prévention du crime et exercice des poursuites :
- prévention du crime et assistance des autorités et des agences compétentes pour la détection, l'appréhension et la poursuite des contrevenants ;
- en réponse à une demande licite d'une juridiction ou d'une agence gouvernementale ou autrement pour respecter la loi applicable ou les procédures obligatoires.

- gestion de l'actionnariat :
- décider d'accepter une personne en tant qu'actionnaire ;
- enregistrer et administrer les achats d'actions et autres transactions pertinentes ;
- prévention ou investigation de la fraude, ou autres finalité de gestion du risque ;
- pour les acheteurs potentiels et pour protéger les droits légaux ou les biens de Flextronics afin de faciliter l'acquisition ou la vente des activités de Flextronics ;
- en réponse à une demande légale d'une agence gouvernementale, d'une juridiction ou d'un organisme chargé de faire appliquer la loi et autrement pour respecter les lois applicables ou les procédures obligatoires.

Sur les catégories de données personnelles transférées.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Flextronics et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données relatives aux salariés :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté ;
- appartenance syndicale, données de santé.

Pour les données relatives aux contacts professionnels (clients et fournisseurs) :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier.

Pour les données relatives à toutes personnes susceptibles d'être concernées par les traitements du groupe Flextronics :

- prévention du crime et poursuites :
- état civil/identité/données d'identification ;
- vie personnelle ;
- vie professionnelle ;
- informations d'ordre économique et financier ;
- infractions, condamnations, mesures de sûreté ;

- gestion de l'actionnariat :
- état civil/identité/données d'identification ;
- informations d'ordre économique et financier,

étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) Le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés ; et
(ii) Ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Sur les catégories de personnes concernées par les transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe Flextronics et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés (et leur entourage) ;
- anciens salariés (et leur entourage) ;
- candidats à l'embauche (et leur entourage) ;
- travailleurs indépendants (et leur entourage) ;
- agents (et leur entourage) ;
- bénévoles (et leur entourage) ;
- employés occasionnels (et leur entourage) ;
- clients (actuels ou potentiels) ;
- contacts professionnels ;
- visiteurs ;
- fournisseurs ;
- conseillers, consultants et autres experts ;
- membres du public ;
- actionnaires et contacts des actionnaires.

Sur les destinataires habilités à accéder aux données transférées.
Peuvent seules être habilitées à accéder aux données les entités du groupe Flextronics juridiquement liées aux BCR « responsable de traitement » du groupe Flextronics et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe Flextronics et à leurs annexes.

Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe Flextronics, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : maison mère, filiale), et ;
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données…).
La présente délibération sera publiée au Journal officiel de la République française.