Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi du 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » [BCR] constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29. A ce titre, les BCR « responsable de traitement » du groupe GlaxoSmithKline (dont le siège social mondial est situé 980 Great West Road, Brentford Middlesex, TW8 9GS, United Kingdom) sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe GlaxoSmithKline.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-032 et adresseront à cette fin à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) Lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés ; et
(ii) Le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe GlaxoSmithKline, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe GlaxoSmithKline et ayant mis en œuvre les engagements pris au titre des BCR.

Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe GlaxoSmithKline et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :
Finalités relatives aux transferts des données personnelles des salariés et personnels assimilés (anciens, présents et potentiels), de leurs époux et personnes à charge :

- la gestion des ressources humaines et du personnel qui inclut la gestion des évaluations professionnelles, des promotions, des remplacements, des transferts et des détachements, des déplacements, du paiement et des révisions des salaires, des avantages et des autres gratifications (stocks options, actions, bonus, awards…), des complémentaires santé et de la prévoyance, des retraites et des plans d'épargne, de la fourniture de relevés retraçant la totalité des rémunérations, des formations, des congés, de la santé, de l'aide aux employés et des programmes de sécurité, de l'exécution des avantages contractuels et autres prêts, de la réalisation d'analyses sur les effectifs et les planifications, des vérifications des antécédents, des recrutements internes, de l'encadrement des relations avec les employés et des questions disciplinaires, des demandes émises auprès des services des ressources humaines et de l'utilisation des systèmes mis à disposition des salariés (permanence téléphonique et système CoMIT), des licenciements et des autres fins de contrats de travail, des services de reclassement ;
- la gestion des communications et des situations d'urgence qui inclut la facilitation de la communication avec les employés, la fourniture de référentiels de conduite, la continuité des activités et notamment la mise en place de plans anti-pandémies et de vaccination contre la grippe ou la distribution d'antiviraux, la protection de la santé et de la sécurité des employés et des tiers, la protection des biens tels que les équipements informatiques et du matériel de bureau, ainsi que la facilitation de la communication en cas d'urgence ;
- la gestion des opérations commerciales qui inclut l'exploitation et la gestion de l'informatique et des systèmes de communication, le développement de produits et de services, l'amélioration des produits et des services, la gestion des actifs du groupe, l'allocation des actifs et des ressources humaines, la planification stratégique, la gestion de projets, la continuité des activités, la réalisation de rapports d'audits et d'outils de reporting, la tenue de registres relatifs aux opérations de fabrication et plus largement à l'ensemble des opérations du groupe, la budgétisation, la gestion financière et la réalisation de compte rendu, la communication, la gestion des fusions, des acquisitions et des restructurations ou des cessions, incluant la fourniture d'informations aux futurs acheteurs du groupe ;
- la gestion de la conformité et de la compliance qui inclut le respect des exigences légales et réglementaires (par exemple le paiement des impôts et des charges sociales), la tenue de registres et l'établissement de rapports, la réalisation d'audits, la réponse aux demandes des autorités publiques, la réponse aux procédures judiciaires telles que les assignations en justice, l'exercice des droits et des recours, la défense lors de litiges et la gestion de toute plainte ou revendication, ainsi que le respect de la politique interne et des procédures du groupe ;
- l'utilisation des ressources de l'entreprise par les employés et la réalisation d'enquêtes qui inclut le contrôle des activités du personnel, dans le respect des lois françaises applicables, en particulier s'agissant de l'utilisation du téléphone, des messageries électroniques, d'internet, de l'accès aux sites et aux autres ressources du groupe et la réalisation d'enquêtes d'entreprise.

Finalités relatives aux transferts des données personnelles des chercheurs extérieurs et des sujets de recherche :

- la planification des recherches qui consiste à engager, gérer, entreprendre ou financer la recherche et le développement, et y compris à évaluer si les chercheurs extérieurs sont qualifiés et/ou éligibles pour participer et superviser et traiter avec les chercheurs externes ;
- les activités de recherche qui consiste à évaluer la qualité, la sécurité ou l'efficacité des produits et des traitements soumis à la recherche et au développement, ou commercialisés par la groupe, ainsi que les avancées des recherches non liées aux produits (par exemple l'évaluation de processus pathologiques ou l'identification de cibles thérapeutiques potentielles) ;
- la gestion des exigences réglementaires consistant à respecter les exigences juridiques, réglementaires ou éthiques applicables au groupe en vertu de son implication dans la recherche et le développement, et y compris à présenter les demandes nécessaires et à traiter avec les autorités chargées de réglementer la médecine ou la protection des données ou avec les autres autorités gouvernementales.

Sur les catégories de données personnelles transférées.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe GlaxoSmithKline et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données relatives aux salariés et aux personnels assimilés (anciens, présents et potentiels) ainsi qu'à leurs époux et personnes à charge :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier ;
- appartenance syndicale (affiliation pour les représentants syndicaux) ;
- décès des personnes.

Pour les données relatives aux chercheurs extérieurs :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- informations d'ordre économique et financier.

Pour les données relatives aux sujets de recherche :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- informations d'ordre économique et financier ;
- vie sexuelle (dans les seuls cas où cela est justifié par la finalité de la recherche), données de santé (thérapie suivie dans le cadre de la recherche et concomitante, résultats d'examens, événements indésirables, antécédents personnels ou familiaux, maladies ou événements associés), origine raciale ou ethnique (dans les seuls cas où cela est justifié par la finalité de la recherche) ;
- données génétiques (dans les seuls cas où cela est nécessaire au regard de la finalité de la recherche),

étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) Le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés ; et
(ii) Ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Sur les catégories de personnes concernées par les transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe GlaxoSmithKline et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- salariés et personnels assimilés (anciens, présents et potentiels) ainsi que leurs époux et personnes à charge ;
- chercheurs extérieurs ;
- sujets de recherche.

Sur les destinataires habilités à accéder aux données transférées.
Peuvent seules être habilitées à accéder aux données les entités du groupe GlaxoSmithKline juridiquement liées aux BCR « responsable de traitement » du groupe GlaxoSmithKline et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe GlaxoSmithKline et à leurs annexes.

Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe GlaxoSmithKline, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : maison mère, filiale), et ;
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données…).
La présente délibération sera publiée au Journal officiel de la République française.