La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 101 et 103 ;
Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi du 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » [BCR] constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29. A ce titre, les BCR « responsable de traitement » du groupe HP Inc. (dont le siège social mondial est situé au 1501 Page Mill Road, Palo Alto, California, CA 94304-1112, USA) sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe HP Inc.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-034 et adresseront à cette fin à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) Lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés ; et
(ii) Le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe HP Inc., agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe HP Inc. et ayant mis en œuvre les engagements pris au titre des BCR.

Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe HP Inc. et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :
Finalités relatives aux transferts des données personnelles des salariés, personnels divers (intérimaires, agents, stagiaires, consultants externes) et candidats :

- la gestion des ressources humaines et l'administration du personnel qui implique tous les traitements nécessaires à la gestion et au maintien des effectifs de chaque société du Groupe et qui inclut notamment :
- le paiement des salaires et des frais professionnels ;
- l'administration des avantages sociaux (par exemple : gestion des avantages en matière de santé, acquisitions d'actions, plans de souscriptions de stock-options, attributions des stock-options, gestion des plans d'investissement, gestion des plans d'assurances et d'autres avantages financiers) ;
- la gestion de l'évaluation de la performance ;
- la gestion de la formation ;
- la gestion de la carrière et du développement professionnel (par exemple : tenue d'une liste de formations requises ou suggérées et des formations effectuées ; tenue d'une base de données listant les compétences et les aspirations professionnelles des employés) ;
- la gestion de la fin de carrière (fin de contrat, licenciement, retraite) ;
- l'assistance au déménagement ;
- la gestion des sondages réalisés auprès des employés ;
- les procédures disciplinaires ;
- la conformité aux obligations légales ;
- le recrutement ;
- les relations avec les employés et/ou les instances représentatives du personnel ;
- la tenue d'annuaires internes ;
- l'obtention d'autorisations gouvernementales ;
- la conformité et la gestion des incidents (par exemple : reporting d'incidents, investigations internes, gestion du dispositif d'alerte professionnelle ou whistleblowing hotline) ;
- la gestion des affaires qui implique tous les traitements nécessaires à la conduite des opérations commerciales et des contrats clients pour chaque entité du Groupe ainsi que pour le groupe lui-même et qui inclut notamment :
- la planification du travail ;
- la planification des missions ;
- la création et la tenue des bases de données salariés et des rapports ;
- l'achat de biens et de services pour l'entreprise (par exemple : commande interne et externe de biens et services, réservation et planification en ligne de déplacements, gestion des parcs automobiles, gestion des abonnements aux services de télécommunications, gestion de la délivrance et de l'utilisation des cartes de paiement de l'entreprise) ;
- la gestion des projets et du temps de travail (par exemple : gestion des ressources, allocation des ressources et enregistrement du temps passé sur les tâches et les projets, gestion du temps de travail des employés, planification et enregistrement des heures supplémentaires, vacances, absences, etc.) ;
- la gestion de l'utilisation des biens de l'entreprise ;
- la sécurité au travail qui implique tous les traitements nécessaires pour assurer la sécurité et la protection des employés et des ressources de chaque entité du Groupe et qui inclut notamment :
- la mise en œuvre de mesures de santé et de sécurité au travail ;
- la vidéosurveillance ;
- le contrôle de l'accès aux locaux ;
- la gestion des badges des employés ;
- la gestion des comptes pour l'utilisation des équipements internes (cafétéria, etc.) ;
- l'usage d'autres technologies de surveillance destinées à assurer la bonne utilisation des biens et des locaux de chaque entité du groupe ;
- l'usage de technologies de surveillance destinées à assurer la bonne utilisation des moyens de communication (par exemple : suivi et reporting des appels téléphoniques passés).

Finalités relatives aux clients, partenaires et fournisseurs :

- la gestion des affaires qui implique tous les traitements nécessaires à la conduite des opérations commerciales et des contrats clients pour chaque entité du Groupe ainsi que pour le groupe lui-même et qui inclut notamment :
- la mise en œuvre des opérations commerciales et l'exécution des contrats clients ;
- la création et la gestion des bases de données clients, partenaires et fournisseurs ;
- l'administration des contrats et des garanties ;
- la gestion de la relation client, des ventes et du marketing ;
- la gestion de la publicité, du marketing et des relations publiques (par exemple : études client, campagnes de marketing en ligne, actions ciblées de marketing direct, etc.) ;
- la gestion de la relation partenaire ;
- la gestion des commandes ;
- la gestion du service d'assistance client et des services en ligne ;
- l'administration des ventes et des services financiers (par exemple : traitement des paiements en ligne, location des équipements, gestion des crédits et recouvrements, gestion des litiges de facturation) ;
- la gestion des cours en ligne ;
- la gestion de la relation fournisseur.

Sur les catégories de données personnelles transférées.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe HP Inc. et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les données relatives aux salariés, personnels divers (intérimaires, agents, stagiaires, consultants externes) et candidats :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- numéro de sécurité sociale (uniquement dans le cadre de la gestion de la paie) ;
- informations d'ordre économique et financier.

Pour les données relatives aux clients, partenaires et fournisseurs :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- données de connexion ;
- informations d'ordre économique et financier,

étant précisé que le transfert de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée et le transfert de données relatives aux infractions, condamnations et mesures de sûreté ne peuvent être réalisés que dans la mesure où :
(i) Le traitement auquel ce transfert se rattache a préalablement fait l'objet, lorsque cela est requis, d'une autorisation par la Commission nationale de l'informatique et des libertés ; et
(ii) Ce transfert est réalisé dans le strict respect du cadre défini par ladite autorisation.

Sur les catégories de personnes concernées par les transferts.

Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe HP Inc. et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :
- salariés, personnels divers (intérimaires, agents, stagiaires, consultants externes) et candidats ;
- clients, partenaires et fournisseurs.

Sur les destinataires habilités à accéder aux données transférées.
Peuvent seules être habilitées à accéder aux données les entités du groupe HP Inc. juridiquement liées aux BCR « responsable de traitement » du groupe HP Inc. et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe HP Inc. et à leurs annexes.

Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe HP Inc., précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex. : maison mère, filiale) ; et
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données…).
La présente délibération sera publiée au Journal officiel de la République française.