Introduction
Le groupe Total (ou « Total ») promeut une culture et des pratiques visant à protéger les données personnelles[1], conformément à la réglementation applicable. A cette fin, Total a mis en place des Binding Corporate Rules (« BCR »).
Ce document résume les principes de protection des données personnelles qui s’appliquent en vertu de nos BCR, et les droits qu’elles confèrent.
1. Objectif
Nos BCR sont un ensemble de règles internes contraignantes qui s’applique à toutes les sociétés du Groupe qui les ont adoptées. Elles ont été approuvées par les autorités européennes de protection des données.
Elles permettent aux sociétés du Groupe de transférer des données personnelles originaires de l’Espace économique européen (« EEE »)[2] vers des sociétés du Groupe situées en dehors de l’EEE, conformément à la réglementation applicable.
2. Champ d’application
Nos BCR s’appliquent à toutes les données personnelles originaires de l’EEE qui sont traitées par les sociétés du Groupe, notamment les données relatives aux collaborateurs, aux candidats à l’embauche, aux clients, aux prospects, aux fournisseurs, aux sous-traitants et au personnel des sociétés tierces agissant pour le compte des sociétés du Groupe ainsi qu’aux actionnaires (ci-après les « personnes concernées »).
3. Principes de protection
Les principes énoncés dans nos BCR doivent être respectés.
Tous les traitements[3] mis en place reposent sur une base juridique, prévue par le droit applicable.
Les données personnelles ne peuvent être traitées que pour des finalités légitimes, déterminées et légales. Les données ne doivent pas ensuite être traitées d’une manière incompatible avec ces finalités.
Les données personnelles doivent être exactes et proportionnées, en qualité et quantité, au regard de la finalité du traitement.
Les données personnelles doivent être obtenues loyalement et licitement. Les personnes concernées doivent être informées des caractéristiques du traitement et de leurs droits, sauf si cela s’avère impossible ou suppose des efforts disproportionnés.
Les données personnelles doivent faire l’objet de mesures de sécurité adaptées pour limiter les risques d’accès non autorisé, de destruction, d’altération ou de perte.
Pour se faire, un ensemble de normes internes permettant d’assurer de la sécurité et la confidentialité des données personnelles s’applique :
Lorsqu’elle fait appel à un tiers pour traiter des données personnelles, la société du Groupe s’assure que celui-ci offre des garanties suffisantes en termes de sécurité et de confidentialité des données.
Les données personnelles ne peuvent être conservées que pour une durée raisonnable et non excessive eu égard à la finalité du traitement.
A l’expiration de la durée de conservation, les données sont détruites, anonymisées ou archivées.
Total ne transfère pas de données personnelles originaires d’un pays de l’EEE directement vers une société du Groupe située dans un pays n’offrant pas un niveau de protection adéquat, sauf lorsque celle-ci a adopté formellement les BCR ou utilise un des autres instruments juridiques reconnus par la Commission Européenne.
Total ne transfère pas de données personnelles originaires de l’EEE directement vers une société hors du Groupe (responsable de traitement ou sous-traitant), située dans un pays n’offrant pas un niveau de protection adéquat, sans une base juridique prévue par le droit applicable et sans un dispositif instaurant des garanties suffisantes comme les clauses contractuelles types.
De même, lorsqu’un importateur de données transfère ultérieurement des données personnelles originaires de l’EEE vers une société non membre du Groupe (responsable de traitement ou sous-traitant), située dans un pays n’offrant pas un niveau de protection des données adéquat, il doit signer avec cette société tierce un contrat par lequel celle-ci s’engage à respecter les principes des BCR.
4. Droits des personnes concernées
Nos BCR confèrent notamment aux personnes concernées dont les données personnelles sont traitées les droits suivants :
[Une liste détaillée des droits est jointe dans l’ANNEXE 1 ci-après].
Toute personne peut exercer ses droits en envoyant une demande au contact indiqué dans les mentions d’information relatives au traitement de ses données personnelles. Total s’engage à répondre dans le délai légal .
En outre, si une personne estime qu’une société du Groupe n’a pas respecté les BCR, elle peut introduire une plainte auprès du Groupe en envoyant :
La personne est informée du statut de sa plainte et, le cas échéant, des mesures envisagées par Total pour y répondre.
La procédure interne de gestion des plaintes est décrite en ANNEXE 2 ci-après.
Le fait de déposer une plainte auprès de Total n’affecte en rien le droit de porter plainte auprès des autorités compétentes de protection de données personnelles de l’EEE ou d’engager une action devant les tribunaux du pays de l’EEE où la société du Groupe responsable du transfert des données personnelles est établie.
5. Gouvernance
Un réseau interne « Protection des données personnelles » est chargé du suivi et du contrôle de la mise en œuvre des BCR au sein du Groupe.
Il est constitué de :
6. Contrôle interne et audit
Afin de veiller à la bonne application de nos BCR, des dispositifs de contrôles internes et d’audits sont mis en œuvre.
Un plan de contrôle interne annuel est défini par le réseau Protection des données personnelles pour évaluer la conformité des traitements du Groupe au regard de nos BCR . Un reporting est également organisé pour rendre régulièrement compte plans d’actions consécutifs aux évaluations.
Par ailleurs, la Direction de l’Audit Interne Groupe intègre également le contrôle du dispositif de protection des données personnelles dans son plan d’audit périodique.
7. Mise à jour des BCR de Total
En cas de besoin, nos BCR pourraient être complétées ou mises à jour.
8. Pour plus d’informations
Une copie de la version complète de nos BCR ainsi qu’une liste des sociétés du Groupe les ayant adoptées peuvent être obtenues par l’envoi d’un courrier électronique à l’adresse suivante : data-protection@total.com
ANNEXE 1
DROITS DES TIERS BENEFICIAIRES
Nos BCR accordent le droit aux Personnes Concernées de les faire appliquer en tant que tiers bénéficiaires.
Plus particulièrement, elles peuvent faire appliquer les principes suivants selon les modalités et conditions formulées dans nos BCR :
ANNEXE 2
PROCEDURE INTERNE DE GESTION DES PLAINTES
Si une Personne Concernée considère qu’une Société du Groupe n’a pas respecté les BCR de Total, elle peut introduire une plainte selon la procédure énoncée dans les mentions d’informations propres au traitement ou le contrat applicable ou selon la procédure décrite ci-après.
La Personne Concernée peut introduire une plainte en envoyant :
ou
La plainte doit fournir une description aussi détaillée que possible du problème soulevé précisant notamment :
Dans un délai de trois mois à compter de la réception de la plainte, la Personne Concernée est informée par écrit de la recevabilité de sa plainte et, si elle est jugée recevable, des mesures correctives prises ou envisagées par Total pour y répondre. Le Coordinateur Branche Protection des Données Personnelles (ou « Branch Data Privacy Lead » – « BDPL ») compétent veille à ce que, si nécessaire, les mesures correctives appropriées soient mises en œuvre pour la conformité aux BCR de Total.
Le BDPL compétent transmet une copie de la plainte et de toute réponse écrite au Coordinateur Corporate Protection des Données Personnelles (ou « Corporate Data Privacy Lead » – « CDPL »).
Si la Personne Concernée n’est pas satisfaite de la réponse du BDPL compétent (ex : la plainte a été rejetée), elle peut contacter le CDPL en envoyant un courrier électronique ou un courrier à l’adresse indiquée ci-dessus. Le CDPL examinera la plainte et se prononcera dans un délai de trois mois suivant la réception de la demande. Dans ce délai, le CDPL indique à la Personne Concernée s’il confirme la réponse initiale et, dans la négative, fournit une nouvelle réponse.
La possibilité pour les Personnes Concernées d’introduire une plainte auprès de Total n’affecte en rien leur droit d’introduire une plainte auprès de l’Autorité nationale de contrôle compétente ou un recours devant la juridiction de l’Etat Membre de l’EEE où l’exportateur de données est établi.
[1] Une donnée personnelle est toute information permettant d’identifier, directement ou indirectement, une personne physique.
[2] EEE : Etats Membres de l’Union européenne ainsi que l’Islande, le Liechtenstein et la Norvège.
[3] Un traitement correspond à toute opération effectuée ou non à l’aide de procédés automatisés et appliquée à des données personnelles (ex : collecte, enregistrement, conservation, destruction, etc.).
[4] Le transfert vise tous les échanges, virtuels ou physiques, d’un pays à un autre, de données personnelles de l’EEE.