POLITIQUE DE CONFIDENTIALITÉ

  1. Objet

La politique de confidentialité et de protection de données (« la politique ») du groupe Teleperformance Knowledge Services exprime l’engagement ferme de Teleperformance Knowledge Services d’observer et de protéger la confidentialité de tout individu, de ses employés et de ses clients. Tous les employés des sociétés du groupe (« société/s de Teleperformance Knowledge Services » ou « Teleperformance Knowledge Services ») doivent se conformer à la présente politique.

2. Sphère de sécurité

Le Département du Commerce des États-Unis et la Commission européenne ont adopté un ensemble de principes de protection des données et défini une foire aux questions, afin de permettre aux sociétés américaines de protéger les données personnelles transférées de l’Espace économique européen (« EEE ») aux États-Unis conformément aux lois en vigueur au sein de l’Union européenne (le « cadre de la sphère de sécurité entre les États-Unis et l’Union européenne »). Le Département du Commerce des États-Unis et le préposé fédéral à la protection des données et à la transparence de la Suisse ont adopté un ensemble de principes et de foires aux questions similaires permettant aux sociétés américaines de protéger les données personnelles transférées de la Suisse aux États-Unis conformément aux lois suisses en vigueur (le « cadre de la sphère de sécurité entre les États-Unis et la Suisse »).
TPUSA, Inc. (la société de Teleperformance Knowledge Services aux États-Unis) se conforme au cadre de la sphère de sécurité entre les États-Unis et l’Union européenne et au cadre de la sphère de sécurité entre les États-Unis et la Suisse, comme énoncé par le Département du Commerce des États-Unis.
Pour obtenir des informations supplémentaires au sujet du Programme de la sphère de sécurité, rendez-vous sur le site Web du Département du Commerce des États-Unis : http://www.export.gov/safeharbor/

3. Portée

Les normes et exigences pour la protection de la confidentialité figurant dans la présente politique s’appliquent à toutes les sociétés de Teleperformance Knowledge Services qui participent au traitement, à la collecte, au stockage ou au transfert de données personnelles au titre de contrôleur de données ou de préposé au traitement de données.
Avant tout, les sociétés de Teleperformance Knowledge Services sont tenues d’observer les lois et réglementations locales. En cas de conflit entre leurs lois locales et la présente politique, les lois locales prévaudront.

4. Définitions

Le « contrôleur de données » est la société ou personne qui détermine les objectifs, contenus, usages et moyens de traitement des données personnelles.
Le « titulaire des données » est la personne physique qui possède les données soumises au traitement.
Le « préposé au traitement des données » est la société ou personne qui traite les données personnelles pour le compte du contrôleur de données.
Le « consentement du titulaire des données » fait référence à toute indication libre, sans équivoque, spécifique et informée de la volonté du titulaire à travers laquelle le titulaire des données donne son consentement au traitement des données personnelles qui le concernent.
Un « pays ami tiers » fait référence, dans le cadre du transfert de données en dehors de l’EEE, à tout pays situé en dehors de l’Espace économique européen (EEE) assurant un niveau adéquat de protection. La liste de ces pays est disponible sur : http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm
Un « pays non ami » fait référence, dans le cadre du transfert de données en dehors de l’EEE, à tout pays qui n’est pas situé dans l’EEE ou à tout pays qui n’est pas un pays ami tiers.
Les « données personnelles » sont les informations qui se rapportent à une personne physique identifiée ou identifiable (chacune d’elles constitue un « titulaire des données »). Une personne identifiable est une personne pouvant être identifiée, directement ou indirectement, grâce à un numéro d’identification ou grâce à un ou plusieurs facteurs spécifiques propres de son identité physique, physiologique, mentale, économique, culturelle ou sociale.
Le « traitement », en parlant d’informations ou de données, se rapporte à la collecte, l’enregistrement ou le maintien d’informations ou données, ou l’exécution d’une opération ou d’un ensemble d’opérations concernant les informations ou données, par des moyens automatiques ou non automatiques, comprenant l’organisation, le stockage, l’adaptation ou l’altération des informations ou données ; la récupération, la consultation ou l’utilisation des informations ou données ; la divulgation des informations ou données par le biais de la transmission, la dissémination ou toute autre forme de diffusion ; ou l’alignement, la combinaison, le blocage, l’effacement ou la destruction des informations ou données.

5. Traitement des données personnelles

5.1. Finalité du traitement des données personnelles Teleperformance Knowledge Services peut procéder au traitement des informations et données personnelles qui sont raisonnablement appropriées et pertinentes aux suivantes finalités applicables : 

  1. Les procédés de gestion des ressources humaines et du personnel qui peuvent comprendre le recrutement, la planification de la main-d’œuvre, la formation et la gestion de la performance, la rémunération et les avantages sociaux, la gestion des congés et avantages sociaux, la distribution du bulletin de paie, la gestion des informations et aptitudes de l’employé, les sondages auprès des employés, les entrevues et procédés de départ, et la santé et la sécurité. Dans un tel cas, la société de Teleperformance Knowledge Services opère comme contrôleur de données. 
  2. Les données personnelles du personnel de fournisseurs et distributeurs, contributeurs, clients, clients potentiels et visiteurs. Dans un tel cas, la société de Praxidia opère également comme contrôleur de données. 
  3. Les procédés de gestion et d’exécution des procédés commerciaux qui peuvent inclure les activités ou services réalisés par la société de Praxidia pour le compte du client. Dans un tel cas, la société de Teleperformance Knowledge Services opère comme préposé au traitement des données.

5.2. Règles à observer pendant le traitement des données personnelles
Chaque société de Teleperformance Knowledge Services et ses employés, y compris les fournisseurs, doivent adopter les principes suivants pour le traitement des données personnelles :

  1. Les données personnelles doivent être traitées de manière juste et légale.
  2. Les données personnelles doivent être collectées pour une ou plusieurs finalités spécifiées et légales et elles ne peuvent pas être traitées de manière incompatible avec ces finalités. Le traitement des données à des fins historiques, statistiques ou scientifiques n’est pas considéré incompatible.
  3. La collecte des données doit être appropriée, pertinente et non excessive par rapport aux finalités pour lesquelles elles sont traitées.
  4. Les données personnelles doivent être précises et actualisées de manière à refléter réellement la situation actuelle du titulaire des données.
  5. Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Les données doivent être effacées lorsqu’elles ne sont plus nécessaires ou pertinentes à la finalité pour laquelle elles avaient été obtenues ou enregistrées.
  6. Des mesures techniques et organisationnelles appropriées doivent être adoptées contre tout traitement non autorisé ou illégal des données personnelles, ainsi que contre toute perte, destruction ou altération de ces données.
  7. Les données personnelles ne doivent pas être transférées en dehors de leur pays d’origine, à moins que le transfert soit conforme à la Section 5 de la présente politique.
  8. La collecte de données en employant des moyens frauduleux, injustes ou illicites est interdite. 

5.3. Règles supplémentaires à observer lorsque les sociétés de Teleperformance Knowledge Services opèrent comme contrôleur de données
Les sociétés de Teleperformance Knowledge Services doivent se conformer aux prescriptions supplémentaires suivantes lorsqu’elles opèrent comme contrôleur de données : 

  1. L’exigence de notification ou d’inscription auprès de l’autorité de protection de données correspondante lorsque les lois locales respectives en matière de confidentialité l’exigent ; 
  2. Le consentement au traitement des données personnelles doit tout d’abord être accordé par le titulaire des données avant la collecte, le traitement ou le stockage des données personnelles, à moins que la loi n’en dispose autrement. Chaque titulaire des données doit être informé de la finalité pour laquelle les données sont collectés, stockées et traitées ;
  3. Les sociétés de Teleperformance Knowledge Services doivent fournir au titulaire des données l’identité et l’adresse du contrôleur de données ou de sont représentant le cas échéant, les finalités du traitement, les destinataires ou catégories de destinataires des données, l’existence du droit d’accès et le droit de rectifier, d’effacer les données le concernant et de formuler une objection à celles-ci.
  4. Transfert international de données personnelles

6.Cette section aborde diverses possibilités de transfert de données personnelles :

  • Transfert au sein de l’EEE ou de l’EEE à un pays ami tiers ;
  • Transfert des données personnelles de l’EEE à un pays tiers non ami ;
  • Transfert transfrontalier (depuis un pays qui ne fait pas partie de l’EEE).

6.1. Transfert au sein de l’EEE ou de l’EEE à un pays ami tiers
Cette section décrit le transfert de données personnelles qui seront traitées par Teleperformance Knowledge Services pour le compte d’un client au sein de l’EEE ou le transfert de données personnelles par une société de Teleperformance Knowledge Services opérant comme contrôleur de données à une tierce partie au sein de l’EEE, y compris le transfert à une société tierce de Teleperformance Knowledge Services. Un exemple illustrant cette modalité pourrait s’appliquer aux données personnelles d’un client (le titulaire des données) d’un autre client (opérant comme contrôleur de données) servi par Teleperformance Knowledge Services (opérant comme préposé au traitement des données) dans des centres d’appel en France, en Allemagne et en Espagne. Les données personnelles peuvent être recueillies en Espagne par une société de Teleperformance Knowledge Services en France et stockées sur un serveur en Allemagne. Le transfert des données personnelles de l’Espagne à la France puis à l’Allemagne est un transfert de données au sein de l’EEE car ces trois pays font partie de l’EEE. 
Le consentement au transfert du titulaire des données n’est pas nécessaire lorsque le transfert de données personnelles (entre le contrôleur de données et le préposé au traitement des données ou entre le préposé au traitement des données pour le compte du contrôleur de données à un troisième préposé au traitement des données) a lieu dans des pays membres de l’EEE.
Le transfert de données personnelles (entre le contrôleur de données et le préposé au traitement des données ou entre le préposé au traitement des données pour le compte du contrôleur de données à un troisième préposé au traitement des données) à un pays ami tiers est permis. La liste des pays amis tiers est disponible sur : http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm. Le transfert de données personnelles aux États-Unis d’Amérique (USA) n’est permis que si les sociétés américaines ont accepté les dispositions de la sphère de sécurité (entre les États-Unis et l’Union européenne).
 6.2. Transfert des données personnelles depuis l’EEE vers un pays tiers non ami
Cette section décrit le transfert de données personnelles qui seront traitées par une société de Teleperformance Knowledge Services ou par un prestataire de services pour le compte d’une société de Teleperformance Knowledge Services située dans un pays tiers non ami ou le transfert de données personnelles d’une société de Teleperformance Knowledge Services opérant comme contrôleur de données à une tierce partie, y compris une autre société tierce de Teleperformance Knowledge Services dans un pays non ami. Un exemple illustrant cette modalité pourrait être le transfert de données personnelles réalisé par une société de Teleperformance Knowledge Services en France à une société de Teleperformance Knowledge Services aux Philippines. Un exemple illustrant cette modalité pourrait s’appliquer à une société de Teleperformance Knowledge Services servie par un prestataire de services en Inde.
Lorsque les données personnelles doivent être transférées à un pays non ami, les principes suivants doivent être respectés :
a.         Déterminer si le pays de destination accorde un niveau de protection satisfaisant aux données personnelles en utilisant les facteurs suivants :
            i.          Dans quelle mesure les lois de confidentialité sont observées :
            ii. Les moyens employés pour garantir que les normes soient observées dans la pratique ; et
            iii. La procédure effective permettant aux individus d’exercer leurs droits ou de bénéficier d’un dédommagement en cas de tort.
b.         Les sociétés de Teleperformance Knowledge Services doivent faire des efforts raisonnables pour intégrer à leurs contrats commerciaux les clauses contractuelles types appropriées stipulées par la Commission européenne offrant des garanties appropriées quant à (i) la protection de la confidentialité, et (ii) aux droits et libertés fondamentaux des individus et à l’exercice des droits fondamentaux, et, si nécessaire, à l’autorisation préalable de l’agence locale de protection des données.
c.                                 Déterminer s’il est nécessaire d’obtenir le consentement du titulaire des données pour transférer les données personnelles.
6.3. Transfert transfrontalier des données personnelles
a. Tout transfert de données personnelles d’un pays (en dehors de l’EEE) à un autre pays doit respecter les lois locales de protection de la confidentialité des données du pays d’origine.
 i.         Il est nécessaire de déterminer les conditions requises pour le traitement des données personnelles dans le cadre des lois locales respectives sur la confidentialité des données, comme l’inscription ou la notification de l’autorité locale chargée de la confidentialité des données, l’obtention du consentement du titulaire des données, ou la conformité aux prescriptions spécifiques de sécurité.
 ii. Il est nécessaire de déterminer si le pays récepteur fournit également un niveau adéquat de protection à la confidentialité des données personnelles.
b.         La société de Teleperformance Knowledge Services doit toujours observer les principes stipulés dans la Section 4 du présent document en matière de traitement des données ou informations personnelles. 
c.         Dans tous les cas, Teleperformance Knowledge Services doit garantir que le transfert ou le traitement des données personnelles se déroule avec des niveaux de sécurité et protection convenables et raisonnables. Il est impératif d’assurer que l’entité réceptrice ou tout prestataire tiers fournisse le même niveau adéquat de protection.

7. Rétention des données

Le stockage des données personnelles par les sociétés de Teleperformance Knowledge Services doit s’effectuer en conformité avec les règles suivantes :
a.         La période de temps pendant laquelle les données personnelles sont conservées doit être révisée périodiquement ;
b.         Ladite rétention doit se plier à la finalité ou aux finalités pour lesquelles elle a été réalisée et elle ne doit plus être maintenue une fois que la finalité ou les finalités ont été atteintes ;
c.         Toutes les données personnelles doivent être supprimées ou rendues anonymes de façon sûre pour les protéger de tout accès illégal ou illicite ;
d.         Les données personnelles retenues doivent être précises, archivées, mises à jour et supprimées de façon sûre une fois périmées. Le titulaire des données a la responsabilité d’informer Teleperformance Knowledge Services de toute imprécision ou mise à jour de ses données personnelles. Cependant, Teleperformance Knowledge Services déploiera des efforts raisonnables du point de vue commercial pour maintenir sa base de données aussi précise et actualisée que possible.
Au cas où une société de Teleperformance Knowledge Services partagerait des données personnelles parmi ses filiales, ces filiales devront décider ce qu’elles feront avec ces données personnelles une fois qu’elles n’auront plus besoin de partager les informations.

8. Sécurité relative aux informations

a.         Les sociétés de Teleperformance Knowledge Services doivent garantir que seules des personnes autorisées puissent accéder aux données personnelles et les modifier, divulguer ou détruire et que lesdites personnes opèrent exclusivement dans le cadre de leur autorité à l’égard des données personnelles. Un système doit être mis en place pour (i) protéger les données personnelles de pertes, altérations ou destructions par inadvertance et (ii) permettre que les données personnelles soient récupérables afin de ne pas causer de tourment ou du tort aux titulaires des données concernés.
b.         Des mesures de protection doivent être mises en place pour protéger les données personnelles. Ces mesures peuvent comprendre des systèmes de sécurité physiques et environnementaux tels que des installations, stations de travail et contrôle de l’accès pour assurer l’intégrité des données ; sécurité informatique, tels que dispositifs de sécurité et chiffrement ; sensibilisation de sécurité des employés, comme nouvelles recrues et formation annuelle. Chaque société de Teleperformance Knowledge Services doit effectuer une évaluation des risques et se charger des politiques et procédures organisationnelles ainsi que des exigences documentaires.
c.         Étant donné que les prescriptions de sécurité des lois locales de confidentialité peuvent varier d’un pays à l’autre, les normes en TI doivent se conformer aux prescriptions locales et contractuelles. Par conséquent, les responsables de la sécurité des systèmes d’information devront se tenir au courant des normes de sécurité spécifiques ou locales en vigueur au moment d’aborder la sécurité des données personnelles.
d.         En cas de violation des données personnelles, les sociétés de Teleperformance Knowledge Services devront dresser un plan de gestion des violations comprenant au moins les éléments suivants :
 i.         Limitation de la violation et récupération – Teleperformance Knowledge Services doit résoudre l’incident en mettant en œuvre un plan de récupération et, si nécessaire, des procédures pour limiter les préjudices. 
 ii. Évaluation des risques – Teleperformance Knowledge Services doit évaluer les risques associés, comme les conséquences défavorables aux individus, la gravité de la violation et le risque de répétition. 
 iii. Notification de la violation – Teleperformance Knowledge Services doit informer les personnes concernées qu’une violation de la sécurité des informations s’est produite et notifier l’autorité pertinente préposée à la protection des données et d’autres parties, telles que la police et les banques, selon le cas.
 iv. Évaluation du processus – Une enquête doit être menée pour déterminer la cause de la violation et évaluer l’efficacité de la réponse formulée. Les politiques et procédures doivent être abordées en conséquence. 

9. Coopération avec les autorités de protection des données

Toutes les sociétés de Teleperformance Knowledge Services et leurs employés ont l’obligation de coopérer avec les autorités locales de protection des données personnelles et de répondre diligemment et convenablement à toute demande ou requête formulées par celles-ci. Ces requêtes peuvent se présenter sous la forme d’une demande d’audit ou d’une demande aux sociétés de Teleperformance Knowledge Services de se soumettre à un audit, si nécessaire, et de se conformer aux recommandations des autorités de protection des données au sujet de toute question concernant les normes ou la conformité avec ces lois de confidentialité.

10.   Sanctions

Tout employé qui tenterait de violer ou qui aurait prétendument ou réellement violé la présente politique, que ce soit par négligence ou inconduite volontaire, subira des sanctions disciplinaires imposées à l’entière discrétion de la société de Teleperformance Knowledge Services. La sanction pourrait inclure le licenciement conformément aux lois en vigueur.