Présent dans 22 pays, le groupe Axway (« Axway ») s'engage à maintenir une culture commune de transparence, de confiance, d'intégrité et de responsabilité à la fois au niveau interne avec nos salariés mais également externe avec notre clientèle et nos partenaires commerciaux.
Le programme de conformité en matière de protection de la vie privée d'Axway soutient cette culture en présentant des politiques qui garantissent que nous opérons conformément aux législations et aux réglementations en vigueur dans les pays où nous exerçons nos activités. Nous agissons également en conformité avec le Règlement général de protection des données de l'UE (RGPD).
“Nous vivons dans un monde de plus en plus axé sur les données et, chez Axway, nous sommes tous responsables de veiller à ce que notre comportement soit conforme aux pratiques éthiques, y compris à la protection de la vie privée des individus.” Sébastien Guiraud, Responsable de la protection des données d'Axway.
Le programme de conformité en matière de protection de la vie privée d'Axway est conçu pour promouvoir, harmoniser et améliorer nos pratiques en matière de protection de la confidentialité des données à caractère personnel que nous traitons (en tant que responsable du traitement) ou pour le compte d'autres organisations (en tant que sous-traitant). Veuillez vous référer à la section ci-dessous pour plus d'informations.
RESPONSABILITÉ ET PROTECTION DE LA VIE PRIVÉE DÈS LA CONCEPTION
BUREAU DE LA PROTECTION DES DONNÉES. Axway désigne un délégué à la protection des données basé en France, qui dirige un réseau interne de managers de la protection des données locaux en France, aux Etats-Unis et en Australie (« Bureau de la protection des données »). Le Bureau de la protection des données est composé d'experts juridiques maitrisant les législations et les pratiques nationales et européennes en matière de protection des données. Ces experts ont une connaissance approfondie du RGPD. La plupart d'entre eux sont capables de communiquer en français, en anglais et en allemand. Au sein de notre organisation, le Bureau de la protection des données aura pour mission de :
- Surveiller et faire appliquer les législations et règlementation en vigueur dans les pays où Axway est implanté et opère
- Promouvoir la connaissance et la compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données à caractère personnel
- Enquêter sur les plaintes déposées par des particuliers ou des entreprises et informer le plaignant des progrès et des résultats de l'enquête dans un délai raisonnable, en particulier dans le cas où une enquête approfondie avec une ou plusieurs autorités nationales de protection des données est nécessaire
- Coopérer et partager les informations nécessaires avec les autorités nationales de protection des données
- Mener des enquêtes sur l'application des législations et règlementations en vigueur en matière de protection des données
- Remplir toute autre tâche liée à la protection des données à caractère personnel.
Dans le cadre de ces missions de contrôle de conformité, le Bureau de la protection des données d'Axway devra en particulier :
- Tenir un registre écrit des activités de traitement effectuées pour le compte de chaque responsable de traitement (veuillez vous référer à la section « ÉVALUATION ET REGISTRES DES ACTIVITÉS DE TRAITEMENT » ci-dessous pour en savoir plus sur l'engagement d'Axway en matière de conformité)
- Effectuer, le cas échéant, une analyse d'impact relative à la protection des données (veuillez vous référer à la section « ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES » ci-dessous pour en savoir plus sur l'engagement d'Axway en matière de conformité)
- Avertir le responsable du traitement de toute atteinte aux données à caractère personnel dans les plus brefs délais (veuillez vous référer à la section « SÉCURITÉ ET NOTIFICATION D'ATTEINTE AUX DONNÉES » ci-dessous pour en savoir plus sur l'engagement d'Axway en matière de conformité)
Les coordonnées du Bureau de la protection des données d'Axway sont les suivantes :
- Adresse e-mail générique : privacy@axway.com
- Adresse postale américaine : Axway Inc., 6811 E. Mayo Blvd, 4th Floor, Phoenix, AZ 85054, USA.
- Adresse postale pour la zone EM : Axway Software, Tour W, 102 Terrasse Boieldieu - 92807 Puteaux Cedex, FRANCE.
- Adresse postale pour la zone APAC : Axway Australia, Suite 1301, 99 Mount Street, North Sydney, 2060 NSW, AUSTRALIA
ÉVALUATION ET REGISTRES DES ACTIVITÉS DE TRAITEMENT. Axway examine de manière continue l'endroit et la manière dont ses services collectent, utilisent, conservent et suppriment les données à caractère personnel. De plus, l'entreprise met régulièrement à jour ses politiques, ses normes, sa gouvernance et sa documentation afin d'assurer sa conformité aux principes de protection des données dès la conception et aux principes de protection des données par défaut (en veillant par exemple à ne traiter que le minimum de données à caractère personnel nécessaire).
Nous conservons les registres des activités de traitement (y compris les traitements pour le compte de notre clientèle). Ces registres contiendront toutes les données requises par le RGDP telles que les finalités du traitement, les catégories de données concernées, les délais envisagés, la description générale des mesures de sécurité techniques et organisationnelles mises en place et, le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris leur identification respective). Ces registres pourront être mis à la disposition du responsable du traitement et/ou de l'autorité de contrôle sur demande.
PRINCIPE DE LOYAUTÉ ET PROTECTION DE LA CONFIDENTIALITÉ. Axway porte une attention particulière aux différents types de données, y compris les données à caractère personnel, mises à la disposition des salariés et des collaborateurs extérieurs et/ou occasionnels dans l'exercice de leurs fonctions. Par conséquence, ces données doivent être tenues confidentielles ou restreintes et doivent être sujettes à une protection adéquate. Ce principe fait partie de la charte déontologique d'Axway et s'applique à tous les salariés de l'entreprise. De plus, tous nos salariés sont soumis à des exigences en matière de confidentialité définies par le biais d'une clause de confidentialité spécifique dans leur contrat.
FORMATION ET SENSIBILISATION DES SALARIÉS. Axway demande à ses salariés d'assister à des sessions de formation en matière de confidentialité et de sécurité des données. Ces sessions de formation seront organisées aussi souvent que nécessaire pour s'assurer que l'intégralité des salariés de l'entreprise est tenue informée des politiques et procédures d'Axway, ainsi que de toute modification réglementaire.
Le contenu de la formation peut être adapté aux rôles spécifiques des salariés. Par ailleurs, les filiales d'Axway, en fonction de leurs besoins ou des réglementations spécifiques, peuvent nécessiter une formation complémentaire.
Axway demande à ses partenaires commerciaux ou aux parties prenantes de s'engager sur des exigences de formation et de sensibilisation similaires. La formation des salariés travaillant pour des partenaires commerciaux ou des parties prenantes sera généralement assurée par ces partenaires commerciaux ou par d'autres parties sélectionnées à cet effet.
ENGAGEMENTS CONTRACTUELS. En collaboration avec nos propres partenaires et notre clientèle, nous revoyons périodiquement nos engagements contractuels et procédons aux mises à jour nécessaires pour se conformer aux législations et aux règlementations en vigueur en matière de protection des données.
PROGRAMME DE CONFORMITÉ POUR LES FOURNISSEURS D'AXWAY. Nous revoyons périodiquement nos contrats fournisseurs pour assurer leur conformité aux législations et réglementations en vigueur en matière de protection des données (RGPD compris) dans les pays où nous sommes implantés et dans lesquels nous opérons et cela tout au long de notre chaîne d'approvisionnement. Dans le cadre du programme de conformité pour les fournisseurs d'Axway, nous mettons en œuvre une politique d'analyse d'impact relative à la protection des données (veuillez vous reporter à la section « ANALYSE D'IMPACT RELATIVE A LA PROTECTION DES DONNÉES » ci-dessous).
AMÉLIORATION CONTINUE ET SURVEILLANCE. Le programme de conformité en matière de protection de la vie privée d'Axway est disponible sur : https://www.axway.com/fr/gdpr
Ce programme sera périodiquement modifié et/ou amélioré afin de suivre les évolutions et changements à la fois au niveau de notre organisation mais aussi au niveau des législations et des règlementations en vigueur. Lorsqu'un changement affecte de manière significative le niveau de protection des conditions de traitement, cette information sera communiquée à notre clientèle (agissant en tant que responsable du traitement) dans les plus brefs délais afin de lui fournir la possibilité de s'opposer au changement ou de résilier le contrat avant que la modification ne soit effectuée (par exemple, dans le cadre d'un changement prévu concernant l'ajout ou le remplacement de sous-traitants, avant que les données ne soient communiquées au nouveau sous-traitant).
PDes audits périodiques peuvent être effectués par le Bureau de la protection des données et le Département d'audit interne d'Axway afin de vérifier la conformité aux pratiques au sein de l'entreprise.
ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES).
Axway conduit des analyses d'impact relative à la protection des données ainsi que des études d'impact sur la vie privée (les deux termes désignent indifféremment la même notion) lorsque l'entreprise identifie des risques spécifiques liés aux droits et aux libertés des individus.
Axway met en œuvre sa politique d'analyse d'impact conformément à :
- Une étude d'impact sur la vie privée (EIVP), Commission nationale de l'informatique et des libertés (CNIL), 2015
- - Des directives internationales standard d'analyse d'impact relative à la protection des données
o ISO/IEC 29134 (projet), Technologies de l'information - Techniques de sécurité - Étude d'impact sur la vie privée - Directives, Organisation internationale de normalisation (ISO)
Axway revoit périodiquement les analyses d'impact relatives à la protection des données ainsi que leur traitement, notamment lorsque le risque causé par le traitement de l'opération évolue et/ou lorsque l'utilisation de nouvelles technologies et le traitement des données sont susceptibles de présenter un risque pour les individus. Ces analyses doivent être signées par les responsables appropriés, par exemple par le conseil d'administration, par un associé principal, un délégué au risque, etc. Toutes les analyses effectuées par notre entreprise sont signées par notre responsable de la protection des données.
La coopération de notre clientèle est nécessaire. Dans la plupart des cas, l'entreprise n'a pas accès aux données à caractère personnel de sa clientèle et ne peut identifier la nature et/ou la sensibilité des données traitées pour le compte des clients. Lorsque Axway agit en tant que sous-traitant de données à caractère personnel de sa clientèle (pour les activités liées au Cloud ou au Saas par exemple), nous lui demandons, en tant que responsable de traitement, de fournir des informations transparentes pour déterminer si nous devons effectuer une analyse d'impact et si nous devons mettre en œuvre des mesures de sécurité techniques et organisationnelles spécifiques.
Sile résultat de cette analyse d'impact laisse apercevoir un risque qui ne peut être atténué, réduit ou éliminé, le responsable du traitement et le sous-traitant devront déterminer s'il faut rejeter l'activité ou accepter le risque. Tout risque majeur identifié par cette analyse est susceptible d'être transmis aux autorités nationales de protection des données afin d'obtenir leur avis quant à savoir si le traitement envisagé est conforme au RGPD (veuillez vous reporter à la section « AUTORITÉ DE CONTRÔLE DE L'UE » ci-dessous).
RESPONSABILITÉS D'AXWAY DANS LE CAS OÙ L'ENTREPRISE AGIT EN TANT QUE RESPONSABLE DE TRAITEMENT ET/OU SOUS-TRAITANT
Axway fournit différents types de services à sa clientèle, notamment du conseil, du Cloud, du Saas, des licences perpétuelles et temporaires on premise (sur site) et un service de support. Dans le cadre de ces activités, Axway doit traiter les données à caractère personnel en tant que responsable de traitement. Cependant, Axway ne traite pas nécessairement les données à caractère personnel pour le compte d'un tiers (tel qu'un client de l'entreprise) en tant que sous-traitant.
Axway n'agit pas en tant que sous-traitant dans toutes ses activités. En tant qu'éditeur de logiciels, Axway ne traite pas les données à caractère personnel pour le compte de sa clientèle. Dans le Guide du sous-traitant édité par la CNIL (septembre 2017), l'autorité française de protection des données à caractère personnel confirme que sous la réglementation du RGPD, les éditeurs de logiciel ne sont pas considérés comme des sous-traitants.
Pour déterminer si Axway agit en tant que sous-traitant ou en tant que responsable de traitement, veuillez vous référer l'avis 1/2010 du Groupe de travail Article 29 sur la protection des données (G29) du 16 février 2010, qui identifie les indicateurs à utiliser lors de l'analyse au cas par cas :
- Niveau d'instructions données par le client au prestataire de services : Quelle marge de manœuvre le prestataire de services a-t-il pour fournir son service ?
- Étendue du contrôle de l'exécution du service : dans quelle mesure le client « contrôle » -t-il ledit service ?
- Valeur ajoutée fournie par le prestataire de services : Le prestataire de services dispose-t-il d'une expertise approfondie dans le domaine concerné ?
- Degré de transparence concernant l'utilisation d'un prestataire de services : L'identité du prestataire de services est-elle connue des personnes concernées par l'utilisation des services du client ?
AXWAY AGIT EN TANT QUE RESPONSABLE DE TRAITEMENT. En tant que responsable de traitement, Axway traite les données à caractère personnel selon les principes suivants : limitation des finalités, minimisation des données, périodes de conservation limitées, qualité des données, protection des données dès la conception et par défaut, base légale pour le traitement, traitement de catégories de données à caractère personnel sensibles, mesures mises en place pour assurer la sécurité des données et exigences concernant les transferts de données à caractère personnel en dehors de l'EEE.
Axway assure un traitement loyal, licite et transparent des données à caractère personnel des individus. La Déclaration de confidentialité d'Axway fournit des informations sur les risques, les règles, les garanties et les droits relatifs au traitement des données à caractère personnel. Ces informations sont adressées au public ou aux personnes concernées par l'intermédiaire de nos sites Internet à tout moment.
Afin de s'assurer que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire, Axway établit des délais limite pour leur effacement ou pour leur examen périodique. L'entreprise veille à ce que les données à caractère personnel inexactes soient rectifiées ou effacées. Axway transmet des données à caractère personnel à ses filiales (qui peuvent être situées dans un pays tiers) à des fins administratives internes, comprenant le traitement des données à caractère personnel de sa clientèle ou de ses salariés. (Veuillez vous référer à la section « TRANSFERT DE DONNÉES HORS DE L'EEE » ci-dessous pour en savoir plus sur l'engagement d'Axway en matière de conformité)
Données à caractère personnel des salariés de notre clientèle. Dans le cadre des relations commerciales avec notre clientèle et/ou nos partenaires, nous ne traitons que les données à caractère personnel (limitées aux coordonnées professionnelles) des salariés de notre clientèle (salariés, agents et sous-traitants) en tant que responsable du traitement (tel que définies par le RGPD) à des fins d'administration des contrats et de prospection commerciale. Cela s'effectue strictement en conformité avec le RGPD.
AXWAY AGIT EN TANT QUE SOUS-TRAITANT. Axway agit en tant que sous-traitant dès lors que lorsque l'entreprise reçoit les données à caractère personnel pour le compte de, sous la direction et sous l'autorité de sa clientèle (qui agit elle-même en tant que responsable de traitement). Il est de la responsabilité de la clientèle et des partenaires d'Axway (agissant en tant que responsables de traitement) de mettre en œuvre des mesures efficaces et de démontrer la conformité des activités de traitement même si ces dernières sont effectuées par Axway agissant en leur nom. En tant que sous-traitant, Axway prend les mesures suivantes en conformité avec le RGPD :
- Désigner un responsable de la protection des données si nécessaire (veuillez vous référer à la section « BUREAU DE LA PROTECTION DES DONNÉES » ci-dessus pour en savoir plus sur l'engagement d'Axway en matière de conformité)
- Tenir un registre écrit des activités de traitement réalisées pour le compte de chaque responsable de traitement (veuillez vous référer à la section « ÉVALUATION ET REGISTRES DES ACTIVITÉS DE TRAITEMENT » ci-dessus pour en savoir plus sur l'engagement d'Axway en matière de conformité)
- Mettre en place des garanties adéquates pour les transferts de données transfrontaliers (veuillez vous référer à la section « TRANSFERT DE DONNEES HORS DE L'EEE » ci-dessous pour en savoir plus sur l'engagement d'Axway en matière de conformité)
- Avertir le responsable du traitement de toute atteinte aux données à caractère personnel dans les plus brefs délais (veuillez vous référer à la section « SÉCURITÉ ET NOTIFICATION D'ATTEINTE AUX DONNÉES » ci-dessous pour en savoir plus sur l'engagement d'Axway en matière de conformité)
En tant que sous-traitant, sauf accord exprès contraire, Axway supprimera ou restituera toutes les données à caractère personnel à sa clientèle après la fin de la fourniture de services pour laquelle les données ont été traitées, et supprimera toute copie existante de ces données.
SÉCURITÉ ET NOTIFICATION D'ATTEINTE AUX DONNÉES
Axway met en œuvre des mesures et des politiques techniques et organisationnelles spécifiques pour détecter, signaler et enquêter efficacement sur toute atteinte aux données à caractère personnel. En cas d'atteinte aux données à caractère personnel, Axway notifiera les autorités requises en vertu du RGDP ainsi que des réglementations en vigueur en matière de protection des données, telles que la loi australienne de 2017 relative à la confidentialité (Notifiable Data Breaches) Act 2017 n° 12, 2017 ou encore la loi chinoise en matière de sécurité informatique (Cyber Security Law). Ces notifications à l'autorité de contrôle font également partie du plan d'intervention d'Axway. Le Bureau de la protection des données d'Axway travaille conjointement avec l'équipe d'intervention en cas d'incident de sécurité informatique (la Computer Security Incident Response Team, ou CSIRT) d'Axway pour répondre à ces exigences.
En cas d'atteinte aux données à caractère personnel, Axway, en qualité de sous-traitant, en avertira sa clientèle dans les plus brefs délais et fournira toute information jugée nécessaire.
Les notifications ne sont pas systématiquement requises sous le régime du RGPD. Avant de mettre en place un processus de notification, Axway et son client mèneront une analyse d'impact relative à la protection des données afin d'évaluer et réduire les risques spécifiques liés aux droits et aux libertés des individus. Veuillez noter :
- Article 33, paragraphe 1, du RGPD, Il n'est pas obligatoire de notifier l'autorité de contrôle si l'atteinte « n'est pas susceptible d'entraîner un risque lié aux droits et libertés des personnes physiques. »
- Article 34 du RGPD, il n'est pas obligatoire de communiquer l'atteinte aux personnes concernées si le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, telles que l'encryptage, rendant les données à caractère personnel inintelligibles pour toute personne non autorisée à y accéder. Les personnes concernées par l'atteinte seront notifiées uniquement lorsque le seuil défini est atteint, c'est à dire lorsque l'atteinte présente un risque élevé à leurs droits et libertés.
Le responsable de traitement conserve la responsabilité globale de la protection des données à caractère personnel et Axway encourage sa clientèle à rendre les données de ses clients essentiellement inintelligibles pour toute partie non autorisée et à mettre en place des sauvegardes adéquates.
SOUS-TRAITANCE - TRANSFERT DE DONNÉES TRANSFRONTALIERS
SOUS-TRAITANCE. Axway s'assure que tous ses sous-traitants fournissent les mêmes garanties quant à la mise en œuvre des mesures techniques et organisationnelles appropriées afin que les activités de traitement répondent aux exigences définies par le RGPD. Si un sous-traitant ne remplit pas ses obligations en matière de protection des données à caractère personnel, Axway demeure entièrement responsable envers le responsable du traitement. Axway confie le tout ou une partie de ses activités de traitement à toute entité juridique Axway ou à tout sous-traitant répertorié ici. Axway en informe à l'avance sa clientèle (agissant en tant que responsable de traitement) et ces informations indiquent clairement les activités de traitement qui sont externalisées et l'identité des sous-traitants.
Dans l'éventualité où une modification affecterait le niveau de protection offert par Axway, le responsable de traitement peut s'opposer à cette modification ou résilier le contrat avant que les données ne soient communiquées au nouveau sous-traitant.
AUTORITÉ DE CONTRÔLE DE L'UE. En tant que responsable de traitement et (le cas échéant) en tant que sous-traitant, Axway identifie la CNIL comme son autorité de contrôle principale en matière de protection des données. Bien que l'entreprise opère dans plusieurs États membres de l'UE, son siège social est établi en France (« lieu de l'administration centrale » conformément aux directives G29 sur la notification d'atteinte aux données à caractère personnel en vertu de la Règlementation 2016/679). Dans les cas où le responsable de traitement est établi au sein de l'UE et l'autorité de contrôle a été clairement identifiée dans un accord de protection des données signé par Axway, l'entreprise, agissant en tant que responsable de traitement, accepte d'identifier cette autorité comme l'autorité de contrôle compétente.
TRANSFERT DE DONNÉES HORS DE L'EEE. Axway a pour responsabilité de traiter les données à caractère personnel de sa clientèle transférées pour leur compte en dehors de l'EEE conformément à la législation en vigueur en matière de protection des données. Afin de fournir des garanties adéquates conformes à la législation en vigueur en matière de protection des données, Axway a mis en place des clauses contractuelles type avec tous ses sous-traitants situés hors de l'EEE ayant accès ou traitant les données à caractère personnel de la clientèle. Axway a signé ces clauses contractuelles type (et continue de les mettre à jour) au nom de tous ses clients. Veuillez vous référer à la liste des entités juridiques et des sous-processeurs d'Axway mise à jour ici.
Note : Axway ne fournit pas de conseils juridiques ou d'audit et ne déclare ni ne garantit que ses services ou produits garantiront que les clients ou partenaires commerciaux sont en conformité avec toute loi ou réglementation.