Politique relative à la protection de la vie privée

« Nous nous engageons à faire en sorte que vos données à caractère personnel soient protégées, traitées et utilisées de façon appropriée par Avaya. Maintenant et à l'avenir. »

Koldo Loidi

Délégué à la protection des données (Global Data Privacy Officer)

Politique relative à la protection de la vie privée

La présente Politique relative à la protection de la vie privée d'Avaya (« Politique ») établit l'approche d'Avaya^[1]en matière de respect des lois relatives à la protection des données dans le cadre du traitement (« Traitement »)^[2] des données à caractère personnel (« Données à caractère personnel »)^[3]. Elle ne saurait remplacer quelque exigence spécifique que ce soit en matière de protection des données qui pourrait s'appliquer à une unité ou un service commercial(e). Là où les lois et réglementations locales respectives imposent des restrictions supplémentaires en matière de collecte, d'utilisation et de divulgation des données à caractère personnel qui vont au-delà de celles prévues dans la présente Politique, les lois et réglementations locales l'emportent.

La présente Politique décrit comment les Données à caractère personnel seront traitées afin de respecter les normes de traitement de données d'Avaya et se conformer aux lois et règlements sur la protection de la vie privée. Des instructions et/ou directives concernant les activités de Traitement de Données à caractère personnel d'Avaya sont fournies aux employés et sous-traitants d'Avaya dans les politiques internes.

Qu'est-ce que la loi relative à la protection des données ?
Quelle incidence la loi relative à la protection des données a-t-elle sur Avaya à l'échelle internationale ?
Que fait Avaya à ce sujet ?
Règles contraignantes d'entreprise Avaya : Politique relative au responsable du traitement
Règles contraignantes d'entreprise Avaya : Politique relative au sous-traitant
Autres informations

Qu'est-ce que la loi relative à la protection des données ?

La loi relative à la protection des données accorde aux personnes certains droits relatifs à la façon dont leurs Données à caractère personnel sont Traitées. Si les organisations ne respectent pas la loi relative à la protection des Données, elles peuvent être sujet à des sanctions et des pénalités imposées par les tribunaux ou les autorités nationales compétentes en matière de protection des données. Lorsque Avaya traite les Données à caractère personnel, le Traitement et lesdites données sont couverts et réglementés par la loi relative à la protection des données.

Si une organisation Traite les Données à caractère personnel à ses propres fins, ladite organisation est considérée comme « Responsable du traitement » desdites informations et est ainsi le principal responsable du respect des exigences légales prévues par la loi relative à la protection des données.

En revanche, lorsqu'une organisation Traite les Données à caractère personnel au nom d'un tiers (par ex., du contenu hébergé pour le compte d'une entreprise cliente Avaya), ladite organisation est considérée comme « sous-traitant » du Traitement des informations. Dans ce cas, le Responsable du Traitement des Données à caractère personnel en question (soit le tiers concerné) est le principal responsable du respect des exigences légales.

Haut

Quelle incidence la loi relative à la protection des données a-t-elle sur Avaya à l'échelle internationale ?

Nombre de pays/régions ont mis en place des lois régissant les transferts internationaux des Données à caractère personnel. Par exemple, la loi européenne sur la protection des données interdit le transfert des Données à caractère personnel aux pays en dehors de l'Europe^[4] qui ne peuvent garantir un niveau approprié de protection des données, sauf si l'entité qui exporte met en place l'un des mécanismes contractuels ou juridiques de protection prévus par la loi. Certains des pays dans lesquels Avaya exerce ses activités ne sont pas considérés par les autorités européennes de protection des données comme garantissant un niveau approprié de protection du droit à la vie privée et à la protection des données des personnes.

Haut

Que fait Avaya à ce sujet ?

Avaya se doit de prendre les mesures adéquates pour faire en sorte que le traitement des données à caractère personnel, à l'échelle internationale, soit réalisé de façon sécurisée et légitime. Avaya a mis en place des processus et des mesures de contrôle pour se conformer à ces exigences. En Europe, Avaya a obtenu l'approbation des autorités européennes de protection des Données et adopté ses Règles contraignantes d'entreprise à l'échelle mondiale : Politique relative au responsable du traitement et au sous-traitant, qui définissent un cadre pour respecter les exigences de la loi sur la protection des Données (ces politiques sont intégrées par renvoi aux présentes et font partie intégrante de la présente Politique). Un tel cadre s'applique à toutes les activités de traitement des données à caractère personnel réalisées par Avaya dans le monde entier.

Haut

Règles contraignantes d'entreprise Avaya : Politique relative au responsable du traitement

Les normes décrites dans les Règles contraignantes d'entreprise Avaya (Politique relative au responsable du traitement) sont des normes globales qui s'appliquent à tous les Membres du groupe lors du traitement de quelconques Données à caractère personnel dans le cadre des activités commerciales d'Avaya, de l'administration des employés et de la gestion de la chaîne d'approvisionnement. Vous trouverez ci-dessous un résumé des principes fondamentaux de la protection des données que doit respecter Avaya lors du Traitement des Données à caractère personnel en tant que Responsable du Traitement. Ces principes (au même titre que d'autres engagements d'Avaya en matière de protection des données) sont décrits en détail dans la politique susmentionnée.

Principe 1 - Licéité du traitement

• Avaya fera en sorte que tout Traitement soit effectué conformément aux lois applicables.

Principe 2 - Équité et transparence

• Avaya s'engage à informer et expliquer aux personnes concernées en quoi consiste le Traitement de leurs Données à caractère personnel, et ce au moment où celles-ci sont collectées.

Principe 3 - Limitation de la finalité du Traitement

• Avaya n'obtiendra et ne traitera les Données à caractère personnel qu'aux fins connues de la personne concernée ou qui correspondent à ses attentes et sont pertinentes pour Avaya.
• Avaya ne Traitera les Données à caractère personnel qu'aux fins prévues, explicites et légitimes, en veillant à ne pas traiter lesdites informations de manière incompatible avec lesdites fins, à moins qu'un tel Traitement supplémentaire ne soit conforme au droit applicable du pays dans lequel les Données à caractère personnel ont été collectées.

Principe 4 - Minimisation et exactitude des données

• Avaya veille à l'exactitude des Données à caractère personnel et à leur mise à jour.
• Avaya ne Traite que les Données à caractère personnel conformes, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont Traitées.

Principe 5 - Conservation limitée des données à caractère personnel

• Avaya ne conserve les Données à caractère personnel qu'aussi longtemps que nécessaire aux fins pour lesquelles elles sont collectées et Traitées par la suite.

Principe 6 - Sécurité et confidentialité

• Avaya applique les mesures techniques et organisationnelles nécessaires pour garantir la protection appropriée des Données à caractère personnel, eu égard au risque pour les droits et libertés des personnes.
• Avaya veille à ce que ses prestataires de services adoptent également les mesures de sécurité adéquates et correspondantes.
• Avaya se conforme aux exigences en matière de notification des violations de la sécurité des données, conformément au droit applicable.

Principe 7 - Droits des personnes

• Avaya se conforme à la procédure relative aux droits des personnes concernées et répond à toute demande d'accès à leurs Données à caractère personnel conformément au droit applicable.
• Avaya traite également les demandes de correction ou de suppression des Données à caractère personnel inexactes ou incomplètes, ou d'interruption du Traitement des Données à caractère personnel conformément à la procédure relative aux droits des personnes concernées.

Principe 8 - Assurer une protection adéquate pour les transferts transfrontaliers

• Avaya ne transférera pas de Données à caractère personnel à des tiers en dehors de l'Europe sans assurer une protection adéquate.

Principe 9 - Sécuriser l'utilisation des données à caractère personnel sensibles

• Avaya ne Traite pas de Données à caractère personnel sensibles à moins d'avoir obtenu le consentement explicite de la personne concernée, hormis si Avaya dispose de motifs légitimes de le faire conformément au droit applicable du pays dans lequel les Données à caractère personnel sont collectées.

Principe 10 - Légitimer la prospection

• Avaya donne à ses clients la possibilité de choisir de ne plus recevoir d'informations commerciales.

Principe 11 - Décisions individuelles automatisées

• Avaya veillera à mettre en place des mesures de contrôle appropriées pour se conformer aux lois et politiques relatives aux droits des intéressés à ne pas faire l'objet d'une décision reposant uniquement sur un traitement automatisé, à moins que ce traitement automatisé soit autorisé par la loi.

Haut

Règles contraignantes d'entreprise Avaya : Politique relative au sous-traitant

Les normes décrites dans les Règles contraignantes d'entreprise Avaya (Politique relative au sous-traitant) sont des normes globales qui s'appliquent à tous les Membres du groupe lors du Traitement de quelconques Données à caractère personnel pour le compte d'un Responsable du Traitement de données qui ne fait pas partie du Groupe, par exemple dans le cadre de la fourniture d'un service à une entreprise cliente. Vous trouverez ci-dessous un résumé des principes fondamentaux de la protection des données que doit respecter Avaya lors du Traitement des Données à caractère personnel en tant que sous-traitant de données. Ces principes (au même titre que d'autres engagements d'Avaya en matière de protection des données) sont décrits en détail dans la politique susmentionnée.

Principe 1 - Licéité du traitement

• Avaya fera en sorte que tout Traitement soit effectué conformément aux lois applicables.
• Avaya collabore avec un Responsable du Traitement de Données et l'aide à respecter ses obligations en vertu des lois applicables en matière de protection des données dans les meilleurs délais.

Principe 2 - Équité et transparence

• Avaya s'engage à aider un Responsable du Traitement de Données à se conformer à l'obligation d'informer et d'expliquer aux personnes concernées en quoi consiste le Traitement de leurs Données à caractère personnel, conformément aux lois applicables.

Principe 3 - Limitation de la finalité

• Avaya ne traite les Données à caractère personnel qu'au nom du Responsable du Traitement de données et conformément aux directives de ce dernier.

Principe 4 - Minimisation et exactitude des données

• Avaya s'engage à aider un Responsable du traitement de données à veiller à l'exactitude des Données à caractère personnel et à leur mise à jour.

Principe 5 - Conservation limitée des données à caractère personnel

• Avaya ne conserve les Données à caractère personnel qu'aussi longtemps que nécessaire en vertu des termes du contrat ou d'un autre document juridiquement contraignant conclu avec un Responsable du Traitement de données.

Principe 6 - Sécurité et confidentialité

• Avaya applique les mesures techniques et organisationnelles nécessaires pour protéger les Données à caractère personnel traitées au nom d'un Responsable du Traitement de données.
• Avaya s'engage à informer le Responsable du Traitement de données dans les plus brefs délais de toute violation de la sécurité susceptible d'affecter les Données à caractère personnel traitées pour le compte du responsable du traitement de données conformément aux termes du contrat ou d'un autre document juridiquement contraignant conclu avec ledit Responsable du traitement de données.
• Avaya s'engage à se conformer aux exigences d'un Responsable du traitement de données quant à la nomination de tout sous-traitant ultérieur.
• Avaya veille à ce que les sous-traitants ultérieurs externes s'engagent à respecter les dispositions prévues par i) les termes du contrat ou tout autre document juridiquement contraignant qu'elle a conclu avec un responsable du traitement de données et ii) les Règles contraignantes d'entreprise Avaya (Politique relative au sous-traitant), en particulier à ce que le sous-traitant ultérieur adopte des mesures de sécurité adaptées et comparables.

Principe 7 - Droits des personnes

• Avaya aide les Responsables du traitement de données à se conformer à leur devoir de respect des droits des personnes.

Avaya se réserve le droit de changer, modifier ou mettre à jour la présente politique à tout moment. Nous vous prions de consulter fréquemment les mises à jour de cette politique.

Haut

Autres informations

En cas de questions concernant les stipulations de la présente Politique, vos droits en vertu de cette dernière, ou tout problème sur la protection des données, vous pouvez contacter le Bureau de la protection des données d'Avaya à l'adresse ci-dessous, qui s'engage à traiter la question ou à la transmettre à la personne ou au service compétent au sein d'Avaya.

À l'attention de : Délégué à la protection des données

Email: dataprivacy@avaya.com

Adresse : Avaya UK, Building 1000, Cathedral Square, Cathedral Hill, Guildford, Surrey GU2 7YL, Royaume-Uni

Révision : avril 2018.

^{[1] « Avaya » comprend Avaya Inc. (4655 Great America Parkway, Santa Clara, CA 95054-1233, USA) et ses sociétés affiliées désignées (« Membres du groupe »), la liste détaillée de ces sociétés affiliées désignées est incorporée par renvoi dans les Règles d'entreprise contraignantes Avaya : Politiques relatives au responsable du traitement et au sous-traitant .}

^{[2] Le terme « Traitement » désigne toute opération ou tout ensemble d'opérations effectué(e) sur les données à caractère personnel ou sur un ensemble de données à caractère personnel, qu'il ou elle soit automatique ou non, comme la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute autre opération de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction des données.}

^{[3] Le terme « Données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable (ci-après désignée la « personne concernée »). Une personne physique identifiable est une personne pouvant être identifiée, directement ou non, en particulier par un élément d'identification tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou par d'autres critères propres à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de ladite personne physique.}

^{[4] Aux fins de la présente Politique, la référence à l'Europe désigne l'Espace économique européen et la Suisse.}