Politique internationale relative à la protection des données à caractère personnel

La présente politique internationale relative à la protection des données à caractère personnel d'Avaya définit l'approche d'Avaya^[1] en matière de respect des lois relatives à la protection des données lors du traitement^[2] de données à caractère personnel^[3]. Elle ne saurait remplacer quelque exigence spécifique que ce soit en matière de protection des données qui pourrait s'appliquer à une unité ou une fonction commerciale. Lorsque des lois et réglementations locales requièrent des restrictions supplémentaires en matière de collecte, d'utilisation et de divulgation de données à caractère personnel allant au-delà de celles prévues dans la présente politique, les lois et réglementations locales prévalent.

La présente politique décrit comment les données à caractère personnel seront traitées de façon à respecter les standards de traitement des données d’Avaya et à se conformer aux lois et règlements sur la protection des données à caractère personnel. Des instructions et / ou lignes directrices concernant les activités de traitement de données à caractère personnel au sein d’Avaya sont fournies aux employés et sous-traitants d'Avaya dans les politiques internes d’Avaya.

Que prévoit la législation relative à la protection des données ?

La législation relative à la protection des données accorde aux personnes certains droits relatifs à la façon dont leurs données à caractère personnel sont traitées. Si les organisations ne respectent pas la législation relative à la protection des données à caractère personnel, elles peuvent recevoir des sanctions et des pénalités imposées par les autorités nationales compétentes en matière de protection des données ; et par les tribunaux. Lorsqu’Avaya traite des données à caractère personnel, le traitement et lesdites données en question sont couverts et réglementés par la législation relative à la protection des données à caractère personnel.

Lorsqu’une organisation traite des données à caractère personnel pour ses besoins propres ladite organisation est considérée comme responsable du traitement desdites informations et est ainsi le principal responsable du respect des exigences légales prévues par la législation en ce qui concerne la protection des données.

En revanche, lorsqu'une organisation traite de données à caractère personnel au nom d'un tiers (e.g., contenu hébergé pour le compte d'une entreprise cliente d’Avaya), ladite organisation est considérée comme sous-traitant des informations. Dans ce cas, le responsable du traitement des données à caractère personnel (c.-à-d. le client d’Avaya) sera responsable du respect des exigences légales.

Transparence des activités de traitement des données à caractère personnel d’Avaya

La présente politique et les règles d’entreprise contraignantes, politiques relatives au responsable du traitement et au sous-traitant (approuvées par les autorités européennes de protection des données), décrivent les pratiques générales de gestion des données à caractère personnel chez Avaya. Avaya s’engage toujours à assurer la transparence de toutes les activités de traitement des données à caractère personnel et à se conformer à toutes les lois et réglementations sur la protection des données à caractère personnel en vigueur. En raison de la vaste gamme de produits et de services, ce travail s’effectue par le biais de diverses déclarations/fiches d’information relatives à la protection des données à caractère personnel. Avaya, en fonction de son rôle (responsable des données ou sous-traitant des données) adopte une approche à plusieurs niveaux afin d’informer soigneusement ses clients et / ou les personnes concernées, le cas échéant, sur la gestion de leurs données à caractère personnel.

Lorsqu’Avaya est responsable du traitement des données, elle remplit ses obligations de transparence (e.g., les types de données à caractère personnel qu’elle recueille et détient ; la manière dont elle recueille et détient les données à caractère personnel, les finalités pour lesquelles les données sont recueillies, détenues, utilisées et divulguées ; etc.) par le biais de déclarations sur la protection des données à caractère personnel applicables ad hoc ; lorsqu’ Avaya est un sous-traitant des données, elle fournit des informations à ses clients (les responsables du traitement des données) afin que ceux-ci puissent satisfaire leurs obligations de transparence.

Sauf accord contraire ou énoncé dans une déclaration ou fiche d’information relative à la protection des données à caractère personnel plus spécifique, dans l’exercice normal de ses activités, Avaya transférera certaines données personnelles à l’étranger pour exploiter ses ressources internationales, y compris à des sociétés affiliées et des tiers de confiance, afin de fournir les solutions demandées ou conduire ses activités. Cela signifie que les données à caractère personnel fournies à Avaya, à la fois en tant que responsable du traitement des données ou en tant que sous-traitent des données, seront transférées à l’international. Cela inclut divers types de données à caractère personnel :

• les données à caractère personnel telles que les contacts professionnels et d’autres informations traitées par Avaya pour clôturer et administrer ses accords avec les clients, ainsi que les données à caractère personnel de ses propres employés.
• les données à caractère personnel requises dans le but de fournir ses solutions (généralement considéré comme « traitement pour le compte de », en vertu de diverses lois sur la protection des données à caractère personne).

Ces dernières résultent principalement d’accords contractuels conclus entre Avaya et ses clients et, en particulier, de leur utilisation individuelle (et de leurs saisies et contributions) des solutions fournies par Avaya. Ces données à caractère personnel comprennent généralement le nom, les coordonnées (société, fonction / poste, adresse e-mail, numéro de téléphone, adresse physique), les données de connexion, les données de localisation, les données d’enregistrement vidéo / des appels, et les métadonnées dérivées de ceux-ci, etc.

De plus amples informations concernant la protection des données à caractère personnel dans les solutions Avaya figurent dans les offres / descriptions de service, les déclarations de confidentialité/fiches d’informations relatives à la protection des données à caractère personnel dans les produits ou sur la page Protection des données à caractère personnel au sein de nos produits.

Quelle incidence la législation relative à la protection des données a-t-elle sur Avaya à l'échelle internationale ?

De nombreux pays / régions ont mis en place des lois régissant les transferts internationaux des données à caractère personnel Par exemple, la loi européenne sur la protection des données interdit le transfert des données à caractère personnel aux pays en dehors de l'Europe^[4] qui ne peuvent garantir un niveau approprié de protection des données, sauf si l'entité qui exporte met en place l'un des mécanismes contractuels ou juridiques prévus par la loi. Certains des pays dans lesquels Avaya exerce ses activités ne sont pas considérés par les autorités européennes de protection des données comme garantissant un niveau de protection adéquat des données à caractère personnel.

Que fait Avaya à ce sujet ?

Avaya doit prendre des mesures adéquates pour garantir que son traitement des données à caractère personnel à l'échelle internationale s’effectue de façon sécuritaire et légale. Avaya a mis en place des processus et des mesures de contrôle pour se conformer à ces exigences. Avaya a obtenu l’approbation des autorités européennes de protection des données et a adopté ses règles d’entreprise contraignantes, politiques relatives au responsable du traitement et au sous-traitant qui mettent en place un cadre afin de satisfaire les exigences légales en matière de protection des données (lesdites politiques et leurs annexes, e.g., la Procédure relative au droit des personnes concernées, la Procédure relative à la gestion des réclamations, la Procédure relative à la coopération, la Procédure relative à l’accès des données par les autorités de mise en application de la loi, etc., sont intégrées dans les présentes par référence et font partie intégrale de la présente politique). Un tel cadre s'applique à toutes les activités de traitement des données à caractère personnel réalisées par Avaya dans le monde entier.

Règles d'entreprise contraignantes d’Avaya : politique relative au responsable du traitement

Les normes décrites dans les présentes règles d'entreprise contraignantes d’Avaya (politique relative aux responsables du traitement) sont des normes internationales qui s'appliquent à tous les membres du groupe^[1] lors du traitement de toutes données à caractère personnel effectué dans le cadre des activités commerciales, de l'administration de l'emploi et de la gestion de la chaîne d'approvisionnement d’Avaya. Vous trouverez ci-dessous un résumé des principes de base et des engagements pratiques en matière de protection des données devant être respectés par Avaya lors du Traitement des Données à caractère personnel en tant que responsable du traitement. Ils sont décrits de manière détaillée dans la politique susmentionnée.

Principes de base

Principe 1 – Licéité du traitement

• Avaya fera en sorte que tout traitement soit effectué conformément aux lois applicables. 

Principe 2 – Équité et transparence

• Avaya s'engage à informer et à expliquer aux personnes concernées en quoi consiste le traitement de leurs données à caractère personnel, et ce au moment où celles-ci sont collectées.

Principe 3 – Finalité encadrée

• Avaya n'obtiendra et ne traitera les données à caractère personnel qu'aux fins connues par la personne concernée ou qui correspondent à ses attentes et sont pertinentes pour Avaya.
• Avaya ne traitera les données à caractère personnel qu'aux fins prévues, explicites et légitimes, en veillant à ne pas traiter lesdites informations de manière incompatible avec lesdites fins, à moins qu'un tel traitement supplémentaire ne soit conforme au droit applicable du pays dans lequel les données à caractère personnel ont été collectées.

Principe 4 – Minimisation et exactitude des données

• Avaya veillera à l'exactitude des données à caractère personnel et à leur mise à jour.
• Avaya ne traitera que les données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles celles-ci sont traitées.

Principe 5 – Conservation limitée des données à caractère personnel

• Avaya ne conservera les Données à caractère personnel qu’aussi longtemps que cela sera nécessaire aux fins nécessitant leur collecte et traitement.

Principe 6 – Sécurité, intégrité et confidentialité

• Avaya mettra en place des mesures techniques et organisationnelles adéquates afin d’assurer un niveau de protection des données à caractère personnel approprié au risque pour les droits et libertés des personnes.
• Avaya veillera à ce que ses prestataires de services adoptent également des mesures de sécurité adéquates et équivalentes.
• Avaya se conformera aux exigences en matière de notification des violations de la sécurité des données, conformément au droit applicable.

Principe 7 – Droits des personnes concernées

• Avaya se conformera à la procédure relative aux droits des personnes concernées et répondra à toute demande d'accès à leurs données à caractère personnel conformément au droit applicable.
• Avaya traitera également les requêtes pour rectifier ou effacer des données à caractère personnel, exercer le droit à la portabilité des données, limiter ou contester le traitement des données à caractère personnel conformément à la procédure relative aux droits des personnes concernées. 

Principe 8 – Assurer une protection adéquate pour les transferts transfrontaliers

• Avaya ne transférera pas de données à caractère personnel à des tiers en dehors de l'Europe sans assurer une protection adéquate.

Principe 9 – Sécuriser l'utilisation des données à caractère personnel sensibles

• Avaya traitera seulement les données à caractère personnel sensibles lorsque le consentement explicite de la personne concernée a été obtenu, sauf si Avaya dispose de motifs légitimes conformément au droit applicable du pays dans lequel les données à caractère personnel sont collectées.

Principe 10 – Légitimer le marketing direct

• Avaya permettra à ses clients de choisir ne plus recevoir d'informations marketing.

Principe 11 – Décisions individuelles automatisées incluant le profilage

• Avaya veillera à mettre en place des mesures de contrôle appropriées pour se conformer aux lois et politiques en vigueur relatives au droit des personnes concernées de ne pas faire l’objet d'une décision reposant uniquement sur un traitement automatisé, y compris le profilage, à moins que ledit traitement automatisé ne soit autorisé par la loi.

Principe 12 – Responsabilité

• Avaya réalisera une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’entraîner un risque élevé pour les personnes concernées.
• Avaya maintiendra des registres sur les activités de traitement des données qui relèvent de sa responsabilité.
• Avaya mettra en œuvre le respect de des données à caractère personnel dès la conception et le respect des données à caractère personnel par défaut pour les nouveaux systèmes et applications.

Engagements pratiques

Engagement 1 – Personnel et assistance

• Avaya disposera du personnel et de l’assistance appropriés afin d’assurer et de superviser la conformité en matière de protection des données à caractère personnel dans l’ensemble de l’entreprise.

Engagement 2 – Formation sur la protection des données à caractère personnel

• Avaya dispensera une formation appropriée sur la protection des données à caractère personnel aux employés qui ont un accès permanent ou régulier aux données à caractère personnel, qui sont impliqués dans le traitement des données à caractère personnel, ou dans le développement d’outils utilisés pour traiter les données à caractère personnel conformément au Programme de formation sur la protection des données à caractère personnel décrit à l’Annexe 4 de ses règles d’entreprise contraignantes, politique relative au responsable du traitement.

Engagement 3 – Audit

• Avaya vérifiera la conformité aux principes susmentionnés et effectuera régulièrement des audits relatifs à la protection des données conformément au Protocole d’audit décrit à l’Annexe 5 de ses règles d’entreprise contraignantes, politique relative au responsable du traitement.

Engagement 4 - Gestion des réclamations

• Avaya veillera à ce que les personnes concernées puissent exercer leur droit d’effectuer des réclamations et traitera de telles réclamations conformément à la Procédure relative à la gestion des réclamations décrite à l’Annexe 6 de ses règles d’entreprise contraignantes, politique relative au responsable du traitement.

Engagement 5 – Coopération avec les autorités de protection des données

• Avaya coopérera avec les autorités de protection des données pour tout problème lié aux règles d’entreprise contraignantes d’Avaya, politique relative au responsable du traitement, conformément à la procédure relative à la coopération décrite à l’Annexe 7 de ses règles d’entreprise contraignantes, politique relative au responsable du traitement.

Engagement 6 – Action lorsque la législation nationale empêche la conformité aux règles d’entreprise contraignantes d’Avaya, politique relative au responsable du traitement

• Avaya s’assurera que, lorsqu’elle estime que la législation applicable est susceptible d’empêcher la société d’honorer ses obligations conformément à ses règles d’entreprise contraignantes, politique relative au responsable du traitement, ou que ladite législation affecte grandement sa capacité à se conformer à ses règles d’entreprise contraignantes, politique relative au responsable du traitement, Avaya informera rapidement le responsable de la protection des données et l’entité européenne responsable en matière de protection des données, à moins que cela ne soit prohibé par les autorités chargées de faire respecter la loi.
• En cas de conflit entre la législation applicable et les règles d’entreprise contraignantes d’Avaya, politique relative au responsable du traitement, le responsable de la protection des données décidera des mesures à prendre et informera l’autorité de protection des données compétente en cas de doute.

Engagement 7 - Demandes de divulgation des données à caractère personnel émanant du gouvernement

• Si un membre du groupe Avaya reçoit une demande juridiquement contraignante de divulgation de Données à caractère personnel par une autorité chargée du respect de la loi ou une agence nationale de la sécurité soumise aux règles d’entreprise contraignantes, Politique relative au responsable du traitement d’Avaya, ce dernier doit se conformer à la procédure applicable en la matière décrite à l’Annexe 9 des règles d’entreprise contraignantes, Pplitique relative au responsable du traitement d’Avaya.
• En aucun cas les données à caractère personnel des membres du groupe Avaya ne seront transférées à une autorité chargée du respect de la loi, une agence nationale de la sécurité ou à une autre autorité gouvernementale de façon massive, disproportionnée et systématique au-delà de ce qui est nécessaire dans une société démocratique.

Règles d’entreprise contraignantes d’Avaya : politique relative au sous-traitant

Les standards décrits dans les règles d'entreprise contraignantes d’Avaya (politique relative au sous-traitant) sont des standards internationaux qui s'appliquent à tous les membres du groupe lors du traitement de données à caractère personnel pour le compte de et sous instruction d’un responsable du traitement des données qui n’est pas membre du groupe, e.g., dans le cadre de la fourniture d'un service à une entreprise cliente. Vous trouverez ci-dessous un résumé des principes de base et des engagements pratiques en matière de protection des données que doit respecter Avaya lors du traitement des données à caractère personnel en tant que Sous-traitant. Ils sont décrits de manière détaillée dans la politique susmentionnée.

Principes de base

Principe 1 – Licéité du traitement

• Avaya fera en sorte que tout traitement soit effectué conformément aux lois applicables.
• Avaya collaborera avec le responsable du traitement des données et, autant que faire se peut, aidera celui-ci à se conformer dans les meilleurs délais à ses obligations en vertu des lois en matière de protection des données en vigueur. 

Principe 2 – Équité et transparence

• Avaya aidera le responsable du traitement des données à se conformer à l'obligation d'informer les personnes concernées en leur fournissant des explications quant à la manière dont leurs données à caractère personnel sont traitées, conformément aux lois applicables.

Principe 3 – Finalité encadrée

• Avaya traitera les données à caractère personnel uniquement au nom du responsable du traitement des données et conformément aux instructions de ce dernier. 

Principe 4 – Minimisation et exactitude des données

• Avaya s'engage à aider le responsable du traitement des données à veiller à l'exactitude des données à caractère personnel et à leur mise à jour.

Principe 5 – Conservation limitée des données à caractère personnel

• Avaya ne conservera les données à caractère personnel qu’aussi longtemps que cela sera nécessaire conformément aux termes du contrat ou de tout autre document juridiquement contraignant conclu avec le responsable du traitement des données. 

Principe 6 – Sécurité et confidentialité

• Avaya mettra en œuvre des mesures techniques et organisationnelles afin de protéger les données à caractère personnel traitées au nom d'un responsable du traitement.
• Avaya informera le responsable du traitement de données dans les plus brefs délais de toute violation de la sécurité susceptible d'affecter les données à caractère personnel traitées pour le compte du responsable du traitement, conformément aux termes du contrat ou de tout autre document juridiquement contraignant conclu avec ledit responsable du traitement de données.
• Avaya s'engage à se conformer aux exigences du responsable du traitement de données quant à la nomination de tout sous-traitant ultérieur.
• Avaya veillera à ce que les sous-traitants externes ultérieurs s'engagent à respecter des dispositions qui correspondent i) aux termes du contrat ou à ceux de tout autre document juridiquement contraignant conclu entre Avaya et le responsable du traitement et ii) aux règles d’entreprise contraignantes d’Avaya, politique relative au sous-traitant, en particulier à ce que les sous-traitants ultérieurs adoptent des mesures de sécurité appropriées et équivalentes. 

Principe 7 – Droits des personnes concernées

• Avaya aidera les responsables du traitement de données à se conformer à leur devoir en matière de respect des droits des personnes.

Principe 8 – Responsabilité

• Avaya doit démontrer la conformité au responsable du traitement des données.
• Avaya conservera des registres sur les activités de Traitement des données qu’elle mène pour le compte d’un responsable du traitement des données.
• Avaya aidera le responsable du traitement des données à mettre en œuvre des outils de respect des données à caractère personnel dès la conception et par défaut.

Engagements pratiques

Engagement 1 – Personnel et assistance

• Avaya disposera du personnel et de l’assistance appropriés afin d’assurer et de superviser la conformité en matière de protection des données à caractère personnel dans l’ensemble de l’entreprise.

Engagement 2 – Formation sur la protection des données à caractère personnel

• Avaya dispensera une formation appropriée sur la protection des données à caractère personnel aux employés qui ont un accès permanent ou régulier aux données à caractère personnel, qui sont impliqués dans le traitement des données à caractère personnel, ou dans le développement d’outils utilisés pour traiter les données à caractère personnel conformément au programme de formation sur la protection de la vie privée décrit à l’Annexe 4 des règles d’entreprise contraignantes, politique relative au sous-traitant d’Avaya.

Engagement 3 – Audit

• Avaya vérifiera la conformité aux principes susmentionnés et effectuera régulièrement des audits relatifs à la protection des données conformément au Protocole d’audit décrit à l’Annexe 5 de ses Règles d’entreprise contraignantes, Politique relative au Responsable du traitement.

Engagement 4 – Gestion des réclamations

• Avaya veillera à ce que les personnes concernées puissent exercer leur droit d’effectuer des réclamations et traitera de telles réclamations conformément à la Procédure relative à la gestion des réclamations décrite à l’Annexe 6 de ses règles d’entreprise contraignantes, politique relative au responsable du traitement.

Engagement 5 – Coopération avec les autorités de protection des données

• Avaya coopérera avec les autorités de protection des données pour tout problème lié aux règles d’entreprise contraignantes d’Avaya, politique relative au sous-traitant conformément à la procédure relative à la coopération décrite dans l’Annexe 7 de ses règles d’entreprise contraignantes, politique relative au sous-traitant.

Engagement 6 – Action lorsque la législation nationale ne permet pas la conformité aux règles d’entreprise contraignantes d’Avaya, politique relative au sous-traitant

• Avaya s’assurera que, dans la mesure où Avaya estime que la législation qui lui est applicable peut empêcher la société d’honorer ses obligations conformément à ses règles d’entreprise contraignantes (politique relative au sous-traitant) ou à son contrat avec le Client, ou que ladite législation affecte grandement sa capacité à se conformer à ses règles d’entreprise contraignantes (politique relative au sous-traitant), Avaya informera rapidement (sauf lorsque cela est prohibé par la loi) :
  • le responsable du traitement des données tel que prévu par le Principe 2 ci-dessus (sauf lorsque cela est prohibé par une autorité chargée de l’application de la loi) ;
  • le responsable de la protection des données et l’entité européenne responsable en matière de protection des données ; et
  • l’autorité de protection des données appropriée, compétente en ce qui concerne le Responsable du traitement des données et Avaya.
• Avaya s’assurera que, si elle reçoit une demande juridiquement contraignante de divulgation des données à caractère personnel émanant d’une autorité chargée de l’application de la loi ou d’une agence nationale de la sécurité entrant dans le cadre de ses règles d’entreprise contraignantes, politique relative au sous-traitant, Avaya :
  • notifiera rapidement le responsable du traitement des données, sauf en cas d’interdiction émanant d’une autorité chargée de l’application de la loi ; et
  • mettra la requête en attente et notifiera l’autorité principale en matière de protection des données et l’autorité de protection des données compétente appropriée, sauf en cas d’interdiction de la part d’une autorité chargée de l’application de la loi ou d’une agence nationale de la sécurité.

Procédure de mise à jour de la politique

Avaya se réserve le droit de changer, modifier ou de mettre à jour la présente politique à tout moment. Nous vous prions de consulter fréquemment cette politique pour toute mise à jour.

Autres informations

Si vous avez des questions concernant les termes de cette politique, vos droits en vertu de cette politique ou des questions sur la protection des données, vous pouvez contacter le bureau de la confidentialité d'Avaya.

Mise à jour : mars 2023

¹ « Avaya » comprend Avaya LLC (350 Mt. Kemble Avenue, Morristown, NJ 07960, USA) et ses sociétés affiliées désignées (« Membres du groupe »), la liste détaillée de ces sociétés affiliées désignées est incorporée dans les règles d'entreprise contraignantes d’Avaya : politiques relatives aux responsables du traitement et aux sous-traitants par référence .

² « Traitement » désigne toute opération ou tout ensemble d'opérations effectuée(s) sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, par le biais de moyens automatisés ou non, comme la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre opération de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.

³ Le terme « données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable ((ci-après désignée la « personne concernée »). Une personne physique identifiable est une personne pouvant être identifiée, directement ou indirectement, en particulier par un élément d'identification tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou par d'autres critères propres à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de ladite personne physique.

⁴ Aux fins de la présente politique, la référence à l'Europe désigne l'Espace économique européen et la Suisse.