Beruflich Dokumente
Kultur Dokumente
Notre devise: Des voitures, des services et une protection de la vie prive hors pair Nos dfis: Les souhaits et exigences de nos clients Une sensibilit accrue de nos clients Une rglementation htrogne de la protection des donnes La protection des donnes lors du transfert international de donnes Un niveau de protection des donnes adquat lchelon du groupe Une image de marque homogne sur le march Un systme de gestion intgratif de la protection et de la scurit des donnes Nos solutions: Une approche globale Un niveau de protection des donnes adquat grce une autorgulation La protection des donnes comme avantage qualitatif et concurrentiel Lorganisation interne de la protection des donnes Lapplication interne de la lgislation Lintgration de la protection et de la scurit des donnes au niveau des produits produits et des prestations de services
Sommaire
I. II. III. IV. V. VI. VII. VIII. IX. X. Objectif du code de conduite Champ d'application Validit du droit national Principes relatifs au traitement des donnes personnelles Types de donnes personnelles particuliers Information et consentement des personnes concernes Droits des personnes concernes Confidentialit du traitement Principes relatifs la scurit des donnes Donnes Marketing/Traitement des donnes sur commande/ Implication de tiers dans les processus de travail XI. XII. XIII. Tlcommunication et Internet Remde/Sanctions/responsabilits Le dlgu du groupe charg de la protection des donnes Dfinitions 9 10 10 10 13 5 5 5 6 6 7 8 8 9
Pour une entreprise globale telle que Daimler, la technologie d'information et de communication moderne constitue une composante essentielle des processus oprationnels. Une utilisation inadquate ou abusive de cette technologie peut entraner une violation des droits de la personnalit. Dans le cadre de la mise en place de la socit d'information, l'un de nos objectifs doit donc consister placer la protection des droits de la personnalit au centre de nos proccupations. La perfection du service, l'une des priorits de notre entreprise, nous impose galement de rpondre aux exigences de nos clients et partenaires contractuels en matire de protection des donnes. Conscientes de cette responsabilit, Daimler AG et les socits rattaches au groupe s'engagent respecter le prsent Code de conduite l'chelon du groupe.
Le prsent Code de conduite ne formule que des rserves considres comme absolument ncessaires au respect des exigences issues des lois nationales en matire de circulation internationale des donnes.
Le traitement de certains types de donnes personnelles est par ailleurs autoris pour permettre une personne de faire valoir, d'exercer ou de dfendre ses droits notamment dans le cadre d'un procs ds lors qu'il n'existe aucune raison de penser que l'intrt lgitime de l'intress exclure tout traitement ou toute utilisation des donnes le concernant est prpondrant. Dans tout autre cas, la personne concerne devra avoir expressment consenti au traitement de ces donnes.
La transparence pourra tre obtenue par le biais d'un message individuel ou d'une information gnrale. L'intress devra tre inform du fait qu'il dispose de droits d'information et de rectification de ses donnes personnelles. Avant le premier courrier mis des fins de publicit directe, il faudra lui indiquer qu'il peut faire valoir un droit d'opposition tout traitement de ces donnes des fins de marketing direct. 2. Relation hors lien contractuel En l'absence de lien (pr)contractuel, le consentement de la personne concerne par la collecte et le traitement de donnes personnelles devra tre sollicit ds lors que la lgalit de la collecte ou du traitement ne dcoulera pas du droit national. La mme disposition s'appliquera pour un traitement ou une utilisation ultrieure des donnes des fins diffrentes de celles initialement prvues pour la collecte. Avant toute demande de consentement, il faudra informer de faon correspondante la personne concerne selon la procdure mentionne l'art. VI al. 1 du prsent Code de conduite. Il faudra obtenir rgulirement le consentement crit des collaborateurs concerns pour des raisons lies la production ultrieure de preuves. S'il s'agit par exemple d'une demande de consentement en rapport avec la conclusion d'un contrat de vente, la clause contractuelle incluant le consentement devra figurer bien en vidence sur le formulaire du contrat de vente. La dclaration de consentement devra spcifier l'tendue et la finalit du traitement des donnes. Dans certaines circonstances particulires telles qu'une prestation de conseil tlphonique, le consentement pourra tre exceptionnellement accord par oral. Pour la formulation de dclarations de consentement transmettre en ligne, il faudra respecter les normes relatives la protection des donnes et la qualit des applications e-business disponibles l'adresse suivante : http://cdp.intra.corpintra.net ou les autres directives de travail respectivement en vigueur. 3. Echange de donnes avec des tiers / Acquisition de donnes De manire gnrale, les donnes personnelles devront tre collectes auprs de la personne concerne elle-mme. Ds lors que les donnes auront t collectes auprs de tiers ou transmises par des tiers, il conviendra de s'assurer que la personne concerne aura t ou sera informe avant le premier contact conformment aux dispositions de l'art. VI al. 1 du prsent Code de conduite.
Les demandes de solvabilit requirent un consentement pralable. Dans le cas de l'acquisition de donnes, il conviendra de s'assurer que ces donnes auront bien t collectes selon les rgles du droit en vigueur. 4. Echange de donnes au sein du groupe Ds lors qu'une socit du groupe indpendante sur le plan juridique transmettra des donnes personnelles une autre socit du groupe, il s'agira d'une transmission un tiers, ce qui impliquera dans un tel cas interne l'application des dispositions de l'article VI alinas 1 et 2 du prsent Code de conduite, autrement dit, la transmission ne pourra s'effectuer sans lgitimation pralable. Pour les transmissions de donnes des tiers n'appartenant pas au groupe Daimler, il faudra appliquer les dispositions de l'article VI alinas 1 et 2, ainsi que celles de l'article X alina 5 du prsent Code de conduite.
Pour ce qui est des serveurs, les mesures de scurit physiques et infrastructurelles mises en place comprennent un contrle d'accs (avec des autorisations d'accs diffrencies), des systmes de verrouillage et des mesures de protection contre l'incendie. Tous les postes de travail sont protgs par un mot de passe. Le rseau propre l'entreprise (Corporate Network) est protg par des systmes Firewall contre l'intrusion de tiers externes non autoriss, notamment via Internet. La transmission des donnes personnelles hors du rseau de l'entreprise (Corporate Network) s'effectue de faon code. Toute divergence par rapport ce principe devra tre justifie auprs du service Protection des donnes. Une protection d'accs concernant les personnes et les applications est prvue en vue de protger les donnes personnelles enregistres dans les banques de donnes. Ces mesures d'ordre organisationnel et technique sont intgres dans un systme de gestion de la protection des donnes et de la scurit rgissant les responsabilits de chacun.
X. Donnes marketing/Traitement des donnes sur commande/Implication de tiers dans les processus de travail
Il arrive souvent que des tiers externes soient intgrs dans les processus de travail. Ds lors qu'une socit de notre groupe agira en qualit de donneur d'ordre ou de preneur d'ordre dans le cadre d'une relation contractuelle lie une commande, et/ou ds lors que d'autres tiers seront impliqus dans le traitement ou l'utilisation de donnes personnelles, il faudra respecter les rgles suivantes: 1. Il ne faudra slectionner qu'un donneur d'ordre/tiers capable de garantir une protection maximale en satisfaisant aux critres techniques et organisationnels indispensables au traitement. 2. La mise en uvre du traitement (sur commande) devra tre rglemente dans un document contractuel crit ou de toute autre faon correspondante. Les clauses contractuelles pourront tre obtenues auprs du dlgu du groupe charg des questions de protection des donnes qui pourra si ncessaire proposer une prestation de conseil. 3. Le donneur d'ordre demeurera l'interlocuteur des clients, sous-traitants, consultants et autres partenaires contractuels susceptibles de faire valoir leurs droits. 4. Les tiers externes chargs de la mise en uvre de certaines tches lies au traitement des donnes ou de toute autre opration, notamment dans le domaine du marketing et des tudes de march ou d'opinion, devront s'engager sur le plan contractuel ne traiter et n'utiliser les donnes personnelles reues du donneur d'ordre que dans le cadre de l'ordre qui leur aura t attribu. L'utilisation de donnes des fins personnelles ou pour le compte de tiers sera proscrire par contrat. 5. Les autres cooprations engages avec des tiers dans le cadre desquelles des donnes personnelles seront transmises ces mmes tiers ou dont l'accs leur sera accord de toute autre faon, impliqueront galement que ces tiers s'engagent garantir un niveau de protection et de scurit des donnes conforme aux exigences du prsent Code de conduite. 6. Il faudra galement respecter toute opposition de la personne concerne son association des oprations marketing ou d'enqutes d'opinion (voir article VII alina 4 du prsent Code de conduite) dans le cas d'une implication de tiers et de les transmettre le cas chant aux tiers internes et externes impliqus.
XII. Remde/sanctions/responsabilits
Les socits de notre groupe s'engageront, en qualit de responsables du traitement des donnes, garantir aux personnes concernes le respect des exigences relatives la protection des donnes. Ds lors qu'un besoin de formation sera identifi, il sera possible de solliciter l'assistance du service Protection des donnes. Les collaborateurs chargs du traitement des donnes personnelles doivent savoir que dans de nombreux Etats, les infractions la rglementation relative la protection des donnes sont passibles de poursuites pnales et peuvent donner droit des dommages-intrts. Les actes illicites dont les collaborateurs pourront tre jugs responsables entraneront de manire gnrale des sanctions sur le plan du droit du travail conformment au droit national en vigueur. Ds lors que des donnes personnelles seront transmises par une socit du groupe base dans l'UE/EEE une socit du groupe implante dans un Etat tiers, le dlgu du groupe charg des questions de protection des donnes et la socit importatrice de donnes s'engageront rpondre toutes les demandes du service de contrle comptent de l'Etat dans lequel est bas le service exportateur de donnes, cooprer avec celui-ci et respecter les conclusions du service de contrle concernant le traitement des donnes transmises. Dans le cas d'une infraction au prsent Code de conduite commise par une socit du groupe importatrice de donnes base dans un Etat tiers et constate par la personne concerne, la socit du groupe exportatrice de donnes et implante dans l'UE/EEE sera tenue d'assister la personne concerne dont les donnes auront t collectes dans l'UE/EEE tant dans l'claircissement des faits reprochs que dans l'exercice de ses droits selon l'article VII du prsent Code de conduite l'encontre de la socit du groupe importatrice des donnes. Par ailleurs, la personne concerne pourra lgitimement faire valoir ses droits rsultant de l'article VII l'encontre de la socit du groupe exportatrice des donnes en question.
10
des requtes, des demandes de renseignements ou des recours en rapport avec la protection ou la scurit des donnes. Les demandes et les recours seront traits avec la plus grande confidentialit. Si le coordinateur comptent pour toutes les questions de protection des donnes ne peut apporter une solution dans le cas d'un recours ou d'une infraction au prsent Code de conduite, il sera tenu de solliciter l'intervention du dlgu du groupe. Les dcisions du dlgu du groupe visant rgler le contentieux portant sur la violation de la protection des donnes devront tre respectes par les diffrentes directions.
Le dlgu de groupe et ses collaborateurs sont joignables l'adresse suivante: Daimler AG, Konzernbeauftragter fr den Datenschutz, HPC 0624, D-70546 Stuttgart, Tel. +49-(0)71 1-17-9 77 27, Fax +49-(0)71 1-17-9 7699, e-Mail: joachim.riess@daimler.com dans Intranet sous http://cdp.intra.corpintra.net
11
Dfinitions
Les personnes concernes au sens du prsent Code de conduite dsignent toutes les personnes avec lesquelles existe ou est prvue une relation contractuelle, ce qui inclut donc les prospects ou clients potentiels, pour autant, bien entendu, que des donnes personnelles ont t collectes sur ces personnes. Les donnes personnelles dsignent toutes les informations concernant une personne physique dtermine ou dterminable. Une personne est dterminable lorsque la rfrence la personne peut notamment tre tablie grce une combinaison d'informations factuelles et seulement quelques connaissances supplmentaires fortuites du charg de dossier respectif. Le traitement de donnes personnelles dsigne tout processus mis en uvre avec ou sans l'aide de procds automatiss permettant la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation, la modification, la consultation, l'utilisation, la transmission, la diffusion ou la combinaison et la comparaison de donnes. Cela comprend galement le blocage, la suppression et l'limination de ces donnes. Les donnes ont t anonymises lorsque personne ne peut plus durablement tablir de lien avec une personne prcise ou que le lien avec la personne initiale ne peut tre restaur qu'au prix d'efforts dmesurs en terme de temps, de cots et de main-d'uvre. Dans le cas de donnes pseudonymises, le nom et les autres signes d'identification ont t remplacs par un pseudonyme en vue d'exclure ou de considrablement compliquer toute identification de la personne concerne. Sera dsigne comme responsable du traitement des donnes (service responsable) l'externe, notamment l'gard des clients du groupe ou d'autres partenaires contractuels, la socit juridiquement indpendante du groupe Daimler dont le secteur d'activit aura initi la mise en uvre de la mesure de traitement concerne. A l'interne, une structure purement organisationnelle et hirarchique tablira les responsabilits de chaque collaborateur dans la garantie de la rgularit du traitement des donnes. Les chargs de traitement dsignent toute personne physique ou morale effectuant le traitement de donnes personnelles (en qualit de preneur d'ordre) la demande d'un responsable (ou donneur d'ordre). Outre les prestataires de services dans le domaine marketing, il conviendra notamment de ranger dans cette catgorie les exploitants de centres de calcul. Le tiers dsigne toute personne physique ou morale, ou tout organisme public qui ne peut tre rang parmi les responsables du traitement des donnes. Les non tiers sont donc les chargs de traitement ou les collaborateurs du responsable pour autant que les donnes personnelles concernes relvent bien de leur domaine de comptence. La transmission des donnes dsigne toute mesure de communication un tiers qui n'appartient pas au domaine de responsabilit du responsable du traitement des donnes. Le consentement dsigne toute manifestation de volont par laquelle une personne concerne se dclare, en toute connaissance de cause et sans y avoir t manifestement contrainte, favorable un traitement des donnes personnelles la concernant. Le droit d'opposition (droit opt-out) signifie que la personne concerne est en droit de s'opposer l'utilisation de ses donnes personnelles des fins de marketing ou d'tudes de march et d'opinion.
12