1. Employés, personnel temporaire, candidats, entrepreneurs indépendants et stagiaires : pour les processus de gestion des ressources humaines et du personnel, qui peuvent couvrir tout type de traitement, et comprennent le recrutement, la planification des effectifs, la gestion de la formation et de la performance, la rémunération et les avantages sociaux, la gestion des congés et des avantages, la distribution des bulletins de salaire, la gestion des informations et des compétences des employés, les sondages auprès des employés, les entretiens et processus de départ, ainsi que la santé et la sécurité. Ce traitement couvre les données à caractère personnel des RH, y compris, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance) ; la formation, l’expérience professionnelle et les affiliations (par ex., éducation et formation, langues, appartenance syndicale) ; les déplacements et les frais de l’employé (par ex., réservations de voyage, exigences alimentaires, passeports et visas) ; la famille, le mode de vie et les conditions sociales (par ex., état civil, coordonnées en cas d’urgence, religion ou convictions religieuses) ; les données RH élémentaires (par ex., titre, rôle, lieu de travail, date d’embauche) ; la santé, le bien-être et les absences (par ex., motif d’absence, handicap, accessibilité, besoins spéciaux) ; la formation et la performance de l’employé (par ex., mesure disciplinaire, évaluation du rendement, enregistrement d’appel) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale, paiement de primes) ; les données photographiques, vidéo et de localisation (par ex., images de vidéosurveillance, données d’accès) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, permis de travail) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité) ; l’accès au système (par ex., journaux d’accès, informations de suivi) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité).

Clients : pour la gestion de la relation avec le client, qui peut couvrir tout type de traitement, et comprend le développement de nouvelles relations commerciales, les ventes, le marketing, la négociation de contrats, les études de marché, la gestion des relations commerciales existantes, la facturation, les services aux clients, le traitement des demandes et l’acquittement des obligations juridiques et réglementaires. Ce traitement couvre les données à caractère personnel des clients, y compris, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet) ; les données photographiques, vidéo et de localisation (par ex., images de vidéo surveillance) ; les contrôles d’identification et d’antécédents (par ex., extrait du casier judiciaire, vérification de solvabilité) ; l’accès au système (par ex., journaux d’accès, informations de suivi) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité).

Toute autre partie : pour garantir toute autre opération commerciale, qui peut couvrir tout type de traitement, et comprend la gestion des fournisseurs et des distributeurs, la conformité, le signalement, la diligence raisonnable, la gestion des bâtiments et des installations, l’informatique, les enquêtes auprès des clients, et l’acquittement des obligations juridiques et réglementaires. Ce traitement couvre les données à caractère personnel des tiers, y compris, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet) ; les activités commerciales (par ex., biens ou services fournis) ; les données financières (par ex., compte bancaire) ; les données photographiques, vidéo et de localisation (par ex., images de vidéo surveillance) ; les contrôles d’identification et d’antécédents (par ex., extrait du casier judiciaire) ; l’accès au système (par ex., journaux d’accès, informations de suivi) ; les identifiants du compte (par ex., nom d’utilisateur, mot de passe, questions de sécurité).

Les sociétés de TP s’appuieront toujours sur une base juridique pour traiter vos Données à caractère personnel et vos Données sensibles, conformément aux lois locales et règlements applicables.

Lorsque le Traitement de vos Données à caractère personnel est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU, les sociétés de TP s’appuieront sur l’un des motifs suivants :

• Vous avez donné votre consentement au traitement de vos données à caractère personnel pour une ou plusieurs finalités spécifiques.
• Le traitement est nécessaire à l’exécution d’un contrat entre vous et le responsable du traitement des données, ou afin de prendre des mesures précontractuelles à votre demande.
• Le traitement est nécessaire au respect d’une loi ou d’un règlement en vigueur dans un pays de l’EEE/RU à laquelle/auquel la société de TP est assujettie.
• Le traitement est nécessaire à la sauvegarde de vos intérêts vitaux ou de ceux d’une autre personne physique.
• Le traitement est nécessaire à la réalisation d’une mission d’’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi la société de TP ou le tiers auquel vos données à caractère personnel sont communiquées.
• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par la société de TP ou par le tiers auquel vos données à caractère personnel sont communiquées, sauf lorsque vos intérêts ou les droits et libertés fondamentaux prévalent sur ces intérêts.

Lorsque le Traitement de vos données sensibles est assujetti aux lois et règlements en vigueur dans les pays de l’EEE/RU, les sociétés de TP s’appuieront sur l’un des motifs suivants :

• Vous avez donné votre consentement explicite au traitement de vos données sensibles pour une ou plusieurs finalités spécifiques, sauf si cela est interdit par les lois et règlements applicables à la société de TP dans un pays de l’EEE/RU.
• Le traitement est nécessaire aux fins d’exécuter vos obligations et vos droits spécifiques ou ceux de la société de TP dans le domaine du droit du travail, de la Sécurité sociale et du droit de la protection sociale, et dans la mesure où cela est autorisé par les lois et règlements applicables à la société de TP dans un pays de l’EEE/RU, dont les lois et règlements fournissent des garanties appropriées.
• Le traitement est nécessaire à la protection de vos intérêts vitaux ou de ceux d’une autre personne, chaque fois que vous êtes dans l’incapacité physique ou juridique de donner votre consentement.
• Le traitement est réalisé dans le cadre des activités légitimes, avec des garanties appropriées, par une fondation, association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, et à condition que le traitement se rapporte aux seuls membres de l’organisme ou aux personnes entretenant entretenant avec lui des contacts réguliers liés à sa finalité et que vos données à caractère personnel ne soient pas communiquées à des tiers sans votre consentement.
• Le traitement se rapporte à des données à caractère personnel que vous avez manifestement rendues publiques.
• Le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice, ou à l’exercice de la fonction juridictionnelle d’un tribunal.
• Le traitement de vos données sensibles est nécessaire aux fins de la médecine préventive ou du travail, de l’évaluation de la capacité de travail de l’employé, des diagnostics médicaux, de la prestation de soins de santé et sociaux ou de traitements, ou de la gestion des systèmes et services de santé et sociaux en fonction des lois et règlements en vigueur dans les pays de l’EEE/RU, et lorsque ces données sensibles sont traitées conformément au contrat avec un professionnel de santé soumis à l’obligation de secret professionnel en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU, ou par une autre personne également soumise à une obligation équivalente de secret.

En ce qui concerne le Traitement de vos Données à caractère personnel liées aux condamnations et infractions pénales ou aux mesures de sécurité soumises aux lois et règlements en vigueur dans les pays de l’EEE/RU, les sociétés de TP ne traiteront ces Données à caractère personnel que sous le contrôle d’une autorité publique, ou lorsque le Traitement est autorisé par les lois et règlements en vigueur dans les pays de l’EEE/RU prévoyant les garanties appropriées en ce qui concerne vos droits et libertés.

Lorsqu’un Traitement se fonde sur votre consentement, les sociétés de TP :

• s’assureront que votre consentement est spécifique, éclairé et volontaire, et qu’il constitue une indication sans équivoque que vous souhaitez (par une déclaration ou une action affirmative claire) accepter le traitement ;
• s’assureront que vous pouvez retirer facilement votre consentement à tout moment, et que vous êtes informé(e) de cette possibilité avant de donner votre consentement ; mettront en œuvre et maintiendront des processus pour enregistrer l’accord et le retrait de votre consentement ;
• s’assureront que votre consentement, s’il est donné dans le cadre d’une déclaration écrite comprenant également d’autres questions, est présenté d’une manière qui le distingue clairement des autres questions, sous une forme intelligible, en utilisant un langage simple et clair.

Avant de collecter des Données à caractère personnel, les sociétés de TP vous fourniront toutes les informations exigées par les lois et règlements en vigueur, et au moins l’identité et les coordonnées du Responsable du traitement des données et de ses représentants, le cas échéant ; les finalités du Traitement ; les destinataires ou catégories de destinataires de vos Données à caractère personnel ; et l’existence de vos droits d’accès et de rectification sur vos Données à caractère personnel.

En outre, les sociétés de TP vous fourniront les informations indiquées ci-dessous par écrit ou par d’autres moyens, y compris, le cas échéant, sous forme électronique.  Ces informations seront fournies de manière concise, transparente et facilement accessible, en utilisant un langage simple et clair, et comprendront :

• les coordonnées du SVPP et/ou du DPD, le cas échéant ;
• la base juridique du traitement ;
• les intérêts légitimes poursuivis par la société de TP ou par un tiers, lorsque ces intérêts fournissent la base juridique du traitement ;
• en cas de transfert vers des pays situés en dehors de l’EEE/RU, le fait que la société de TP ait l’intention de transférer vos données à caractère personnel vers des pays situés en dehors de l’EEE/RU, les mesures adoptées pour protéger vos données à caractère personnel transférées, et les moyens par lesquels vous pouvez en obtenir un exemplaire ou connaître l’endroit où elles sont disponibles ;
• la durée de conservation de vos données à caractère personnel, à défaut, les critères utilisés pour déterminer cette durée ;
• l’existence de vos droits :
  • d’accès et d’effacement concernant vos données à caractère personnel, de restriction du traitement, de portabilité des données et d’opposition au traitement ; ce droit d’opposition sera porté de façon explicite à votre attention, clairement et séparément de toute autre information, lorsque le traitement se fonde sur les intérêts légitimes du responsable du traitement des données, ou lorsque vos données à caractère personnel sont traitées à des fins de marketing direct,
  • de retrait du consentement à tout moment lorsqu’il fournit la base juridique du traitement de vos données à caractère personnel ou de vos données sensibles ; ce retrait n’affectera pas la légalité du traitement effectué avant votre demande de retrait de votre consentement,
  • de déposer une plainte pertinente auprès des APD de L’EEE/RU ;
• Si la fourniture de vos données à caractère personnel est une exigence statutaire ou contractuelle, ou une exigence pour conclure un contrat, et si vous êtes obligé(e) de fournir vos données à caractère personnel et les conséquences possibles si vous ne les fournissez pas ;
• l’existence d’une prise de décision automatique, y compris le profilage, et des informations utiles sur la logique utilisée, ainsi que la signification et les conséquences envisagées de ce traitement pour vous.

Les sociétés de TP qui ont l’intention de traiter vos Données à caractère personnel à des fins autres que la finalité initiale vous informeront, avant d’effectuer le Traitement, de ces autres fins et de toute autre information importante comme indiqué ci-dessus.

Lorsque vos Données à caractère personnel ne sont pas obtenues directement auprès de vous, vous recevrez les informations indiquées dans l’Article 1.2.2.1 ci-dessus, ainsi que les catégories des Données à caractère personnel concernées, la source de vos Données à caractère personnel, et si celles-ci proviennent de sources accessibles au public.

Si vous n’avez pas encore reçu ces informations, vous les recevrez sous un mois à compter de l’obtention de vos Données à caractère personnel, eu égard aux circonstances spécifiques dans lesquelles vos Données à caractère personnel sont traitées, ou, si vos Données à caractère personnel doivent être utilisées pour communiquer avec vous, au plus tard au moment de la première communication avec vous, ou, si une divulgation à un tiers est envisagée, au plus tard au moment où vos Données à caractère personnel sont communiquées.

Ces informations ne sont pas nécessaires s’il s’avère impossible de les fournir ou si cela demande un effort disproportionné, si leur collecte ou leur divulgation est explicitement demandée par les lois et règlements en vigueur, ou si vos Données à caractère personnel doivent rester confidentielles en application d’une obligation de secret professionnel exigée par les lois et règlements en vigueur dans les pays situés dans l’EEE/RU.

Les sociétés de TP qui ont l’intention de traiter vos Données à caractère personnel à des fins autres que la finalité initiale vous informeront, avant d’effectuer le Traitement, de ces autres fins et de toute autre information importante comme indiqué ci-dessus.

Lorsque les lois et règlements en vigueur l’exigent, tout signalement ou enregistrement auprès d’une APD sera réalisé par les sociétés de TP.

Une version publique à jour de la présente Politique et une liste à jour des sociétés de TP liées par celle-ci seront rendues aisément accessibles pour vous sur le site internet du Groupe https://teleperformance.com/en-us/data-privacy-information-and-inquires/.

Les sociétés de TP ne collecteront vos Données à caractère personnel que pour une ou plusieurs finalités spécifiques, explicites et légitimes, et ne les traiteront pas ultérieurement de manière incompatible avec ces finalités.

Vos Données à caractère personnel seront adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

Il vous incombe d’informer Teleperformance de toute inexactitude ou mise à jour de vos Données à caractère personnel. Néanmoins, Teleperformance s’efforcera raisonnablement de garantir que ses bases de données sont aussi précises et à jour que possible, notamment en supprimant vos Données à caractère personnel inexactes.

Vos Données à caractère personnel ne seront pas conservées plus longtemps que nécessaire, et la conservation se fera conformément aux règles suivantes :

• La durée pendant laquelle vos données à caractère personnel sont conservées sera révisée périodiquement.
• Cette durée de conservation sera adéquate pour les finalités du traitement, et vos données à caractère personnel ne seront pas conservées une fois ces finalités atteintes.

Lorsqu’elles ne sont plus nécessaires, vos données à caractère personnel seront supprimées ou rendues anonymes d’une manière sûre garantissant une protection contre tout accès illicite et injustifié.

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous accorderont le droit d’accéder à vos Données à caractère personnel traitées par les sociétés de TP.

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous permettront également de corriger, sans retard excessif, vos Données à caractère personnel lorsque celles-ci sont incomplètes ou inexactes, y compris en fournissant une déclaration supplémentaire.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’accès, de rectification, d’effacement et d’opposition.

Vous aurez accès aux informations suivantes :

• la confirmation que vos données à caractère personnel sont traitées par la société de TP ;
• l’explication des finalités du traitement, les catégories de données à caractère personnel et les destinataires ou catégories de destinataires à qui vos données à caractère personnel sont communiquées (en particulier les destinataires dans les pays situés en dehors de l’EEE/RU) et les garanties appropriées apportées à ces transferts ;
• dans la mesure du possible, la durée de conservation de vos données à caractère personnel, et à défaut, les critères utilisés pour déterminer cette durée ;
• la communication de vos données à caractère personnel faisant ou ayant fait l’objet du traitement, et toutes les informations disponibles sur leur source lorsque vos données à caractère personnel ne sont pas obtenues auprès de vous ;
• l’existence de votre droit de demander à la société de TP la rectification ou l’effacement de vos données à caractère personnel, ou la restriction du traitement de vos données à caractère personnel, ou de s’opposer à ce traitement ;
• le droit de déposer une plainte auprès d’une APD pertinente de l’EEE/RU ;
• lorsque la société de TP prend des décisions fondées uniquement sur le traitement automatique de vos données à caractère personnel, y compris le profilage, des informations utiles sur la logique utilisée dans ce traitement automatique, ainsi que la signification et les conséquences envisagées de ce traitement pour vous.

Les sociétés de TP ne peuvent rejeter une demande d’accès que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP vous permettront de demander l’effacement de vos Données à caractère personnel sans retard excessif si l’une des situations suivantes se présente :

• Vos données à caractère personnel ne sont plus nécessaires aux effets pour lesquelles elles ont été collectées ou traitées.
• Vous retirez votre consentement sur lequel le traitement est fondé, et il n’existe aucune autre base juridique du traitement.
• Vous vous opposez au traitement effectué en fonction des intérêts légitimes du responsable du traitement des données lorsqu’il n’existe aucune raison légitime première pour le traitement, ou vous vous opposez au traitement à des fins de marketing direct.
• Vos données à caractère personnel ont été traitées illicitement.
• Vos données à caractère personnel seront supprimées conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti.

Lorsque vos Données à caractère personnel faisant l’objet de la demande d’effacement ont été rendues publiques par la société de TP agissant en tant que Responsable du traitement des données, celle-ci informera, eu égard à la technologie disponible et au coût de mise en œuvre, les autres Responsables du traitement des données qui traitent vos Données à caractère personnel de votre demande de supprimer tout lien ou exemplaire de ces Données à caractère personnel.

Les sociétés de TP ne peuvent rejeter votre demande d’effacement que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque l’effacement de vos Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.
• Le traitement est nécessaire à (i) l’exercice du droit de liberté d’expression et d’information ; (ii) au respect d’une obligation légale exigeant le traitement en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti ; ou (iii) à la constatation, à l’exercice ou à la défense d’un droit en justice.

Vous avez le droit de vous opposer à tout moment au Traitement de vos Données à caractère personnel basé sur les intérêts légitimes de la société de TP, y compris le profilage, à moins que le Traitement ne soit autorisé par des lois et règlements en vigueur dans les pays de l’EEE/RU.  Lorsque l’opposition est justifiée, le Traitement sera interrompu, à moins que les sociétés de TP ne puissent démontrer des motifs impérieux et légitimes de continuer le Traitement, qui l’emportent sur vos intérêts, vos droits et vos libertés, ou que le traitement est nécessaire à  la constatation, l’exercice ou la défense d’un droit en justice.

En outre, vous avez le droit de vous opposer à tout moment, sur demande et gratuitement, au Traitement de vos Données à caractère personnel à des fins de marketing direct (y compris le profilage, dans la mesure où il est lié au marketing direct).  Ce traitement cessera dès que raisonnablement possible.

Les sociétés de TP ne peuvent rejeter une demande que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• La demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la supression des Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Vous avez le droit de restreindre le Traitement de vos données à caractère personnel, et de demander de geler leur Traitement en conséquence, si l’une des situations suivantes se présente :

• Vous contestez l’exactitude de vos données à caractère personnel, pendant un délai permettant à la société de TP agissant en tant que responsable du traitement des données de vérifier l’exactitude de ces données.
• Le traitement est illicite et vous vous opposez à l’effacement de vos Données à caractère personnel et demandez à la place la limitation de leur utilisation.
• La société de TP agissant en tant que responsable du traitement des données n’a plus besoin de vos données à caractère personnel aux fins du traitement, mais vous en avez besoin pour la constatation, l’exercice ou la défense d’actions en justice.
• Vous vous êtes opposé(e) au traitement basé sur les intérêts légitimes du responsable du traitement des données, et il reste à vérifier si les motifs légitimes du responsable du traitement des données l’emportent sur les vôtres.

Lorsque le traitement est limité, les sociétés de TP peuvent traiter vos Données à caractère personnel, à l’exception du stockage, seulement :

• avec votre consentement ;
• pour la constatation, l’exercice ou la défense d’actions en justice ;
• pour la protection des droits d’une autre personne physique ou morale ; ou
• pour des motifs d’intérêt public importants comme défini dans les lois et règlements en vigueur dans les pays de l’EEE/RU.

Lorsque des sociétés de TP ont limité le Traitement à votre demande, elles vous informeront de cette limitation du Traitement avant qu’elle ne soit levée.

Les sociétés de TP ne peuvent rejeter une demande de limitation que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de limitation.

Lorsque le Traitement se fonde sur votre consentement ou un contrat, et est réalisé de manière automatisée, vous avez le droit de demander à :

• recevoir les données à caractère personnel que vous avez fournies à la société de TP agissant en tant que responsable du traitement des données, sous un format structuré, couramment utilisé et lisible par des machines ;
• transmettre vos données à caractère personnel à un autre responsable du traitement des données sans entraves du responsable du traitement des données initial, ou les faire transmettre directement d’un responsable du traitement des données à un autre, lorsque cela est techniquement possible.

Les sociétés de TP ne peuvent rejeter une demande de portabilité que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vous identifier.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction des données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Votre demande de portabilité de vos Données à caractère personnel est sans préjudice de votre droit à demander leur effacement en vertu de la Partie 2, Article 2.1.2 de la politique, et n’affectera pas de façon négative les droits et libertés de tiers.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de portabilité des données.

Vous avez le droit de vous opposer à toute décision fondée uniquement sur le Traitement automatique de vos Données à caractère personnel, y compris le profilage, qui produit un effet juridique à votre égard, ou vous affectant de manière significative.

Les sociétés de TP ne peuvent rejeter ces demandes que lorsqu’elles peuvent démontrer que les décisions remplissent l’une des conditions suivantes :

• Elles sont nécessaires à la conclusion ou à l’exécution d’un contrat entre vous et la société de TP agissant en tant que responsable du traitement des données, ou se fondent sur votre consentement explicite. Dans ces cas, les sociétés de TP adopteront des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et vous accorderont au moins le droit d’obtenir une intervention humaine de la part des sociétés de TP, pour exprimer votre point de vue et contester la décision.
• Elles sont autorisées par les lois et règlements en vigueur dans les pays de l’EEE/RU, qui établissent également des mesures pour protéger vos droits, vos libertés et vos intérêts légitimes.

Les sociétés de TP ne prendront des décisions fondées uniquement sur le Traitement automatique de vos données sensibles, que si elles ont mis en place des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et lorsque vous avez donné votre consentement explicite, ou lorsque le traitement est nécessaire pour des raisons d’intérêt public importantes au titre des lois et règlements en vigueur dans les pays de l’EEE/RU.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’opposition aux décisions vous affectant fondées sur le traitement automatique, y compris le profilage.

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous accorderont le droit d’accéder à vos Données à caractère personnel traitées par les sociétés de TP.

Lorsque les lois et règlements en vigueur l’exigent, les sociétés de TP vous permettront également de corriger, sans retard excessif, vos Données à caractère personnel lorsque celles-ci sont incomplètes ou inexactes, y compris en fournissant une déclaration supplémentaire.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’accès, de rectification, d’effacement et d’opposition.

Vous aurez accès aux informations suivantes :

• la confirmation que vos données à caractère personnel sont traitées par la société de TP ;
• l’explication des finalités du traitement, les catégories de données à caractère personnel et les destinataires ou catégories de destinataires à qui vos données à caractère personnel sont communiquées (en particulier les destinataires dans les pays situés en dehors de l’EEE/RU) et les garanties appropriées apportées à ces transferts ;
• dans la mesure du possible, la durée de conservation de vos données à caractère personnel, et à défaut, les critères utilisés pour déterminer cette durée ;
• la communication de vos données à caractère personnel faisant ou ayant fait l’objet du traitement, et toutes les informations disponibles sur leur source lorsque vos données à caractère personnel ne sont pas obtenues auprès de vous ;
• l’existence de votre droit de demander à la société de TP la rectification ou l’effacement de vos données à caractère personnel, ou la restriction du traitement de vos données à caractère personnel, ou de s’opposer à ce traitement ;
• le droit de déposer une plainte auprès d’une APD pertinente de l’EEE/RU ;
• lorsque la société de TP prend des décisions fondées uniquement sur le traitement automatique de vos données à caractère personnel, y compris le profilage, des informations utiles sur la logique utilisée dans ce traitement automatique, ainsi que la signification et les conséquences envisagées de ce traitement pour vous.

Les sociétés de TP ne peuvent rejeter une demande d’accès que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP vous permettront de demander l’effacement de vos Données à caractère personnel sans retard excessif si l’une des situations suivantes se présente :

• Vos données à caractère personnel ne sont plus nécessaires aux effets pour lesquelles elles ont été collectées ou traitées.
• Vous retirez votre consentement sur lequel le traitement est fondé, et il n’existe aucune autre base juridique du traitement.
• Vous vous opposez au traitement effectué en fonction des intérêts légitimes du responsable du traitement des données lorsqu’il n’existe aucune raison légitime première pour le traitement, ou vous vous opposez au traitement à des fins de marketing direct.
• Vos données à caractère personnel ont été traitées illicitement.
• Vos données à caractère personnel seront supprimées conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti.

Lorsque vos Données à caractère personnel faisant l’objet de la demande d’effacement ont été rendues publiques par la société de TP agissant en tant que Responsable du traitement des données, celle-ci informera, eu égard à la technologie disponible et au coût de mise en œuvre, les autres Responsables du traitement des données qui traitent vos Données à caractère personnel de votre demande de supprimer tout lien ou exemplaire de ces Données à caractère personnel.

Les sociétés de TP ne peuvent rejeter votre demande d’effacement que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque l’effacement de vos Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.
• Le traitement est nécessaire à (i) l’exercice du droit de liberté d’expression et d’information ; (ii) au respect d’une obligation légale exigeant le traitement en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU auxquels le responsable du traitement des données est assujetti ; ou (iii) à la constatation, à l’exercice ou à la défense d’un droit en justice.

Vous avez le droit de vous opposer à tout moment au Traitement de vos Données à caractère personnel basé sur les intérêts légitimes de la société de TP, y compris le profilage, à moins que le Traitement ne soit autorisé par des lois et règlements en vigueur dans les pays de l’EEE/RU.  Lorsque l’opposition est justifiée, le Traitement sera interrompu, à moins que les sociétés de TP ne puissent démontrer des motifs impérieux et légitimes de continuer le Traitement, qui l’emportent sur vos intérêts, vos droits et vos libertés, ou que le traitement est nécessaire à  la constatation, l’exercice ou la défense d’un droit en justice.

En outre, vous avez le droit de vous opposer à tout moment, sur demande et gratuitement, au Traitement de vos Données à caractère personnel à des fins de marketing direct (y compris le profilage, dans la mesure où il est lié au marketing direct).  Ce traitement cessera dès que raisonnablement possible.

Les sociétés de TP ne peuvent rejeter une demande que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• La demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la supression des Données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Vous avez le droit de restreindre le Traitement de vos données à caractère personnel, et de demander de geler leur Traitement en conséquence, si l’une des situations suivantes se présente :

• Vous contestez l’exactitude de vos données à caractère personnel, pendant un délai permettant à la société de TP agissant en tant que responsable du traitement des données de vérifier l’exactitude de ces données.
• Le traitement est illicite et vous vous opposez à l’effacement de vos Données à caractère personnel et demandez à la place la limitation de leur utilisation.
• La société de TP agissant en tant que responsable du traitement des données n’a plus besoin de vos données à caractère personnel aux fins du traitement, mais vous en avez besoin pour la constatation, l’exercice ou la défense d’actions en justice.
• Vous vous êtes opposé(e) au traitement basé sur les intérêts légitimes du responsable du traitement des données, et il reste à vérifier si les motifs légitimes du responsable du traitement des données l’emportent sur les vôtres.

Lorsque le traitement est limité, les sociétés de TP peuvent traiter vos Données à caractère personnel, à l’exception du stockage, seulement :

• avec votre consentement ;
• pour la constatation, l’exercice ou la défense d’actions en justice ;
• pour la protection des droits d’une autre personne physique ou morale ; ou
• pour des motifs d’intérêt public importants comme défini dans les lois et règlements en vigueur dans les pays de l’EEE/RU.

Lorsque des sociétés de TP ont limité le Traitement à votre demande, elles vous informeront de cette limitation du Traitement avant qu’elle ne soit levée.

Les sociétés de TP ne peuvent rejeter une demande de limitation que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vérifier votre identité.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction de vos données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de limitation.

Lorsque le Traitement se fonde sur votre consentement ou un contrat, et est réalisé de manière automatisée, vous avez le droit de demander à :

• recevoir les données à caractère personnel que vous avez fournies à la société de TP agissant en tant que responsable du traitement des données, sous un format structuré, couramment utilisé et lisible par des machines ;
• transmettre vos données à caractère personnel à un autre responsable du traitement des données sans entraves du responsable du traitement des données initial, ou les faire transmettre directement d’un responsable du traitement des données à un autre, lorsque cela est techniquement possible.

Les sociétés de TP ne peuvent rejeter une demande de portabilité que lorsqu’elles peuvent démontrer l’un des points suivants :

• La société de TP n’arrive pas à vous identifier.
• Votre droit en rapport avec cette demande est explicitement limité par une loi ou un règlement en vigueur dans un pays de l’EEE/RU.
• Votre demande empiéterait sur la protection des droits et des libertés de tiers, lorsque la rédaction des données à caractère personnel ou d’autres mesures pour atténuer ces effets ne sont pas raisonnablement faisables.

Votre demande de portabilité de vos Données à caractère personnel est sans préjudice de votre droit à demander leur effacement en vertu de la Partie 2, Article 2.1.2 de la politique, et n’affectera pas de façon négative les droits et libertés de tiers.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes de portabilité des données.

Vous avez le droit de vous opposer à toute décision fondée uniquement sur le Traitement automatique de vos Données à caractère personnel, y compris le profilage, qui produit un effet juridique à votre égard, ou vous affectant de manière significative.

Les sociétés de TP ne peuvent rejeter ces demandes que lorsqu’elles peuvent démontrer que les décisions remplissent l’une des conditions suivantes :

• Elles sont nécessaires à la conclusion ou à l’exécution d’un contrat entre vous et la société de TP agissant en tant que responsable du traitement des données, ou se fondent sur votre consentement explicite. Dans ces cas, les sociétés de TP adopteront des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et vous accorderont au moins le droit d’obtenir une intervention humaine de la part des sociétés de TP, pour exprimer votre point de vue et contester la décision.
• Elles sont autorisées par les lois et règlements en vigueur dans les pays de l’EEE/RU, qui établissent également des mesures pour protéger vos droits, vos libertés et vos intérêts légitimes.

Les sociétés de TP ne prendront des décisions fondées uniquement sur le Traitement automatique de vos données sensibles, que si elles ont mis en place des mesures appropriées pour protéger vos droits, vos libertés et vos intérêts légitimes, et lorsque vous avez donné votre consentement explicite, ou lorsque le traitement est nécessaire pour des raisons d’intérêt public importantes au titre des lois et règlements en vigueur dans les pays de l’EEE/RU.

Les sociétés de TP adhèreront à la procédure visée à l’Annexe 1 de la Politique lorsqu’elles répondront à vos demandes d’opposition aux décisions vous affectant fondées sur le traitement automatique, y compris le profilage.

Teleperformance adoptera les mesures techniques et organisationnelles de sécurité appropriées pour protéger vos Données à caractère personnel contre toute perte accidentelle, modification ou divulgation ou accès non autorisés, en particulier lorsque le Traitement comprend la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.

Eu égard à l’état de l’art et au coût de leur mise en œuvre, ces mesures garantiront un niveau de sécurité approprié à la gravité et à la probabilité des risques présentés par le traitement quant à vos droits et libertés, ainsi que par la nature de vos Données à caractère personnel à protéger, le champ d’application, le contexte et les finalités du traitement.  Ces mesures peuvent comprendre, au besoin :

• l’utilisation de pseudonymes et le chiffrement de vos données à caractère personnel ;
• la capacité de garantir à tout moment la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
• la capacité de rétablir la disponibilité et l’accès à vos données à caractère personnel en temps utile en cas d’incident physique ou technique ;
• les processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles garantissant la sécurité du traitement.

Les normes de sécurité se conformeront aux lois et règlements locaux de protection des données et de la vie privée, ainsi qu’à toute exigence contractuelle.

En cas de violation de Données à caractère personnel, Teleperformance mettra en œuvre un plan de réponse aux incidents.

EEE et REC - Lorsque la violation des données à caractère personnel est susceptible d’entraîner un haut risque pour vos droits et libertés, les sociétés de TP vous informeront de la violation sans retard excessif, en décrivant avec un langage simple et clair :

• la nature de la violation ;
• le nom et les coordonnées du SVPP et/ou du DPD, le cas échéant, ou tout autre point de contact auprès duquel de plus amples informations peuvent être obtenues ;
• les conséquences possibles de la violation ;
• les mesures adoptées ou proposées par la société de TP pour traiter la violation, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets néfastes.

Cette communication peut ne pas s’avérer nécessaire dans l’un des cas suivants :

• La société de TP a adopté des mesures de protection techniques et organisationnelles appropriées, et ces mesures ont été appliquées aux données à caractère personnel affectées par la violation, en particulier celles qui rendent vos données à caractère personnel incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès (par ex., le chiffrement).
• La société de TP a adopté d’autres mesures pour garantir que le haut risque pour vos droits et libertés est peu susceptible de se matérialiser.
• Cela engagerait des efforts disproportionnés, auquel cas les sociétés de TP publieront une communication publique ou adopteront une mesure similaire selon laquelle vous serez informé(e) d’une manière tout aussi efficace.

En tenant compte de l’état de l’art, du coût de mise en œuvre et de la nature, du champ d’application, du contexte et des finalités du Traitement, ainsi que des risques de probabilité et gravité variables de vos droits et libertés que présente le Traitement, les sociétés de TP mettront en œuvre, lors de la détermination des moyens de traitement et lors du traitement proprement dit, les mesures techniques et organisationnelles appropriées (par ex., l’utilisation de pseudonymes) pour consacrer les principes de la protection des données et de la vie privée (par ex., minimisation des données) dans les produits, les processus, les technologies, les systèmes, les programmes et les dispositifs potentiels, nouveaux ou modifiés, le cas échéant, de manière efficace, et d’intégrer les garanties nécessaires au traitement de vos données à caractère personnel.

Les sociétés de TP mettront en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules vos Données à caractère personnel nécessaires à chaque finalité spécifique du Traitement sont traitées.  Cette exigence s’applique à la quantité de vos Données à caractère personnel, à l’étendue de leur Traitement, à la durée de leur conservation et à leur accessibilité.  Plus particulièrement, par défaut, vos Données à caractère personnel ne seront pas accessibles à un nombre indéfini de personnes physiques sans votre intervention.

Les sociétés de TP agissant pour le compte des Clients de Teleperformance peuvent traiter vos Données à caractère personnel afin de délivrer des services auxdits Clients.  La nature et les catégories de vos Données à caractère personnel, ainsi que les finalités du Traitement sont déterminées par les Clients de Teleperformance, et varieront en fonction de leurs instructions et des services fournis par les sociétés de TP.

En fonction des activités commerciales de Teleperformance, les finalités prévues et la nature et les catégories attendues de Données à caractère personnel couvertes par la Politique comprennent, mais sans s’y limiter, les suivantes :

1. clients des Clients, car les activités commerciales du Groupe consistent principalement à fournir des services externalisés de gestion de la relation client. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel liés aux clients du client, conformément aux instructions de ce dernier, et peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance) ; les activités commerciales (par ex., services fournis par les clients) ; la famille, le mode de vie et les conditions sociales (par ex., informations sur les personnes à charge, le conjoint et la famille, religion ou convictions religieuses, condamnations et infractions pénales) ; la santé (par ex., données sur l’état de santé physique et psychologique) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale) ; les données photographiques, vidéo et de localisation (par ex., images de vidéosurveillance) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, vérification de solvabilité).
2. Demandeurs de visa, car les sociétés de TP peuvent fournir des services externalisés pour les demandes de visa. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel liés aux demandeurs de visa, conformément aux instructions de ce dernier, et peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance, informations sur le passeport, données biométriques) ; les activités commerciales (par ex., activités commerciales de la personne concernée) ; la famille, le mode de vie et les conditions sociales (par ex., informations sur les personnes à charge, le conjoint et la famille, religion ou convictions religieuses, condamnations et infractions pénales) ; la santé (par ex., données sur l’état de santé physique et psychologique) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale) ; les informations photographiques, vidéo et de localisation (par ex., images photographiques) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, vérification de solvabilité).
3. Toute donnée à caractère personnel liée à des services externalisés d’interprétation ou de traduction, pouvant inclure, mais sans s’y limiter : les données à caractère personnel des clients, patients, partenaires commerciaux ou utilisateurs de services publics du client. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel dans le contexte de services d’interprétation ou de traduction, qui peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., nom complet, âge et date de naissance, données biométriques) ; la formation, l’expérience professionnelle et les affiliations (par ex., éducation et formation, langues, appartenance syndicale) ; les déplacements et les frais de l’employé (par ex., réservations de voyage, exigences alimentaires, passeports et visas) ; la famille, le mode de vie et les conditions sociales (par ex., état civil, coordonnées en cas d’urgence, religion ou convictions religieuses) ; la santé et le bien-être (par ex., handicap, accessibilité, besoins spéciaux, données génétiques) ; les données financières (par ex., compte bancaire, numéro de Sécurité sociale) ; les contrôles d’identification et d’antécédents (par ex., résultats de vérification du casier judiciaire, permis de travail).
4. Clients et personnes participant à des enquêtes, car les sociétés de TP peuvent fournir des services externalisés d’enquête auprès des clients. Ce traitement peut couvrir tout type de traitement et toute catégorie de données à caractère personnel traités dans le contexte de la réalisation d’enquêtes, qui peuvent inclure, mais sans s’y limiter, les renseignements personnels élémentaires (par ex., âge) ; la famille, le mode de vie et les conditions sociales (par ex., informations sur la famille, religion ou convictions religieuses) ; la santé (par ex., par ex., données sur l’état de santé physique et psychologique).

Lorsqu’elles agissent pour le compte d’un client, les sociétés de TP et leurs employés respecteront les instructions concernant le Traitement de vos Données à caractère personnel et les mesures de sécurité et de confidentialité figurant sur le contrat avec chaque Client, et observeront les principes suivants :

Les sociétés de TP agissant en tant que sous-traitants des données aideront raisonnablement les Clients à respecter les lois et règlements, notamment en garantissant le Traitement transparent de vos Données à caractère personnel et la qualité des données.

Plus particulièrement, les Clients seront informés des Sous-traitants ultérieurs ou des Sous-traitants externes concernés par leurs traitements respectifs.

Une version publique à jour de la Politique et une liste à jour des sociétés de TP liées par la politique seront rendues aisément accessibles aux personnes concernées sur le site internet du Groupe https://teleperformance.com/en-us/data-privacy-information-and-inquires/.

REC - Lorsque les Clients s’appuient sur la Politique pour les transferts effectués par Teleperformance pour leur compte, les Parties 1 et 3 de la Politique seront intégrées au contrat avec ces Clients. 

Les sociétés de TP ne traiteront vos Données à caractère personnel que pour le compte des Clients, et conformément aux instructions de ces derniers.

Plus particulièrement, Teleperformance adoptera toutes les mesures nécessaires selon les instructions des Clients afin de mettre à jour, de corriger, de supprimer ou de rendre anonyme toute Donnée à caractère personnel traitée pour le compte de ces derniers.  Chaque sous-traitant ultérieur et chaque sous-traitant externe auxquels vos données à caractère personnel ont été communiquées seront informés de ces instructions et les respecteront.

EEE et REC - Les sociétés de TP respecteront les instructions documentées par le Client, notamment pour les transferts de vos Données à caractère personnel vers un pays en dehors de l’EEE/RU, à moins que les lois et règlements en vigueur dans les pays de l’EEE/RU auxquels les sociétés de TP sont assujetties ne l’exigent pas.  Dans ce cas, les sociétés de TP informeront les Clients de cette disposition juridique avant que le traitement n’ait lieu, à moins que les lois et règlements en vigueur dans les pays de l’EEE/RU interdisent ces informations pour des motifs importants d’intérêt public.

EEE et REC - Si une société de TP n’est pas en mesure de respecter les instructions raisonnables du Client, elle informera rapidement le Bureau de la confidentialité et le Client, et Teleperformance tentera de tenir compte des instructions du Client en prenant en considération les lois et règlements locaux en vigueur dans les pays de l’EEE/RU et la Politique.  Si le Client rejette raisonnablement les tentatives de Teleperformance de tenir compte de ses instructions, et si, ni Teleperformance ni le client ne peuvent trouver une solution pour tenir compte de ces instructions, Teleperformance permettra au Client de suspendre, pour une raison légitime liée à la protection des données et de la vie privée conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU, le transfert de vos Données à caractère personnel concernées jusqu’à ce que la société de TP puisse respecter les instructions raisonnables du Client, ou de résilier la partie spécifique des services affectée en vertu du bon de commande ou du contrat d’application applicable, conformément aux dispositions contractuelles figurant sur le contrat signé avec ce Client, mais seulement dans la mesure où la situation perturbe fortement la capacité de Teleperformance à délivrer les services à ce Client.

EEE et REC - Lorsque la prestation de services rendue à un Client prend fin, toutes vos Données à caractère personnel traitées pour le compte de ce Client par Teleperformance et tout sous-traitant externe seront, au choix du Client et conformément aux conditions pertinentes de son contrat avec Teleperformance, retournées en toute sécurité (y compris tous les exemplaires) au Client, ou détruites (y compris tous les exemplaires), auquel cas Teleperformance certifiera à ce Client qu’elle a procédé ainsi.  Ce retour ou cette destruction sera effectué(e) sous 90 jours à compter de la résiliation du contrat entre le Client et Teleperformance, délai qui pourra être prolongé  avec l’accord du RC en fonction du délai convenu dans ce contrat.

EEE et REC - Lorsque les lois et règlements exigent la conservation par Teleperformance de vos Données à caractère personnel transférées, celle-ci informera le Client et assurera qu’elle garantira la confidentialité de vos Données à caractère personnel, et ne traitera plus activement lesdites Données à caractère personnel.

Teleperformance aidera les Clients à traiter toute demande lorsque vous exercez vos droits, notamment les demandes d’accès, de rectification ou d’effacement de vos Données à caractère personnel conformément aux lois et aux règlements en vigueur.

Plus particulièrement, les sociétés de TP, ainsi que tout sous-traitant ultérieur et sous-traitant externe, le cas échéant, exécuteront toutes les mesures techniques et organisationnelles appropriées, dans la mesure du possible, à la demande des Clients, pour s’acquitter de leurs obligations de répondre à vos demandes liées à l’exercice de vos droits, y compris en fournissant toutes les informations utiles afin de donner suite à vos demandes.

EEE et REC - Lorsque Teleperformance reçoit directement une demande de votre part, elle la communiquera rapidement au Client concerné, lequel reste responsable du traitement de la demande, à moins qu’il ait explicitement autorisé Teleperformance à s’en charger.  Dans ces cas, Teleperformance suivra les instructions figurant sur le contrat avec le Client.  Les coûts des demandes traitées directement par Teleperformance seront assumés par le client, sauf disposition contraire du contrat signé avec ce Client.

Teleperformance ne peut recourir aux Sous-traitants ultérieurs ou aux Sous-traitants externes qu’après en avoir informé le Client, et si ce dernier n’a émis aucune objection vis-à-vis de ce Sous-traitant ultérieur ou de ce Sous-traitant externe sous 30 jours à compter de la réception de la notification, sauf disposition contraire dans le contrat signé avec ce Client.

Dans le cas d’un Sous-traitant ultérieur, ce dernier traitera vos Données à caractère personnel conformément aux instructions du Client et aux obligations de protection des données et de la vie privée de Teleperformance définies par le contrat signé entre Teleperformance et le Client.

Dans le cas d’un Sous-traitant externe, Teleperformance ne désignera un tiers que s’il offre les garanties suffisantes à l’égard des engagements de Teleperformance en vertu de la Partie 3 de la Politique.  Plus particulièrement, ce Sous-traitant externe s’engagera par contrat ou autre acte juridique en vertu des lois et règlements en vigueur dans les pays de l’EEE/RU à traiter vos Données à caractère personnel conformément aux instructions du Client et aux obligations de protection des données et de la vie privée de Teleperformance définies par le contrat signé entre Teleperformance et son client, et à adopter les mesures techniques et organisationnelles appropriées pour garantir une protection adéquate eu égard à la Partie 3, Article 3.1 de la Politique.

Si le Client s’oppose à l’ajout ou au remplacement d’un sous-traitant ultérieur ou d’un sous-traitant externe, Teleperformance (i) proposera de ne pas effectuer le changement, ou (ii) offrira une solution alternative au client, y compris le recours à un autre Sous-traitant ultérieur ou Sous-traitant externe.  Si le Client rejette la solution alternative offerte par Teleperformance pour une raison légitime liée à la protection des données et de la vie privée conformément aux lois et règlements en vigueur dans les pays de l’EEE/RU, le client pourra résilier la partie spécifique des services affectée en vertu du bon de commande ou de la convention d’exécution applicable, en application des dispositions contractuelles figurant sur le contrat signé avec ce Client.

EEE et REC - Il s’agit de la situation dans laquelle un Client ou une société de TP, situé dans l’EEE, transfère vos Données à caractère personnel vers l’une des personnes physiques ou morales suivantes :

EEE et REC - Un Client à une société de TP (Sous-traitant ou Sous-traitant ultérieur) basée dans l’EEE ou dans un Pays de protection adéquat. Par exemple, un transfert d’un Client situé en France à une société TP (Sous-traitant ultérieur) située en Italie, ou un Client situé en Allemagne à une société de TP (Sous-traitant) située au Canada.  

• EEE et REC - Une société de TP à un sous-traitant ultérieur ou un sous-traitant externe personnel effectué par une société de TP en France vers un sous-traitant ultérieur en Italie.
• EEE et REC - Une société de TP à un sous-traitant ultérieur ou un sous-traitant externe se trouvant dans un pays assurant un niveau de protection adéquat. Par exemple, un transfert de données à caractère personnel effectué par une société de TP en Espagne vers un sous-traitant des données tiers en Argentine.

Les lois et règlements en vigueur dans les pays de l’EEE autorisent les transferts de vos Données à caractère personnel entre des organisations situées dans l’EEE, ou d’une organisation située dans l’EEE vers une autre organisation située dans un pays assurant un niveau de protection adéquat.  Par conséquent, Teleperformance n’a pas besoin d’adopter des mesures supplémentaires dans ces cas.

Il s’agit de la situation dans laquelle un Client transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur), ou une société de TP située dans l’EEE transfère vos Données à caractère personnel vers un Sous-traitant ultérieur ou un Sous-traitant externe se trouvant dans un pays n’assurant pas un niveau de protection adéquat.  Par exemple, un transfert de vos données à caractère personnel effectué par une société de TP en Irlande vers un sous-traitant ultérieur aux Philippines, ou par une société de TP en Allemagne vers un sous-traitant des données tiers en Turquie ou un Client situé en Espagne à une société de TP basée aux Philippines.

Lorsqu’un Client transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur) ou une société de TP située dans l’EEE transfère vos Données à caractère personnel vers une autre société de TP situé dans un pays n’assurant pas un niveau de protection adéquat, ce transfert est autorisé dans la mesure où le Sous-traitant ou Sous-traitant ultérieur destinataire a mis en œuvre la Politique et répond à ses exigences, y compris celles marquées de l’indication « REC ».

Lorsqu’une société de TP située dans l’EEE transfère vos Données à caractère personnel vers un Sous-traitant externe situé dans un pays n’assurant pas un niveau de protection adéquat, ou vers un Sous-traitant ultérieur qui n’a pas mis en œuvre la Politique (y compris les exigences de la Politique marquées de l’indication « REC »), la société de TP expéditrice adoptera des mesures supplémentaires pour protéger vos Données à caractère personnel transférées (par ex., en intégrant au contrat signé avec le sous-traitant externe les clauses types de protection des données appropriées émises par la Commission européenne ou une APD de l’EEE), ou garantira que le transfert remplit une des conditions établies par les lois et règlements en vigueur dans les pays de l’EEE (par ex., vous avez donné votre consentement au transfert ; ou le transfert est nécessaire à l’exécution d’un contrat entre vous et le client ou à la mise en œuvre de mesures précontractuelles adoptées en réponse à votre demande).

Si ce n’est pas possible, la société de TP expéditrice peut effectuer un transfert si cela s’avère nécessaire à la réalisation des intérêts impérieux et légitimes poursuivis par le Client, à condition que le transfert ou l’ensemble de transferts de vos Données à caractère personnel ne soit pas répétitif et ne concerne qu’un nombre limité de Personnes concernées ; que vos intérêts ou vos droits et libertés ne priment pas sur les intérêts légitimes du Client ; que le Client ait évalué toutes les circonstances du transfert et, en fonction de cette évaluation, ait fourni des garanties appropriées en ce qui concerne la protection des données et de la vie privée ; et que le Client vous informe, vous et les APD pertinentes de l’EEE, du transfert et des intérêts impérieux et légitimes.

Il s’agit du transfert de vos Données à caractère personnel effectué par une société de TP située en dehors de l’EEE/RU vers un Sous-traitant ultérieur ou un Sous-traitant externe se trouvant dans un autre pays.  Par exemple, un transfert de vos Données à caractère personnel effectué par une société de TP en Albanie vers un sous-traitant ultérieur en Chine, ou par une société de TP au Mexique vers un sous-traitant externe en Argentine.

Tout transfert de vos Données à caractère personnel d’un pays en dehors de l’EEE/RU vers un autre pays sera effectué avec une protection appropriée et raisonnable, et conformément aux lois et règlements applicables à la société de TP à l’origine du transfert, en particulier, mais sans s’y limiter, toute disposition juridique relative aux transferts de vos Données à caractère personnel ou à la sécurité.

REC - Lorsque vos données à caractère personnel transférées de l’EEE/RU vers des sous-traitants ultérieurs ou des sous-traitants externes se trouvant en dehors de l’EEE/RU sont ensuite transférées vers d’autres sous-traitants ultérieurs ou sous-traitants externes se trouvant en dehors de l’EEE/RU, la société de TP située dans l’EEE/RU ou en dehors de l’EEE/RU à l’origine du transfert s’assurera que ces transferts ultérieurs respectent les règles définies dans la Partie 3, Articles 2.2 et 2.4.

Il s’agit de la situation dans laquelle un Client ou une société de TP, situé dans le RU, transfère vos Données à caractère personnel dans l’un des cas suivants :

• Un Client à une société de TP (Sous-traitant ou Sous-traitant ulterieur) également située dans le RU ou un Pays de protection adéquat ;
• Une société de TP à un Sous-traitant ultérieur ou un Sous-traitant externe aussi situé dans le RU ou dans un Pays de protection adéquat.
• La loi et la règlementation applicable au RU autorise le transfert entre entités situées dans le RU ou d’une entité située dans le RU vers une autre entité située dans un Pays de protection adéquat. Aussi, TP n’a pas besoin d’implémenter de mesure additionnelle dans ce cas.

Il s’agit de la situation dans laquelle un Client situé dans le RU transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur) située dans un pays n’assurant pas un niveau de protection adéquat, ou une société de TP située au RU transfère vos Données à caractère personnel à une société de TP ou un tiers situé dans un pays n’assurant pas un niveau de protection adéquat.

Quand un Client situé dans le RU transfère vos Données à caractère personnel à une société de TP (Sous-traitant ou Sous-traitant ultérieur) située dans un pays n’assurant pas un niveau de protection adéquat, ou une société de TP située au RU transfère vos Données à caractère personnel à une société de TP située dans un pays n’assurant pas un niveau de protection adéquat, ce transfert est autorisé pour autant que cette société de TP destinataire ait signé l’accord inter-entreprise, ait implémenté la Politique et se conforme à ses exigences, notamment celles marquées de l’indication “REC”.

Quand une société de TP installée dans le RU transfère vos Données à caractère personnel à un tiers sous-traitant situé dans un pays n’assurant pas un niveau de protection adéquat, ou à une autre société de TP qui n’a pas implémenté la Politique (y compris les exigences de la Politique de l’indication “REC”), la société de TP émettrice doit implémenter des mesures additiionnelles pour protéger vos Données à caractère personnel transférées (exp en incorporant dans le contrat signé avec le tiers les clauses contractuelles types applicables approuvées par l’ICO), ou s’assurer que le transfert répond à l’une des conditions fixées par les loi et règlementations applicables au RU (exp : vous avez consenti explicitement au transfert après avoir été informé des risques probables associés à ce transfert du fait de l’absence de décision d’adéquation et de mesures de protection adéquates; ou le transfert est nécessaire à l’exécution d’un contrat conclu entre vous et le Responsable de traitement ou à l’exécution de mesures pré-contractuelles à votre demande).

Si cela n’est pas possible, la société de TP émettrice peut procéder au transfert si nécessaire sur la base de l’intérêt légitime impérieux du Client, sous réserve que :

• Le transfert ou l’ensemble des transferts de vos données ne soit pas répétitif et concerne seulement un nombre limité de personnes concernées,
• L’intérêt légitime impérieux du Client n‘outrepasse pas votre intérêt, vos droits et libertés,
  • Le Client a évalué les circonstances du transfert et sur la base de cette évaluation, a mis en oeuvre les mesures de protection adéquates à la protection de vos données, et
  • Le Client vous informe ainsi que l’ICO du transfert et de son intérêt légitime impérieux.

Les sociétés de TP adopteront les mesures techniques et organisationnelles de sécurité appropriées pour protéger vos Données à caractère personnel contre toute perte accidentelle, modification ou divulgation ou accès non autorisés, en particulier lorsque le Traitement effectué pour le compte des Clients comprend la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.

Eu égard à l’état de l’art et au coût de leur mise en œuvre, ces mesures garantiront un niveau de sécurité approprié à la gravité et à la probabilité des risques présentés par le traitement effectué pour le compte des Clients quant à vos droits et libertés, ainsi que par la nature de vos Données à caractère personnel à protéger, le champ d’application, le contexte et les finalités du Traitement.  Ces mesures peuvent comprendre, au besoin :

• l’utilisation de pseudonymes et le chiffrement de vos données à caractère personnel ;
• la capacité de garantir à tout moment la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
• la capacité de rétablir la disponibilité et l’accès à vos données à caractère personnel en temps utile en cas d’incident physique ou technique ;
• les processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles garantissant la sécurité du traitement.

REC - En outre, les sociétés de TP respecteront les mesures de sécurité et organisationnelles qui répondront a minima aux exigences des lois et règlements de protection des données et de la vie privée applicables au client.

En cas de violation de Données à caractère personnel, Teleperformance mettra en œuvre un plan de réponse aux incidents, en coopération avec le directeur des systèmes d’information concerné, le responsable mondial de la sécurité des systèmes d’information, le Responsable national de la confidentialité et le Bureau de la confidentialité. Ce plan comprendra les points suivants :

• Confinement de la violation et récupération: Teleperformance s’efforcera de résoudre l’incident en appliquant un plan de récupération et, le cas échéant, des procédures pour limiter les dommages.
• Évaluation des risques: Teleperformance évaluera les risques associés, tels que les conséquences négatives pour les personnes concernées et le client affecté ; la gravité de la violation ; et le risque de récidive.
• Signalement de la violation: conformément au calendrier fourni par les lois et règlements locaux, Teleperformance informera le client affecté et toute autre partie prenante (par ex., la police ou les banques, selon le cas) de la violation de données à caractère personnel, lorsque la loi en vigueur l’exige.
• Évaluation du processus: une enquête sera menée afin de déterminer la cause de la violation et d’évaluer l’efficacité de la réponse donnée.  Les politiques et procédures seront traitées en conséquence.

EEC et REC - En cas de violation de Données à caractère personnel, les sociétés de TP informeront également les Clients affectés par cette violation rapidement après en avoir pris connaissance (au plus tard sous 48 heures), ainsi que le Bureau de la confidentialité, y compris lorsque la violation concerne un sous-traitant externe délivrant des services à ces clients.  En outre, Teleperformance s’assurera que les sous-traitants ultérieurs et les sous-traitants externes ont le devoir d’informer les sociétés de TP agissant en tant que sous-traitant ultérieur des données de toute violation sans retard excessif après en avoir pris connaissance, et celles-ci, à leur tour, informeront rapidement les Clients de cette violation.

Sous réserve de la Partie 3, Article 7, premier paragraphe de la Politique, Teleperformance SE assume la responsabilité de toute violation des exigences figurant dans la Politique par des sociétés de TP situées en dehors de l’EEE/RU, et accepte d’adopter les mesures nécessaires pour y remédier et de verser une indemnisation en cas de préjudices matériels ou immatériels découlant de cette violation.  Dans ce cas, vous aurez les mêmes droits et recours contre Teleperformance SE que si la violation avait eu lieu dans l’EEE/RU.

Sous réserve de la Partie 3, Article 7, deuxième paragraphe de la Politique, lorsque le Client a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable et sans successeur, Teleperformance SE assume la responsabilité de toute violation des exigences figurant dans la Politique par des sociétés de TP ou des sous-traitants externes situés en dehors de l’EEE/RU, et accepte d’adopter les mesures nécessaires pour y remédier et de verser une indemnisation en cas de préjudices matériels ou immatériels découlant de cette violation.  Dans ce cas, vous aurez les mêmes droits et recours contre Teleperformance SE que si la violation avait eu lieu dans l’EEE/RU.

Cette responsabilité se limite aux personnes concernées dont les Données à caractère personnel assujetties aux lois et règlements en vigueur dans les pays de l’EEE/RU ont été transférées vers des sociétés de TP ou des sous-traitants externes se trouvant en dehors de l’EEE/RU conformément à la Politique.

Teleperformance SE ne peut pas s’appuyer sur une violation de ses obligations commise par une autre société de TP ou un sous-traitant externe afin d’éviter ses propres responsabilités.

Lorsque la société de TP et le client participant au même Traitement de données sont jugés responsables d’un préjudice causé par ce Traitement, vous avez le droit de recevoir une indemnisation, pour l’intégralité du préjudice, directement de la société de TP.

Lorsque Teleperformance SE peut prouver que ni une société de TP ni un sous-traitant externe se trouvant en dehors de l’EEE/RU est responsable du manquement, ou que l’acte résulte du client, elle peut se décharger de toute responsabilité comme décrit ci-dessus.

Les sociétés de TP mettront en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules vos Données à caractère personnel nécessaires à chaque finalité spécifique du Traitement sont traitées.  Cette exigence s’applique à la quantité de vos Données à caractère personnel, à l’étendue de leur Traitement, à la durée de leur conservation et à leur accessibilité.  Plus particulièrement, par défaut, vos Données à caractère personnel ne seront pas accessibles à un nombre indéfini de personnes physiques sans votre intervention.

Lorsqu’une société de TP reçoit votre demande ou votre plainte, celle-ci sera documentée et communiquée au Bureau de la confidentialité sans retard excessif et au plus tard sous 2 (deux) jours à compter de la réception.

Si votre demande ou votre plainte est envoyée directement au Bureau de la confidentialité, celle-ci sera enregistrée dans les mêmes délais à compter de la réception.

Le Bureau de la confidentialité accusera la réception de votre demande ou de votre plainte sous 1 (une) semaine et vous informera que vous recevrez de plus amples informations sur votre demande ou votre plainte sous 30 (trente) jours à compter de la réception.

Sous 1 (une) semaine, le Bureau de la confidentialité validera votre demande ou votre plainte, et déterminera s’il la traitera directement ou s’il la déléguera à un point de contact local désigné.

Si le Bureau de la confidentialité délègue votre demande ou votre plainte à un point de contact local désigné, il donnera à ce dernier des instructions supplémentaires sur la façon de traiter votre demande ou votre plainte dans la mesure nécessaire.

Le Bureau de la confidentialité ou, le cas échéant, le point de contact local sous la supervision du Bureau de la confidentialité, traitera alors votre demande ou votre plainte.

Le Bureau de la confidentialité ou, le cas échéant, le point de contact local sous la supervision du Bureau de la confidentialité, répondra à votre demande ou à votre plainte dans les délais définis dans la rubrique « Délai de résolution ».