Charte de protection des données à caractère personnel

Le groupe Vivendi (le « Groupe ») est un leader mondial de la culture, du divertissement, des médias et de la communication. Au fil des années, les produits et services qu’il fournit dans ses différents secteurs d’activités se sont fortement digitalisés et les technologies nouvelles lui permettent notamment de mieux les personnaliser et de les adapter aux besoins, modes de vie, préférences ou encore habitudes de ses utilisateurs, clients, abonnés ou visiteurs.

Dans ce contexte, la protection des données à caractère personnel est un sujet que le Groupe place au cœur de ses engagements en matière de conformité.

A titre liminaire, il est important de souligner que dans le cadre des traitements qu’elles met en œuvre, tant en qualité de responsable de traitement que de sous-traitant, chaque société du Groupe s’engage à respecter les dispositions applicables en matière de protection des données à caractère personnel, notamment celles du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « loi Informatique et libertés »).

Le Groupe veille également attentivement à ce que ses partenaires commerciaux, ses fournisseurs, ses prestataires ou toute autre personne avec laquelle il travaille ou collabore respectent ces mêmes valeurs et principes relatifs à la protection des données à caractère personnel.

Objet de la Charte

Conscient de l’enjeu que représente la protection des données à caractère personnel et dans un souci de transparence, Vivendi a, dès 2008, élaboré une Charte de protection des données à caractère personnel, librement accessible sur son site internet (le « Site ») et régulièrement mise à jour.

Pour obtenir de plus amples informations concernant un traitement en particulier, vous êtes invité(e) à consulter la politique de protection des données à caractère personnel dédiée au Traitement concerné ou à nous contacter à l’adresse indiquée au paragraphe « Contact » ci-dessous. Pour toute information concernant un Traitement mis en œuvre par l’une des sociétés du Groupe, nous vous invitons à contacter la filiale concernée directement.

Avertissement

Le contenu de la Charte est susceptible d’être mis à jour à tout moment. Toute modification, adjonction ou suppression prendra effet immédiatement à compter de sa publication sur le Site. Nous vous invitons donc à consulter la Charte régulièrement afin de prendre connaissance de la dernière version applicable.

Par ailleurs, le Site est susceptible de contenir des liens vers des sites Internet des sociétés du Groupe ou édités par des tiers, qui sont régis par leur propre politique de confidentialité. La Charte ne s’applique pas à ces sites. Nous vous invitons donc à consulter les politiques de confidentialité correspondantes pour savoir comment sont traitées vos données. Vivendi décline toute responsabilité quant à l’utilisation de vos Données à caractère personnel sur ces sites.

Les termes commençant par une majuscule, employés dans la Charte, au singulier comme au pluriel, ont, sauf définition contraire expresse stipulée dans la Charte, le sens qui leur est donné par l’article 4 du RGPD.

Rôle de Vivendi

En principe, Vivendi est Responsable du traitement s’agissant de tout Traitement intervenant dans le cadre de son activité et pour lesquels Vivendi détermine les finalités et les moyens. A titre d’exemple, Vivendi est Responsable du traitement des Données à caractère personnel de ses collaborateurs dans le cadre de sa gestion des ressources humaines. Vivendi est également Responsable du traitement des Données à caractère personnel de tout internaute qui navigue sur son site internet.

Principes inhérents à tout Traitement

Pour fournir certains services et/ou produits, Vivendi a nécessairement besoin d’obtenir communication de certaines Données à caractère personnel. Dans le cas où la Personne concernée ne souhaiterait pas communiquer ses Données à caractère personnel, Vivendi ne pourrait pas lui fournir lesdits services et/ou produits concernés.

De manière générale, dans le cadre des Traitements qu’elle effectue, Vivendi s’attache à :

• traiter les Données à caractère personnel de manière licite, loyale et transparente au regard de la Personne concernée ;
• collecter uniquement des Données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies ;
• ce que les Données à caractère personnel soient exactes et, si nécessaire, les tenir à jour en les effaçant et/ou rectifiant.

En outre, Vivendi ne collecte des Données à caractère personnel que pour des finalités déterminées, explicites et légitimes et s’engage à ne pas les traiter ultérieurement d’une manière incompatible avec les finalités initialement poursuivies.

Si Vivendi est amenée à traiter des Données à caractère personnel pour des finalités autres que celles initialement poursuivies, elle en informe aussitôt toute Personne concernée et procède à toutes les démarches préalables éventuellement nécessaires (ex : information préalable du Conseil Economique et Social).

De manière générale, Vivendi s’attache à ne communiquer les Données à caractère personnel qu’elle collecte qu’aux seules personnes habilitées à les consulter et à les traiter compte tenu de leur mission et dans les limites strictement nécessaires à la finalité poursuivie par le Traitement concerné.

Enfin, les Données à caractère personnel ne sont jamais cédées à des tiers sans l’accord préalable et exprès de la Personne concernée.

Catégories de données collectées

La nature des Données à caractère personnel que Vivendi collecte varie en fonction des finalités qu’elle poursuit et des services et/ou produits qu’elle fournit. Ces Données à caractère personnel peuvent notamment être :

• des données relatives à l’identité : nom, prénom, sexe, adresse électronique et postale, date et lieu de naissance, photographie, etc.
• des données relatives à la vie professionnelle : CV, diplômes, formation, fonction, employeur, lieu de travail, adresse électronique professionnelle, etc.
• des données de nature économique : revenus, coordonnées bancaires, etc.
• des données de connexion : adresse IP, identifiant, etc.

En principe, Vivendi ne collecte pas de catégories particulières de Données à caractère personnel au sens de l’article 9 du RGPD, sauf dans les cas où la législation et/ou réglementation lui impose, notamment s’agissant de la collecte et du traitement du numéro de sécurité sociale de ses salariés aux fins d’établissement de leur fiche de paie et du respect des obligations légales y afférentes.

Bases juridiques du Traitement

Conformément à l’article 6 du RGPD, Vivendi ne collecte des Données à caractère personnel que sous réserve de disposer d’une base juridique lui permettant de le faire.
Selon le Traitement concerné, les Données à caractère personnel sont collectées et traitées par Vivendi sur la base :

• du consentement de la Personne concernée (ex : lorsque Vivendi répond à une réclamation qu’une Personne concernée lui a adressée) ; et/ou
• d’un contrat auquel la Personne concernée est partie (ex : pour l’exécution du contrat de travail au bénéfice de la Personne concernée) ; et/ou
• d’une obligation légale à laquelle Vivendi est soumis (ex : pour respecter ses obligations comptables ou mettre à disposition de ses collaborateurs externes et internes un dispositif d’alerte professionnelle) ; et/ou
• de la poursuite par Vivendi de ses intérêts légitimes (ex : mise en place de caméra de vidéosurveillance dans les locaux de Vivendi ; cybersurveillance du Site…).

Destinataires des données

Selon le Traitement concerné, Vivendi peut être amenée à communiquer les Données à caractère personnel qu’elle a collectées notamment aux catégories de destinataires :

• tout service compétent de Vivendi et/ou de toute entité du Groupe ;
• ses partenaires commerciaux ;
• ses prestataires et sous-traitants ;
• tous avocats, auxiliaires de justice et officiers ministériels ;
• toutes autorités administratives ou judiciaires ;
• ses auditeurs externes ou internes.

Transferts hors de l’Espace Economique Européen

Vivendi s’attache autant que possible à traiter les Données à caractère personnel en France ou au sein de l’Espace Economique Européen (« EEE »). Toutefois, dans le cadre de l’exercice de son activité, Vivendi est parfois contrainte de faire appel à des prestataires de services, des partenaires ou des filiales situés hors de l’EEE.

Dans une telle hypothèse, et si aucune décision de la Commission européenne ne prévoit que le pays ou le territoire vers lequel le transfert est envisagé assure un niveau de protection adéquat, tout transfert de Données à caractère personnel en dehors de l’EEE entraîne automatiquement la mise en place de garanties appropriées conformes à la législation et réglementation applicables en matière de protection des Données à caractère personnel. En particulier, Vivendi conclut systématiquement un contrat encadrant sa relation avec le prestataire, le partenaire ou la filiale situé hors de l’EEE, en précisant la qualification des parties ainsi que leurs obligations et responsabilités réciproques. Vivendi y annexe, en outre, des clauses contractuelles types validées par la Commission Européenne et vérifie, par le biais d’audits ou de questionnaires ad hoc, que l’importateur de Données à caractère personnel a mis en place toute mesure complémentaire, technique, juridique et organisationnelle, propre à assurer une protection appropriée des Données à caractère personnel concernées.

Durée de conservation

Vivendi conserve les Données à caractère personnel pendant la durée strictement nécessaire au regard de la (des) finalité(s) pour la(es)quelle(s) elles ont été collectées.

Une fois cette durée de conservation échue et avant la suppression définitive des Données à caractère personnel, Vivendi procède, pour certains Traitements, à une archive intermédiaire des Données à caractère personnel pendant un délai déterminé (ex : délai de prescription légal de l’action qui pourrait être engagée, afin de pouvoir assurer la défense de ses droits), ce conformément à la législation et réglementation applicables.

Mesures de sécurité

Vivendi met en œuvre toutes les mesures techniques et organisationnelles propres à assurer la sécurité et la confidentialité des Données à caractère personnel qu’elle traite dans le cadre de ses activités, conformément aux dispositions légales et règlementaires applicables.

Vivendi exige également de ses prestataires, partenaires et sous-traitants à qui elle communique des Données à caractère personnel qu’ils présentent des garanties appropriées et appliquent des mesures de sécurité suffisantes pour assurer la protection des Données à caractère personnel qui leur sont communiquées. Vivendi s’assure de leurs engagements par voie de contractualisation écrite.

Contact

Pour toute question et/ou précision concernant la Charte et la manière dont Vivendi traite les Données à caractère personnel ou en cas de demande d’exercice de droits, vous pouvez contacter notre Délégué à la Protection des Données par courrier électronique à l’adresse suivante : privacy@vivendi.com.

Afin de répondre à votre demande, un justificatif d’identité ainsi que des informations complémentaires pourront vous être demandés.

En tout état de cause, vous pouvez contacter la Commission Nationale de l’Informatique et des Libertés – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07, Tél. : 01 53 73 22 22, www.cnil.fr.