Version 1
Le présent Protocole de traitement des données (le « Protocole ») explique comment Willis Towers Watson traite les données personnelles pour le compte de ses clients ou licenciés (le « Client »).
Le Protocole fait partie de tout contrat en vigueur entre Willis Towers Watson et le Client qui y fait explicitement référence (le « Contrat »). Si ce Protocole contient des termes qui sont définis dans le Règlement général sur la protection des données (Règlement (UE) 2016/679) (le « Règlement »), alors les définitions vissées dans ledit Règlement s'appliqueront.
Traitement des données.
En ce qui concerne les données personnelles traitées par Willis Towers Watson pour le compte du Client (voir l'Annexe 1), Willis Towers Watson respectera les engagements suivants :
Restrictions d'utilisation. Willis Towers Watson traitera les données personnelles uniquement pour fournir les services correspondants, conformément aux instructions écrites fournies du Client, ou autrement lorsque la loi l'impose.
Confidentialité. Willis Towers Watson conservera les données personnelles de manière confidentielle et fera en sorte que le personnel de Willis Towers Watson qui traite des données personnelles les protège conformément aux dispositions du présent Protocole.
Programme de sécurité de l'information. Willis Towers Watson établira et tiendra à jour par écrit un programme de sécurité de l'information qui contenant les mesures administratives, techniques et physiques mises en place pour protéger les données personnelles contre les menaces et les risques d'atteinte à leur sécurité, leur confidentialité ou leur intégrité.
Assistance. Willis Towers Watson s'engage:
i. en prenant en compte la nature du traitement et dans la mesure du possible, à mettre en place des mesures techniques et organisationnelles pour aider le Client à s'acquitter de son obligation de répondre aux demandes des personnes physiques qui exercent leurs droits au titre du Chapitre III du Règlement ;
ii. en prenant en compte la nature du traitement et les informations à disposition de Willis Towers Watson, à aider le Client à respecter ses obligations consistant à mettre en œuvre des mesures de sécurité appropriées, à signaler toutes violations de données personnelles aux autorités de contrôle et aux personnes concernées, et à mener des analyses d'impact relatives à la protection des données et consulter les autorités de contrôle en relation avec ces analyses d'impact relatives à la protection des données lorsque cela est nécessaire ; et
iii. à mettre à disposition du Client toutes les informations raisonnablement demandées par le Client pour l'aider à démontrer le respect des obligations définies dans l'Article 28 du Règlement relatives la désignation des sous-traitants, et contribuer aux inspections menées par le Client ou tout autre auditeur désigné par le Client.
Willis Towers Watson peut facturer des frais raisonnables pour toute l'assistance décrite ci-dessus, excepté lorsque cette assistance a été demandée directement en conséquence des propres actions ou omissions de Willis Towers Watson, auquel cas ladite assistance restera à charge de Willis Towers Watson. Le Client s'engage à informer Willis Towers Watson de toute demande d'audit par un préavis de trente (30) jours. Le Client n'est pas autorisé à mener un audit qui serait susceptible de compromettre les obligations de confidentialité de Willis Towers Watson à l'égard de tout autre client de Willis Towers Watson et, si le Client souhaite désigner un autre auditeur pour effectuer l'audit, il devra veiller à ce que cet auditeur conclue un accord de confidentialité avec Willis Towers Watson sous la forme exigée par Willis Towers Watson.
Incident de sécurité. Willis Towers Watson s'engage à informer le Client sans délai dès lors que Willis Towers Watson considère qu'il y a eu une atteinte à la sécurité ayant entraîné une destruction, perte ou altération accidentelle ou illégale, ou un accès à ou une divulgation non autorisé(e), des données personnelles traitées par Willis Towers Watson dans le contexte du présent Protocole (un « Incident de sécurité »). Après avoir signalé l'Incident de sécurité, Willis Towers Watson enquêtera sur cet Incident de sécurité et prendra les mesures nécessaires pour remédier ou minimiser l'impact de l'Incident de sécurité et tiendra le Client informé de l'évolution de l'Incident de sécurité et de toutes les questions associées.
Restitution ou suppression. Le Client peut demander à Willis Towers Watson de supprimer ou restituer les données personnelles à la fin de la période au cours de laquelle Willis Towers Watson traite les données personnelles du Client, conformément à l'Annexe 1.
Sous-traitance
Le Client comprend et accepte que Willis Towers Watson puisse recourir à des sous-traitants pour fournir les services aux termes du Contrat. Ceux-ci seront identifiés et autorisés dans le Contrat spécifiques conclu par le Client avec Willis Towers Watson, le cas échéant. Willis Towers Watson demeurera le principal responsable de l'exécution de ses obligations en vertu du présent Protocole et veillera à ce que ses contrats avec lesdits sous-traitants soient au moins aussi restrictifs que le présent Protocole. Willis Towers Watson peut modifier ou ajouter occasionnellement des sous-traitants sous réserve d'en informer préalablement et par écrit le Client, afin que ce dernier ait la possibilité de s'opposer, pour un motif raisonnable, à la proposition de modification ou d'ajout des sous-traitants.
Données anonymes et sous pseudonyme
Le Client reconnaît que les services incluent le recours à des techniques de pseudonymisation et d'anonymisation à des fins de constitution de rapports agrégés et de recherche (au sujet des tendances), et accepte que Willis Towers Watson utilise des données anonymes et pseudonymes pour ses propres besoins commerciaux. Willis Towers Watson s'engage à respecter toutes les lois applicables en matière de protection des données pour ledit traitement.
Données
Le Client accepte que Willis Towers Watson puisse transférer les données personnelles à ses sociétés filiales et ses sous-traitants à l'intérieur et à l'extérieur de l'Espace économique européen (EEE) à des fins d'assistance et de sauvegarde. Willis Towers Watson a mis en place des mesures visant à protéger les données personnelles transférées vers l'extérieur de l'EEE, y compris des protections contractuelles adaptées.
Annex 1 - Description du traitement des données personnelles
1. Objet, nature et finalité
L'ensemble des traitements des données personnelles (y compris la collecte, l'organisation et l'analyse des données personnelles) sont opérés lorsque cela est requis pour faciliter ou aider la prestation des services décrits dans le Contrat.
2. Durée du traitement des données personnelles
Willis Towers Watson traitera les données personnelles aussi longtemps qu'il fournira des services au Client et les archivera après cette date dans la mesure nécessaire à des fins professionnelles légitimes.
3. Catégories de personnes :
Les personnes concernées par les traitements de données peuvent être les personnes désignées dans une politique ou un régime au titre desquels Willis Towers Watson s'engage à fournir ses services et/ou des personnes qui sont bénéficiaires desdits régimes ou polices ou ont présenté des réclamations à ce titre ou ont participé auxdits régimes et polices. Généralement, les catégories de personnes concernées sont les suivantes : (1) les salariés, prestataires ou autres collaborateurs du Client (« Collaborateurs ») et/ou les membres de leur famille, leurs représentants ou autres personnes liées aux Collaborateurs ; (2) les anciens clients, ceux existants ou potentiels du Client, et/ou leurs salariés ou d'autres personnes qui leur sont liées, et/ou les membres de leur famille, leurs représentants ou d'autres personnes liées à eux ; et/ou (3) les plaignants ou déclarants passés, actuels ou potentiels relativement à une police d'assurance, ou les membres de leur famille, leurs représentants ou d'autres personnes qui leur sont liées.
4. Catégories de données personnelles :
Les services fournis dans le cadre du Contrat peuvent impliquer le traitement des catégories suivantes de données personnelles :
- noms et coordonnées ;
- les informations démographiques (comme le sexe, l'âge, la date de naissance, le statut matrimonial, la nationalité, l'éducation/le parcours professionnel, les qualifications scolaires/académiques/professionnelles, les informations relatives à l'emploi, les hobbies, la structure familiale et les personnes dépendantes) ;
- les documents d'identification personnelle et les informations connexes comme les numéros de passeport et d'identification d'employé ;
- les données financières et de paiement comme les numéros de compte bancaire et les informations relatives aux transactions ;
- les informations liées à la fourniture des services, comme les informations de police souscrite et de déclaration, y compris les informations liées aux incidents donnant lieu aux déclarations et les pertes y afférentes ;
- les dossiers de communication et les vidéos prises par les caméras de surveillance ; et
- les données relatives aux ressources humaines, comme l'intitulé de poste et les fonctions ; les avantages et les informations relatives à la rémunération ; les informations relatives aux personnes dépendantes/bénéficiaires ; les informations sur l'éducation, les compétences universitaires et professionnelles ; les coordonnées d'urgence ; et les informations de gestion de la performance.
5. Catégories particulières de données personnelles mentionnées à l'Article 9 du Règlement :
Les données personnelles traitées par Willis Towers Watson peuvent comprendre les catégories particulières de données personnelles suivantes : caractéristiques personnelles et situations de nature sensible telles que l'origine raciale ou ethnique, la vie sexuelle, la santé mentale et physique, les informations génétiques, les détails des blessures, les médicaments et traitements reçus, les croyances politiques ou religieuses, l'appartenance syndicale et les antécédents judiciaires, amendes et casiers judiciaires .
