Version 1
Le présent Protocole de traitement des données (le « Protocole ») explique comment Willis Towers Watson traite les données personnelles pour le compte de ses clients ou licenciés (le « Client »).
Le Protocole fait partie de tout contrat en vigueur entre Willis Towers Watson et le Client qui y fait explicitement référence (le « Contrat »). Si ce Protocole contient des termes qui sont définis dans le Règlement général sur la protection des données (Règlement (UE) 2016/679) (le « Règlement »), alors les définitions visées dans ledit Règlement s’appliqueront.
Traitement des données
En ce qui concerne les données personnelles traitées par Willis Towers Watson pour le compte du Client (voir l’Annexe 1), Willis Towers Watson respectera les engagements suivants :
Restrictions d’utilisation. Willis Towers Watson traitera les données personnelles uniquement pour fournir le service correspondant, conformément aux instructions écrites du Client, ou autrement lorsque la loi l’impose.
Confidentialité. Willis Towers Watson conservera les données personnelles de manière confidentielle et fera en sorte que le personnel de Willis Towers Watson qui traite des données personnelles les protège conformément aux dispositions du présent Protocole.
Programme de sécurité de l’information. Willis Towers Watson établira et tiendra à jour un programme de sécurité de l’information contenant les mesures administratives, techniques et physiques mises en place pour protéger les données personnelles contre les menaces et les risques d’atteinte à leur sécurité, leur confidentialité ou leur intégrité.
Assistance. Willis Towers Watson s'engage:
i. en prenant en compte la nature du traitement et dans la mesure du possible, à mettre en place des mesures techniques et organisationnelles pour aider le Client à s'acquitter de son obligation de répondre aux demandes des personnes physiques qui exercent leurs droits au titre du Chapitre III du Règlement ;
ii. en prenant en compte la nature du traitement et les informations à disposition de Willis Towers Watson, à aider le Client à s'acquitter de ses obligations consistant à mettre en œuvre des mesures de sécurité appropriées, à signaler les violations de données personnelles aux autorités de contrôle et aux personnes concernées, et à mener des études d'impact sur la vie privée et consulter les autorités de contrôle à l'issue de ces études d'impact lorsque cela est nécessaire ; et
iii. à mettre à disposition du Client toutes les informations raisonnablement demandées par le Client pour l'aider à démontrer le respect de toutes ses obligations telles que définies dans l'Article 28 du Règlement en lien avec la désignation des sous-traitants, et contribuer aux inspections menées par le Client ou tout autre auditeur désigné par le Client.
Willis Towers Watson peut facturer des frais raisonnables pour toute l’assistance décrite ci-dessus, excepté lorsque l’assistance a été demandée directement en conséquence des propres actions ou omissions de Willis Towers Watson, auquel cas ladite assistance restera à la charge de Willis Towers Watson. Le Client s’engage à informer Willis Towers Watson de toute demande d’audit au moins trente (30) jours à l’avance. Le Client n’est pas autorisé à mener un audit qui serait susceptible de compromettre les obligations de confidentialité à l’égard de tout autre client de Willis Towers Watson et, s’il souhaite désigner un autre auditeur pour réaliser l’audit, il devra veiller à ce que cet auditeur conclut un accord de confidentialité avec Willis Towers Watson sous la forme exigée par Willis Towers Watson.
Incident de sécurité. Willis Towers Watson s’engage à informer le Client sans délai dès lors que Willis Towers Watson considère qu’il y a eu une atteinte à la sécurité ayant entraîné une destruction, perte ou altération accidentelle ou illégale, ou bien un accès à ou une divulgation non autorisé(e), des données personnelles traitées par Willis Towers Watson dans le cadre du présent Protocole (un « Incident de sécurité »). Après l’avoir signalé, Willis Towers Watson enquêtera sur l’Incident de sécurité et prendra les mesures nécessaires pour remédier ou minimiser l’impact de l’Incident de sécurité et tenir le Client informé de l’évolution de l’Incident de sécurité et de toutes les questions associées.
Restitution ou suppression. Le Client peut demander à Willis Towers Watson de supprimer ou restituer les données personnelles à la fin de la période au cours de laquelle Willis Towers Watson traite les données personnelles du Client, conformément à l’Annexe 1.
Sous-traitance
Le Client comprend et accepte que Willis Towers Watson puisse recourir à des sous-traitants pour fournir les services aux termes du Contrat. Ceux-ci seront identifiés et autorisés dans le Contrat spécifiqueconclu par le Client avec Willis Towers Watson, le cas échéant. Willis Towers Watson demeurera le principal responsable de l’exécution de ses obligations en vertu du présent Protocole et veillera à ce que ses contrats avec lesdits sous-traitants soient au moins aussi restrictifs que le présent Protocole. Willis Towers Watson peut modifier ou ajouter des sous-traitants sous réserve d’en informer préalablement et par écrit le Client, afin que ce dernier ait la possibilité de s’y opposer, pour un motif raisonnable.
Données anonymes et pseudonyme
Le Client reconnaît que les services incluent le recours à des techniques de pseudonymisation et d'anonymisation à des fins de constitution de rapports agrégés et de recherche (au sujet des tendances), et acdepte que Willis Towers Watson utilise des données anonymes et pseudonymes pour ses propres besoins. Willis Towers Watson s'engage à respecter toutes les lois applicables en matière de protection des données pour ledit traitement.
Données
Le Client accepte que Willis Towers Watson puisse transférer les données personnelles à ses filiales et sous-traitants à l'intérieur et à l'extérieur de l'Espace économique européen (EEE) à des fins d'assistance et de sauvegarde. Willis Towers Watson a mis en place des mesures visant à protéger les données personnelles transférées vers l'extérieur de l'EEE, y compris des protections contractuelles adaptées.
Annexe 1 - Description du traitement des données personnelles
1. Objet, nature et finalité
L'ensemble des traitements (y compris la collecte, l'organisation et l'analyse des données personnelles), sont opérés lorsque cela est nécessaire pour faciliter ou aider à la fourniture des services décrits dans le Contrat.
2. Durée du traitement des données personnelles
Willis Towers Watson traitera les données personnelles aussi longtemps qu'il fournira des services au Client et les archivera après cette date dans la mesure nécessaire à des fins professionnelles légitimes.
3. Catégories de personnes:
Les personnes concernées par les traitements peuvent être les personnes désignées dans une politique ou un régime au titre desquels Willis Towers Watson s'engage à fournir ses services et/ou des personnes qui sont bénéficiaires desdits polices ou régimes ou ont présenté des réclamations à ce titre ou ont participé auxdits polices ou régimes. Généralement, les catégories de personnes concernées sont les suivantes : (1) les salariés, prestataires ou autres collaborateurs du Client (« Collaborateurs ») et/ou les membres de leur famille, leurs représentants ou autres personnes liées aux Collaborateurs ; (2) les anciens clients, ceux existants ou potentiels du Client, et/ou leurs salariés ou d'autres personnes qui leur sont liées, et/ou les membres de leur famille, leurs représentants ou d'autres personnes liées à eux ; et/ou (3) les plaignants ou déclarants passés, actuels ou potentiels relativement à une police d'assurance, ou les membres de leur famille, leurs représentants ou d'autres personnes qui leur sont liées.
4. Catégories de données personnelles:
Les services fournis dans le cadre du Contrat peuvent impliquer le traitement des catégories suivantes de données personnelles:
- noms et coordonnées ;les informations démographiques (comme le sexe, l'âge, la date de naissance, le statut matrimonial, la nationalité, l'éducation/le parcours professionnel, les qualifications scolaires/professionnelles, les informations d'emploi, les hobbies, la structure familiale et les personnes dépendantes) ;
- les documents d'identification personnelle et les informations connexes comme les numéros de passeport et d'identification d'employé ;
- les données financières et de paiement comme les numéros de compte bancaire et les informations relatives aux transactions;
- les informations liées à la fourniture des services, comme les informations de police souscrite et de déclaration, y compris les informations liées aux incidents donnant lieu aux déclarations et les pertes y afférentes ;
- les dossiers de communication et les vidéos prises par les caméras de surveillance; et
- les données relatives à la situation professionnelle, comme l'intitulé de poste et les fonctions ; les avantages et les informations relatives à la rémunération ; les informations relatives aux personnes dépendantes/bénéficiaires ; les informations sur la formation, les compétences universitaires et professionnelles ; les coordonnées d'urgence ; et les informations de gestion de la performance.
5. Catégories particulières de données personnelles mentionnées à l'Article 9 du Règlement:
Les données personnelles traitées par Willis Towers Watson peuvent comprendre les catégories particulières de données suivantes : caractéristiques personnelles et situations de nature sensible telles que l'origine raciale ou ethnique, la vie sexuelle, la santé mentale et physique, les informations génétiques, les détails des blessures, les médicaments et traitements reçus, les croyances politiques ou religieuses, l'appartenance syndicale et les antécédents judiciaires, les amendes et casiers judiciaires.