>> Afficher tous les Contrats d'utilisation

Règles de l'entreprise relatives à l'utilisateur PayPal

 

L'objectif du Groupe PayPal est d'appliquer des normes de respect de la vie privée et de protection des données uniformes, adéquates et globales pour le traitement de toutes les Données personnelles dans l'ensemble du Groupe PayPal. Les présentes Règles de l'entreprise relatives à l'utilisateur s'appliquent à toutes les Données personnelles des utilisateurs traitées par les Membres du groupe dans le monde entier.

Aux quatre coins du monde, les Utilisateurs fournissent leurs Données personnelles aux Membres du groupe pour utiliser les Services proposés par ce dernier. La plupart des Données personnelles des utilisateurs sont collectées et stockées aux États-Unis. L'activité internationale de PayPal requiert le partage des Données personnelles des utilisateurs avec les autres entités PayPal aux États-Unis et partout dans le monde où PayPal est actuellement présent ou prévoit de s'implanter.

Actuellement, les Employés situés dans les pays suivants de l'EEE peuvent accéder aux Données personnelles des utilisateurs : Luxembourg, Belgique, France, Allemagne, Irlande, Italie, Pays-Bas, Pologne, Espagne et Suède.

Les Employés se trouvant actuellement dans les pays hors UE suivants peuvent également accéder aux Données personnelles des utilisateurs : États-Unis d'Amérique, Taïwan, Turquie, Îles Vierges (britanniques), Australie, Canada, Chine, Hong Kong, Inde, Indonésie, Israël, Japon, République de Corée, Malaisie, Île Maurice, Philippines, Russie, Singapour, Suisse, Royaume-Uni, Argentine, Brésil et Mexique.

PayPal s'engage à protéger adéquatement les Données personnelles des utilisateurs, quel que soit l'endroit où elles se trouvent, y compris lors de leur transfert en dehors de l'EEE.

Le développement de l'activité de l'entreprise peut entraîner la modification de cette liste de pays.

 

1. Rôles et structure de la gouvernance du respect de la vie privée

Les Règles de l'entreprise relatives à l'utilisateur sont rendues juridiquement contraignantes par un accord (l'"IGA") entre PayPal (Europe) S.à r.l. & Cie, S.C.A. ("membre principal du groupe") et les autres entités du Groupe PayPal. L'IGA exige des Membres du groupe qu'ils se conforment aux présentes Règles de l'entreprise relatives à l'utilisateur. Les Membres du groupe exigent de leurs Employés qu'ils se conforment aux présentes Règles de l'entreprise relatives à l'utilisateur lorsqu'ils traitent les Données personnelles des utilisateurs.

Les chefs d'entreprise et la direction du Groupe PayPal doivent faire respecter la conformité aux présentes Règles de l'entreprise, en s'assurant notamment que les Employés en ont connaissance et qu'ils les respectent.

Le responsable de la conformité dirige le programme de respect de la vie privée de PayPal. Il est titulaire d'un poste supérieur au sein de PayPal Holdings, Inc. et rend directement des comptes au responsable de la conformité ou au plus haut dirigeant de PayPal chargé de la conformité. Le responsable de la conformité supervise l'Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale et interagit avec d'autres organisations ou équipes internes, comme les services chargés des opérations, de la sécurité informatique, de la conformité, de la gestion des risques et des audits internes pour garantir des communications, pratiques et politiques cohérentes en termes de respect de la vie privée au sein du Groupe PayPal. L'Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale développe sa stratégie de conformité et en coordonne la mise en place au sein du Groupe PayPal. Elle veille également à la conformité opérationnelle. L'Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale a des représentants directs et indirects dans le Groupe PayPal qui veillent notamment à la conformité avec les Règles de l'entreprise relatives à l'utilisateur et les lois applicables en matière de protection des données.

Le responsable juridique dédié au respect de la vie privée supervise l'Équipe juridique PayPal dédiée au respect de la vie privée à l'échelle mondiale. Il est sous l'autorité directe du responsable du service juridique ou du cadre supérieur exerçant la fonction juridique la plus élevée chez PayPal.  Le responsable juridique dédié au respect de la vie privée définit les obligations de la société selon les lois applicables en matière de protection des données et les présentes Règles de l'entreprise relatives à l'utilisateur. L'Équipe juridique PayPal dédié au respect de la vie privée à l'échelle mondiale et lui-même travaillent en étroite collaboration avec le responsable de la conformité et l'Équipe de conformité PayPal dédiés au respect de la vie privée à l'échelle mondiale, et interagissent avec d'autres organisations et équipes internes, comme les services juridiques, des opérations, de la sécurité informatique et de la gestion des risques pour fournir des conseils juridiques sur des problèmes de respect de la vie privée évoluant au sein du Groupe PayPal, à l'échelle internationale, et en interpréter les implications juridiques et réglementaires.

Collectivement, l'Équipe de conformité PayPal et l'Équipe juridique PayPal dédiées au respect de la vie privée à l'échelle mondiale constituent l'Équipe PayPal dédiée au respect de la vie privée à l'échelle mondiale.

Le Responsable européen de la protection des données, qui se trouve à Luxembourg, est nommé par la direction de PayPal (Europe) S.à r.l. et Cie, SCA, dont il est le subordonné direct. Le Responsable européen de la protection des données fait office de contact principal pour les Autorités chargées de la protection des données de l'EEE et a notamment pour mission : d'informer et de conseiller les Membres du groupe et leurs Employés traitant des données personnelles de leurs obligations, en vertu des lois relatives au respect de la vie privée, de garantir la conformité avec les présentes Règles de l'entreprise relatives à l'utilisateur, de travailler avec l'Équipe PayPal dédiée au respect de la vie privée à l'échelle mondiale pour veiller à l'observation des lois en matière de respect de la vie privée et des politiques associées des Membres du groupe, ainsi que de fournir aux Membres du groupe, sur demande, des conseils juridiques sur l'évaluation de l'impact de la protection des données et sa mise en place.

 

2. Principes de traitement des Données personnelles des utilisateurs

Les Membres du groupe respectent les principes de traitement suivants pour les Données personnelles des utilisateurs.

2.1 Restriction de l'objet

Les Données personnelles des utilisateurs doivent être seulement traitées à des fins spécifiques, explicites et légitimes. Les Données personnelles des utilisateurs peuvent notamment être traitées pour :

- Offrir et faciliter la fourniture des Services à la demande des Utilisateurs, notamment l'ouverture d'un compte

- Améliorer les Services et en développer de nouveaux

- Résoudre et gérer les litiges, résoudre les problèmes et assurer un Service clientèle

- Gérer les risques

- Traiter les transactions et prélever les commissions

- Vérifier la solvabilité

- Mesurer l'intérêt des Utilisateurs vis-à-vis des Services, et évaluer leurs commentaires et opinion à ce sujet. Informer les Utilisateurs des offres, Services et mises à jour en ligne et hors ligne

- Personnaliser l'expérience des Utilisateurs

- Détecter erreurs, fraudes et autres activités criminelles, et assurer la protection correspondante

- Satisfaire aux obligations juridiques, contractuelles ou réglementaires du Groupe PayPal

- Appliquer les Conditions générales du Service et toute autre condition indiquée aux Utilisateurs au moment de la collecte des Données personnelles et dans le règlement sur le respect de la vie privée du Service

- Protéger la sécurité, l'intégrité et la disponibilité des Services et du réseau du Groupe PayPal

- Protéger les garanties et intérêts juridiques du Groupe PayPal, notamment leur introduction, leur application ou leur défense en cas de réclamations fondées en droit

Le traitement des Données personnelles des utilisateurs à d'autres fins est soumis à l'accord préalable de l'Équipe juridique PayPal dédiée au respect de la vie privée à l'échelle mondiale. En cas de doute, les Membres du groupe devront se rapprocher de l'Équipe juridique PayPal dédiée au respect de la vie privée à l'échelle mondiale.

Les Données personnelles des utilisateurs ne doivent pas faire l'objet d'un traitement plus poussé incompatible avec les fins susmentionnées, sauf si ce traitement est motivé juridiquement en vertu de la loi applicable dans le pays de l'EEE du Membre du groupe chargé de la collecte et/ou du transfert des Données personnelles des utilisateurs.   

2.2 Qualité des données et proportionnalité

Les Données personnelles des utilisateurs doivent :

  • Être exactes et, si nécessaire, à jour
  • Être adéquates, pertinentes et non excessives au regard des fins pour lesquelles elles sont traitées
  • Ne pas être conservées plus longtemps que nécessaire pour parvenir aux fins auxquelles elles ont été initialement collectées ou traitées

Les Données personnelles des utilisateurs n'étant plus nécessaires aux fins pour lesquelles elles ont été traitées doivent être effacées, supprimées, détruites ou anonymisées, sauf si un traitement plus poussé est juridiquement motivé ou si la loi applicable en exige la conservation.

2.3 Motifs juridiques de traitement

Les Membres du groupe s'assurent que les Données personnelles d'un Utilisateur sont traitées de manière juste et légale, notamment pour au moins l'un des motifs juridiques suivants :

  • Consentement sans équivoque de l'Utilisateur
  • Traitement nécessaire à l'exécution d'un contrat duquel l'Utilisateur est une partie ou à la prise de mesures, à la demande de l'Utilisateur, avant la conclusion d'un contrat
  • Traitement nécessaire au respect d'une obligation légale à laquelle les Membres du groupe sont soumis
  • Traitement nécessaire à la protection des intérêts vitaux de l'Utilisateur
  • Traitement nécessaire à l'exécution d'une tâche d'utilité publique ou dans l'exercice d'une autorité officielle conférée à un tiers ou aux Membres du groupe auxquels les données sont divulguées
  • Traitement nécessaire aux fins des intérêts légitimes du Membre du groupe ou du/des tiers auxquels les données sont divulguées, sauf si les intérêts des droits et libertés fondamentales de l'Utilisateur prévalent sur ces intérêts légitimes

De manière générale, les Membres du groupe ne collectent pas de Données personnelles à caractère sensible. Lorsque cette collecte est nécessaire ou lorsque l'Utilisateur fournit de lui-même ces informations, les Membres du groupe veillent à ce que les Données personnelles à caractère sensible soient traitées uniquement pour au moins l'un des motifs suivants :

  • Consentement exprès de l'Utilisateur
  • Traitement nécessaire à la protection des intérêts vitaux de l'Utilisateur ou d'une autre personne si l'Utilisateur est physiquement ou juridiquement incapable de donner son consentement
  • Traitement concernant les Données personnelles d'un Utilisateur, manifestement rendues publiques par ce dernier
  • Traitement nécessaire à la création, l'exercice ou la défense de réclamations fondées en droit

Lorsque le traitement implique une prise de décision automatique ("Décision automatisée"), les Membres du groupe proposent des mesures adaptées pour protéger les intérêts légitimes de l'Utilisateur, par exemple en offrant à l'Utilisateur la possibilité de demander à un représentant du Service clientèle de vérifier individuellement la décision et d'autoriser l'Utilisateur à donner son point de vue. Le représentant du Service clientèle signalera le problème au Responsable européen de la protection des données si l'Utilisateur continue à refuser une décision automatisée. Si nécessaire, le responsable juridique dédié au respect de la vie privée sera consulté et le responsable de la conformité dédié au respect de la vie privée en sera informé.

2.4 Transparence

Lorsque vous collectez les Données personnelles des utilisateurs, les Membres du groupe doivent indiquer à ces derniers :

  • Le nom et l'adresse du Membre du groupe responsable de la collecte et du traitement initiaux
  • Les catégories de Données personnelles des utilisateurs concernées
  • Les fins prévues du traitement
  • La catégorie à laquelle appartiennent les Responsables du traitement et tiers destinataires des Données personnelles des utilisateurs
  • Si les réponses aux questions sont obligatoires ou facultatives, ainsi que les conséquences possibles d'un défaut de réponse
  • L'existence de droits de l'Utilisateur
  • Dans le cas d'une décision automatisée, la logique sous-jacente

Les Membres du groupe peuvent communiquer ces informations dans un règlement sur le respect de la vie privée d'un Service, qui doit être accessible via un lien et/ou affiché à un emplacement bien visible sur chaque site ou dans chaque application du Service et lors de l'inscription. L'obligation d'informer les Utilisateurs ne s'applique pas si ceux-ci ont déjà connaissance des informations.  

Lorsque la communication de ces informations s'avère impossible ou demanderait un effort disproportionné, les Membres du groupe peuvent s'abstenir de les communiquer. L'obtention indirecte des Données personnelles des utilisateurs serait le seul cas justifiant une telle absence de communication. 

Dans des circonstances exceptionnelles, la communication d'informations spécifiques peut être reportée ou omise, par exemple dans le cadre d'enquêtes pour conduite fautive ou non-respect des lois applicables, ou lorsque la communication des informations pourrait menacer l'intégrité de l'enquête.

2.5 Confidentialité et sécurité

Les Membres du groupe utilisent des contrôles de sécurité physiques, techniques et organisationnels proportionnels au volume et à la sensibilité des Données personnelles des utilisateurs pour empêcher tout traitement non autorisé, notamment l'accès non autorisé aux Données personnelles des utilisateurs, ou leur acquisition, perte, destruction ou détérioration. Les membres du groupe utilisent le chiffrement, des pare-feu, des contrôles d'accès, des normes et d'autres procédures afin de protéger les informations des Utilisateurs contre tout accès non autorisé. L'accès physique et logique aux fichiers électroniques et physiques est restreint selon les responsabilités professionnelles et les besoins commerciaux.

2.6 Options et droits des Utilisateurs

Les Utilisateurs peuvent accéder à et corriger la plupart des Données personnelles les concernant, conservées par les Membres du groupe, à l'aide de l'outil en ligne ou du processus en libre-service adéquat mis à leur disposition via le site ou l'application du Service.

Dans tous les cas, les Utilisateurs ont le droit d'envoyer une demande d'accès à leurs données pour consulter ou recevoir une copie des Données personnelles les concernant qu'ils ne peuvent pas consulter sur le site ou l'application du Service. Les utilisateurs doivent contacter le Service clientèle conformément aux indications données sur le site ou l'application du Service. Les Membres du groupe se conformeront aux demandes dans les délais prescrits par la loi applicable, sauf si ladite loi prévoit une exception à une telle obligation. Les utilisateurs devront peut-être fournir une preuve de leur identité et s'acquitter de frais de service, selon les exigences de la loi applicable.

Les Utilisateurs peuvent également demander la rectification de leurs données si celles-ci sont incomplètes ou inexactes. Les Membres du groupe se conformeront à ladite demande et informeront les Utilisateurs de la rectification de leur données. Les membres du groupe informeront également de toute rectification les tiers auxquels les données des Utilisateurs ont été divulguées, sauf si cela s'avère impossible ou demande un effort disproportionné.

Pour des raisons légitimes et impérieuses, les Utilisateurs peuvent contester le traitement de leurs Données personnelles. Les Membres du groupe se conformeront à ce type de demande, sauf si la conservation des Données personnelles des utilisateurs est exigée par la loi en vigueur ou pour défendre le Groupe PayPal contre les réclamations fondées en droit. Les Utilisateurs seront informés de l'issue de leur demande et des mesures prises par les Membres du groupe.

Par ailleurs, les Utilisateurs peuvent demander à clôturer leur compte en suivant les instructions fournies par le site ou l'application du Service. Les Membres du groupe procéderont alors à la suppression ou à l'anonymisation des informations des Utilisateurs d'un Service dès que raisonnablement possible selon l'activité du compte. Dans certains cas, les membres du groupe peuvent retarder la clôture d'un compte ou conserver les Données personnelles des utilisateurs à des fins d'enquête ou d'application de la loi en vigueur. Les Membres du groupe peuvent également conserver les Données personnelles associées à des comptes clôturés pour détecter et empêcher les fraudes, collecter des commissions, résoudre des litiges et des problèmes, faciliter les enquêtes, gérer les risques, appliquer les Conditions générales d'un service, se conformer aux exigences juridiques ou réglementaires, et prendre d'autres mesures autorisées par la loi applicable. Lesdites données ne seront pas conservées sous une forme permettant d'identifier les sujets correspondant aux données plus longtemps que nécessaire pour parvenir aux fins auxquelles les données ont été collectées ou ont fait l'objet d'un traitement supplémentaire, et seront supprimées lorsque le motif sous-jacent de leur conservation aura été traité ou résolu.

À l'exception des Utilisateurs ayant choisi de ne pas recevoir certaines communications, les Membres du groupe peuvent utiliser les Données personnelles des utilisateurs pour orienter leurs communications en fonction de leurs intérêts, conformément à la loi applicable. Les utilisateurs ne souhaitant pas recevoir les communications marketing du Groupe PayPal se verront offrir des moyens facilement accessibles de s'opposer à la réception de publicités, par exemple dans les paramètres de leur compte ou en suivant les indications fournies dans un email ou via un lien intégré dans une communication.

Les Utilisateurs peuvent exercer les droits susmentionnés en contactant le Service clientèle. Si l'identité d'un Utilisateur est difficile à vérifier, les Membres du groupe peuvent lui demander de fournir une preuve d'identité supplémentaire.

2.7 Divulgation des Données personnelles

Dans le cadre de leurs activités normales, les Membres du groupe peuvent partager les Données personnelles des utilisateurs avec d'autres Membres du groupe, dans le monde entier, aux fins mentionnées dans la section 2.1.

Conformément aux lois, traités et conventions internationales applicables, les Membres du groupe peuvent partager des Données personnelles avec les autorités policières et réglementaires lorsque cela est nécessaire dans une société démocratique pour préserver la sécurité nationale, et assurer la défense, la sécurité publique, la prévention, les enquêtes, la détection et les poursuites engagées en cas de délits et, notamment, pour se conformer aux sanctions définies dans les lois internationales et/ou nationales, et les exigences déclaratives fiscales ou de signalement d'actes relevant du blanchiment d'argent.

Les Membres du groupe ne sont pas autorisés à vendre ou à louer les Données personnelles des utilisateurs à des tiers, à leurs propres fins publicitaires, sans le consentement éclairé et sans équivoque des Utilisateurs. Les Membres du groupe peuvent divulguer les Données personnelles des utilisateurs à d'autres tiers conformément aux instructions ou au consentement des Utilisateurs (selon les autorisations conférées par la loi applicable).

Lors du transfert des Données personnelles des utilisateurs aux Responsables du traitement, ces derniers seront soumis à une évaluation des risques relatifs à la sécurité et à la protection des données, et au respect de la vie privée, avant toute tâche et tout autre transfert des Données personnelles des utilisateurs.La portée de l'évaluation variera selon la sensibilité des Données personnelles des utilisateurs traitées. Les Responsables du traitement, y compris les Membres du groupe agissant en qualité de Responsables du traitement, doivent conclure un accord avec les Membres du groupe concernés pour proposer des mesures adéquates en matière de respect de la vie privée, et de protection et de sécurité des données. Ledit accord doit inclure des clauses garantissant l'utilisation appropriée des Données personnelles des utilisateurs et des mesures de sécurité proportionnelles au volume, à la nature et à la sensibilité des Données personnelles concernées. Les garanties contractuelles doivent au moins couvrir les points suivants :

  • Exigences de conformité à la loi et de traitement des Données personnelles des utilisateurs conformément aux termes de l'accord et seulement sur les instructions des Membres du groupe concernés
  • Mesures techniques et organisationnelles adéquates et adaptées à la sensibilité des Données personnelles des utilisateurs et au traitement concernés
  • Droit de vérification de la conformité des Responsables du traitement avec les garanties contractuelles
  • Obligations de notification en cas de brèche de sécurité
  • Dispositions en matière de réparation en cas de non-respect, par le Responsable du traitement, de ses obligations juridiques ou contractuelles

L'accord doit prévoir des dispositions garantissant la suspension ou la résiliation de l'accord en cas de non-respect de ses termes, entre autres recours indiqués dans celui-ci.

L'évaluation du respect de la vie privée, et de la protection et de la sécurité des données n'est pas obligatoire pour les Responsables du traitement ayant déjà été soumis à une telle évaluation, sauf si les activités de traitement incluent des activités à haut risque, compte tenu de la nature et du volume des Données personnelles, et du type desdites activités de traitement.

Nonobstant ce qui précède, lorsque les Membres du groupe transfèrent les Données personnelles des utilisateurs de l'EEE à des Responsables du traitement qui n'appartiennent pas au groupe ou à des tiers : (i) résidant dans des pays n'offrant pas des niveaux de protection adéquats (au sens de la directive 95/46/CE), (ii) non couverts par des règles d'entreprise contraignantes approuvées, ou (iii) ne possédant pas d'autres dispositions susceptibles de répondre aux exigences relatives au niveau de satisfaction de l'UE, les Membres du groupe doivent s'assurer :

  • Que les tiers mettront en place des contrôles contractuels adéquats, comme des clauses contractuelles standard approuvées par la Commission européenne, offrant des niveaux de protection proportionnels aux présentes Règles de l'entreprise relatives à l'utilisateur, ou s'assurer que le transfert (i) s'effectue avec le consentement sans équivoque de l'Utilisateur, (ii) est nécessaire pour conclure ou exécuter un contrat conclu avec l'Utilisateur, (iii) est nécessaire ou juridiquement obligatoire pour des motifs d'utilité publique importants, ou (iv) est nécessaire pour protéger les intérêts vitaux de l'Utilisateur
  • Que les Responsables du traitement mettront en place des contrôles contractuels, comme des clauses contractuelles standard approuvées par la Commission européenne, offrant des niveaux de protection proportionnels aux présentes Règles de l'entreprise relatives à l'utilisateur
     

3. Mécanisme de présentation des plaintes

Si les Utilisateurs pensent que leurs Données personnelles ont été traitées d'une manière contrevenant aux présentes Règles de l'entreprise relatives à l'utilisateur, ils peuvent faire part de leur inquiétude au Service clientèle du Membre du groupe concerné via le site ou la messagerie électronique du Service concerné, ou de toute autre manière indiquée dans les Conditions générales applicables. Les Utilisateurs peuvent généralement trouver les réponses aux questions les plus fréquemment posées sur le respect de la vie privée en saisissant "respect de la vie privée" dans la section d'aide du Service concerné, qui les redirige normalement vers une page dédiée au respect de la vie privée ou au règlement correspondant. La section d'aide du Service concerné est l'unique point d'entrée de toutes les demandes des Utilisateurs concernant le respect de leur vie privée ou le traitement de leurs Données personnelles. Elle offre aux Utilisateurs la possibilité de contacter le Service clientèle. 

En cas de doute quant au canal à utiliser pour signaler des problèmes de respect de la vie privée, les Utilisateurs peuvent contacter le Responsable européen de la protection des données en ligne.

Le Service clientèle examine les problèmes soulevés par les Utilisateurs et tente de les résoudre. Les Employés responsables du traitement des problèmes liés au respect de la vie privée travaillent en étroite collaboration avec l'Équipe PayPal dédiée au respect de la vie privée à l'échelle mondiale et répondent aux Utilisateurs conformément aux politiques, procédures et directives de PayPal. Si les Utilisateurs pensent que leurs problèmes n'ont pas été traités de façon adéquate, ou s'ils n'ont pas reçu de réponse, ils peuvent demander à transférer leur problème au Responsable européen de la protection des données. Le responsable juridique dédié au respect de la vie privée sera consulté et le responsable de la conformité dédié au respect de la vie privée en sera informé. Les voies de transfert d'un problème doivent être déterminées selon la nature et la portée du problème, et doivent être communiquées sans délai à l'équipe appropriée. L'Utilisateur doit recevoir une réponse à sa plainte dans un délai raisonnable et, dans tous les cas, dans un délai maximal de trois (3) mois après la date du dépôt, sauf en cas de circonstances inhabituelles ou en présence de questions complexes, auquel cas l'Utilisateur sera informé de l'extension du délai maximal de réponse.

Le mécanisme de dépôt de plainte ne constitue aucunement une atteinte au droit des Utilisateurs de déposer une plainte auprès des Autorités chargées de la protection des données ou tribunaux compétents.

 

4. Responsabilité et droits des bénéficiaires tiers

Les Utilisateurs de l'EEE suspectant une violation des présentes Règles de l'entreprise relatives à l'utilisateur en dehors de l'EEE ont le droit de demander l'application desdites règles en tant que bénéficiaires tiers selon les sections 2, 3, 4, 7 et8 des Règles de l'entreprise relatives à l'utilisateur auprès des Autorités compétentes chargées de la protection des données, des tribunaux du Membre du groupe principal ou des tribunaux du Membre du groupe agissant en qualité d'exportateur des données. Ces droits de mise à exécution s'ajoutent aux autres recours ou droits fournis par PayPal ou disponibles selon la loi applicable.

Bien que cela ne soit pas obligatoire, les Utilisateurs de l'EEE sont invités à signaler d'abord leur problème au Membre du groupe plutôt qu'aux Autorités chargées de la protection des données ou aux tribunaux. Cela permet une réponse rapide et efficace du Groupe PayPal, et réduit au maximum les retards potentiels des Autorités chargées de la protection des données ou des procédures pénales.

PayPal Europe S.à r.l. et Cie, SCA, société privée à responsabilité limitée luxembourgeoise, accepte la responsabilité de la surveillance du respect des Règles de l'entreprise relatives à l'utilisateur par le Membre du groupe et accepte d'opérer ladite surveillance. Le Membre du groupe principal s'engage (i) à prendre les mesures nécessaires pour remédier à une violation commise par les Membres du groupe en dehors de l'EEE ; et (ii) à verser aux Utilisateurs de l'EEE les indemnités accordées par l'Autorité responsable de la protection des données ou les tribunaux luxembourgeois pour tout dommage résultant directement de la violation des Règles de l'entreprise relatives à l'utilisateur par des Membres du groupe situés en dehors de l'EEE, dans le cas où les Membres du groupe concernés seraient incapables de payer lesdites indemnités ou de se conformer à la règle, ou peu disposés à le faire.

Le Membre du groupe principal reconnaît et accepte le fait qu'il porte la charge des preuves en cas de violation présumée des Règles de l'entreprise relatives à l'utilisateur.

Le Membre du groupe principal (ou tout autre Membre du groupe) ne saurait être tenu pour responsable s'il démontre raisonnablement, d'après les faits en sa possession et en tenant compte des commentaires de l'Utilisateur, que le Membre du groupe situé en dehors de l'EEE n'a pas violé les Règles de l'entreprise relatives à l'utilisateur ou qu'il n'est pas responsable du dommage supposé par l'Utilisateur.

 

5. Formation

Les Membres du groupe veilleront à ce que tous les Employés traitant les Données personnelles des utilisateurs, ainsi que les Employés impliqués dans la conception d'outils destinés à être utilisés pour collecter ou traiter les Données personnelles des utilisateurs, reçoivent une formation les sensibilisant au respect de la vie privée et à la sécurité des données, et ce, afin de les informer de la nécessité et de l'importance de protéger et de sécuriser les Données personnelles des utilisateurs conformément aux présentes Règles de l'entreprise relatives à l'utilisateur. 

Chaque année, les Employés doivent suivre une formation en ligne dédiée à la conformité et axée sur le Code de conduite et d'éthique en entreprise, qui comporte une section sur la protection des données. Les nouveaux Employés doivent suivre la formation en ligne dédiée à la conformité à leur arrivée.

Outre cette formation en ligne dédiée à la conformité, l'Équipe PayPal dédiée au respect de la vie privée à l'échelle mondiale et le Responsable européen de la protection des données dispensent une formation sensibilisant les Employés au respect de la vie privée et à la sécurité des données, et ce, afin de les informer de la nécessité et de l'importance de protéger et de sécuriser les Données personnelles des utilisateurs. Ces formations sont organisées chaque année ou plus fréquemment, si les circonstances l'exigent.

La formation reçue par les Employés doit être adaptée à leur niveau d'accès aux Données personnelles des utilisateurs. Une formation supplémentaire doit être dispensée aux Employés ayant un niveau d'accès supérieur. 

Les Membres du groupe doivent informer les Employés que le non-respect des présentes Règles de l'entreprise relatives à l'utilisateur peut entraîner l'application de mesures disciplinaires et de toute autre mesure autorisée par la loi en vigueur. Les Employés peuvent consulter à tout moment, via l'intranet de la société, une copie des présentes Règles de l'entreprise relatives à l'utilisateur, et des autres procédures et règlements importants concernant la sécurité et le respect de la vie privée. Les Règles de l'entreprise relatives à l'utilisateur sont également incluses dans le Code de conduite et d'éthique en entreprise, que tous les Employés doivent consulter et accepter de respecter. 

 

6. Audits et surveillance

Afin de garantir l'observation des présentes Règles de l'entreprise relatives à l'utilisateur, l'Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale contrôle régulièrement les activités et méthodes de traitement des Données personnelles. Ces activités sont coordonnées en étroite collaboration avec le Responsable européen de la protection des données.

L'équipe d'audit interne agit en tant que conseiller indépendant et objectif de la direction et du Comité directeur qui, via le comité d'audit, communique les résultats des audits au Comité directeur, aux responsables du respect de la vie privée et au Responsable européen de la protection des données.

L'équipe d'audit interne peut effectuer une vérification régulière des activités ou pratiques observées par l'Équipe dédiée au respect de la vie privée à l'échelle mondiale. Si nécessaire, l'équipe d'audit interne, les responsables du respect de la vie privée et le Responsable européen de la protection des données doivent demander l'exécution d'un plan d'action pour garantir la conformité avec les Règles d'entreprise contraignantes. Si les groupes internes venaient à ne pas régler les problèmes de manière adéquate, le groupe pourrait nommer des auditeurs externes indépendants à des fins de résolution plus poussée.

Le Responsable européen de la protection des données, l'Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale ou les équipes d'audit interne et les auditeurs externes élaborent des plans et des calendriers d'audit détaillés en fonction des risques liés au traitement.

Les résultats des audits du respect de la vie privée seront mis à la disposition des Autorités compétentes chargées de la protection des données. PayPal se réserve le droit de modifier des parties des rapports d'audit pour garantir la confidentialité des informations exclusives ou d'autres informations confidentielles de la société. 

 

7. Relation entre les Règles de l'entreprise relatives à l'utilisateur et le droit national

Avec des obligations juridiques en matière de protection des données différentes dans le monde entier, les Règles de l'entreprise relatives à l'utilisateur établissent un ensemble cohérent d'exigences pour garantir le traitement approprié des Données personnelles des utilisateurs. Bien que les Règles de l'entreprise relatives à l'utilisateur créent une exigence fondamentale à laquelle les Membres du groupe doivent se conformer, les Membres du groupe observeront les lois applicables susceptibles d'imposer des normes plus strictes que celles énoncées dans les présentes Règles de l'entreprise.

Aucune disposition des présentes Règles de l'entreprise relatives à l'utilisateur n'affecte les obligations des Membres du groupe en vertu des lois bancaires applicables, notamment en ce qui concerne le secret bancaire. En cas de conflit entre la loi applicable et les présentes Règles de l'entreprise relatives à l'utilisateur, dans la mesure où cela pourrait empêcher un Membre du groupe de remplir ses obligations en vertu des Règles de l'entreprise relatives à l'utilisateur et aurait un effet substantiel sur les garanties qui y sont prévues, le Membre du groupe en informe rapidement le Responsable européen de la protection des données, sauf si la communication de telles informations est interdite par les autorités ou la loi. Le Responsable européen de la protection des données, les responsables du respect de la vie privée et le Membre du groupe principal déterminent la marche à suivre et, en cas de doute, se rapprochent de l'Autorité compétente chargée de la protection des données.

 

8. Assistance mutuelle et coopération avec les Autorités chargées de la protection des données

Les Membres du groupe coopéreront et s'entraideront pour traiter les demandes ou les plaintes des Utilisateurs concernant les présentes Règles de l'entreprise relatives à l'utilisateur.

Les Membres du groupe répondront avec diligence et de manière appropriée aux demandes des Autorités chargées de la protection des données concernant les Règles de l'entreprise relatives à l'utilisateur. Si un Employé reçoit une telle demande d'une Autorité chargée de la protection des données, il doit en informer immédiatement le Responsable européen de la protection des données.  

Les Membres du groupe répondront aux demandes de renseignements et accepteront les audits des Autorités compétentes chargées de la protection des données au sein de l'EEE en ce qui concerne l'observation des présentes Règles de l'entreprise relatives à l'utilisateur et respecteront leurs décisions, conformément à la loi en vigueur et aux droits à l'application régulière de la loi.  

 

9. Mises à jour du contenu des présentes Règles de l'entreprise relatives à l'utilisateur et de la liste des membres obligés

PayPal se réserve le droit de modifier les présentes Règles de l'entreprise relatives à l'utilisateur si nécessaire, par exemple, pour se conformer aux changements apportés aux lois, règles, règlements, pratiques, procédures et structure organisationnelle de PayPal, ou aux exigences imposées par les Autorités compétentes chargées de la protection des données.

L'Équipe juridique PayPal dédiée au respect de la vie privée à l'échelle mondiale (sous la direction du responsable juridique dédié au respect de la vie privée) proposera toutes les modifications qu'elle jugera nécessaire d'apporter aux présentes Règles de l'entreprise relatives à l'utilisateur. L'Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale (sous la direction du responsable de la conformité dédié au respect de la vie privée) et le Responsable européen de la protection des données doivent approuver tous les changements apportés aux Règles de l'entreprise relatives à l'utilisateur, et assurer le suivi de ces changements ainsi que de ceux opérés au niveau de la liste des Membres du groupe. Les Membres du groupe doivent soumettre aux Autorités compétentes chargées de la protection des données les modifications apportées aux Règles de l'entreprise relatives à l'utilisateur à des fins d'approbation officielle et conformément aux exigences de la loi en vigueur.

Le Membre du groupe principal se rapprochera de l'Autorité responsable de la protection des données en ce qui concerne les changements importants apportés aux Règles de l'entreprise relatives à l'utilisateur qui auraient une incidence sur le respect de la protection des données ou sur l'application des Règles de l'entreprise relatives à l'utilisateur. Le Membre du groupe principal communiquera à l'Autorité responsable de la protection des données, au moins une fois par an, les modifications importantes apportées aux Règles de l'entreprise relatives à l'utilisateur et à la liste des Membres du groupe. Les membres de l'Équipe PayPal dédiée au respect de la vie privée à l'échelle mondiale travailleront ensemble pour aider le Responsable européen de la protection des données qui, notamment, coordonnera les réponses et répondra rapidement aux commentaires, suggestions ou objections adressés à l'encontre des changements soulevés par l'Autorité responsable de la protection des données au nom de PayPal. Tout commentaire, toute suggestion ou toute objection soulevé(e) par d'autres Autorités chargées de la protection des données sera communiqué(e) au Responsable européen de la protection des données par l'Autorité responsable de la protection des données, qui agira au nom des autres Autorités chargées de la protection des données. 

Les modifications apportées aux Règles de l'entreprise relatives à l'utilisateur s'appliquent à tous les Membres du groupe à la date d'entrée en vigueur de leur introduction. Les Membres du groupe informeront les Utilisateurs des changements importants apportés aux Règles de l'entreprise relatives à l'utilisateur conformément aux préférences de Service des Utilisateurs, soit par un email groupé, soit par une publication sur le site, accompagnée d'un avertissement clair adressé à l'avance aux Utilisateurs et indiquant que les Règles de l'utilisateur ont changé. Les Membres du groupe doivent publier les Règles de l'entreprise relatives à l'utilisateur révisées sur certains sites ou dans certaines applications externes accessibles par les Utilisateurs. La révision des Règles de l'entreprise relatives à l'utilisateur entre en vigueur dans un délai de deux mois après que les Membres du groupe en ont informé les Utilisateurs et ont publié lesdites Règles de l'entreprise relatives à l'utilisateur.

 

10. Publication

Les Règles de l'entreprise relatives à l'utilisateur doivent être publiées et un lien doit être mis à disposition sur le site ou dans les applications du Service. Les Utilisateurs peuvent en demander une copie auprès du Responsable européen de la protection des données, PayPal (Europe) S.à r.l. et Cie, SCA, 22-24 Boulevard Royal, L-2449 Luxembourg ou en ligne.

 

11. Dispositions finales

Date d'entrée en vigueur : 25 mai 2018

Contact : les Utilisateurs peuvent adresser leurs questions ou préoccupations concernant les présentes Règles de l'entreprise relatives à la personne suivante :

Responsable européen de la protection des données

PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

 

12. Définitions

Les Membres du groupe doivent interpréter les Règles de l'entreprise relatives à l'utilisateur de la manière la plus cohérente avec les concepts de base des principes de la directive 95/46/CE de l'UE ou de toute directive ou règlement qui la remplace. 

Aux fins des présentes Règles de l'entreprise relatives à l'utilisateur, les définitions suivantes s'appliquent :

Comité directeur désigne le conseil d'administration du Membre du groupe principal.

Autorités chargées de la protection des données désigne les autorités publiques responsables du contrôle et de l'application sur leur territoire respectif des lois nationales adoptées par les États membres de l'EEE, conformément à la directive européenne sur la protection des données (95/46/CE).

Espace économique européen désigne l'Espace économique européen, qui comprend actuellement les États membres de l'UE, l'Islande, le Liechtenstein et la Norvège.

Employé désigne les employés, travailleurs, stagiaires et autres membres du personnel, y compris les travailleurs occasionnels ou temporaires, les travailleurs suppléants ou les sous-traitants d'un Membre du groupe, qu'ils soient employés ou engagés à temps plein ou à temps partiel, et quel que soit le type d'emploi ou d'engagement.

Responsable européen de la protection des données désigne l'employé qui est nommé par la direction du Membre du groupe principal, qui relève de sa direction, et qui fait également partie de l'Équipe juridique PayPal dédié au respect de la vie privée à l'échelle mondiale. Le Responsable européen de la protection des données se trouve au Luxembourg.

Membre du groupe désigne une entité du Groupe PayPal qui a signé une copie de l'IGA.

IGA désigne un accord intragroupe.

Autorité responsable de la protection des données désigne la "Commission nationale pour la protection des données" ("CNPD") au Luxembourg.

Membre du groupe principal désigne PayPal (Europe) S.à r.l. & Cie, SCA, une société à responsabilité limitée privée luxembourgeoise.

Équipe PayPal dédiée au respect de la vie privée à l'échelle mondiale désigne l'association de l'Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale et de l'Équipe juridique PayPal dédiée au respect de la vie privée à l'échelle mondiale.

Équipe de conformité PayPal dédiée au respect de la vie privée à l'échelle mondiale désigne les membres de l'organisme de conformité qui s'occupent spécifiquement de la conformité et du fonctionnement du programme de respect de la vie privée de PayPal.

Équipe juridique PayPal dédiée au respect de la vie privée à l'échelle mondiale désigne les membres du service juridique qui s'occupent spécifiquement du respect de la vie privée et de la protection des données.

Groupe PayPal désigne PayPal Holdings, Inc. ("PayPal") et toute entité Contrôlée directement ou indirectement par PayPal qui traite les Données personnelles des utilisateurs. "Contrôlée" signifie que l'entité détient plus de cinquante pour cent (50 %) des droits de vote pour élire les administrateurs de la société ou une part, dans la société, supérieure à cinquante pour cent (50 %).

Données personnelles désigne toute information concernant une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs facteurs propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Traitement désigne toute opération ou ensemble d'opérations effectuées sur les Données personnelles, que ce soit par des moyens automatiques ou non, telles que la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, le blocage, l'effacement ou la destruction.

Responsable du traitement désigne toute personne physique ou morale qui traite des Données personnelles au nom d'un Membre du groupe.

Données personnelles à caractère sensible désigne les Données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les informations relatives aux infractions pénales ou les informations relatives à la santé ou à la sexualité.

Service désigne un site, une application ou tout autre produit ou service proposé par un Groupe PayPal à l'usage d'un Utilisateur.

Tiers désigne toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que l'Utilisateur, le Membre du groupe, le Responsable du traitement et les personnes qui, sous l'autorité directe du Membre du groupe ou du Responsable du traitement, comme les Employés, sont autorisés à traiter des Données personnelles.

Utilisateur désigne les clients actuels et passés, les prospects, les investisseurs, les partenaires commerciaux et les marchands.

Données personnelles des utilisateurs désigne les Données personnelles relatives aux Utilisateurs.