>> Afficher tous les contrats d'utilisation

 

Règles de l'entreprise relatives à l'utilisateur PayPal

 

L'objectif du groupe PayPal est d'appliquer les normes de confidentialité et de protection des données uniformes, adéquates et globales pour le traitement de toutes les données personnelles dans tout le groupe PayPal.  Les présentes règles de l'entreprise relatives à l'utilisateur s'appliquent à toutes les données personnelles de l'utilisateur traitées par les membres du groupe dans le monde entier.

Les utilisateurs dans le monde entier fournissent leurs données personnelles aux membres du groupe pour utiliser les services proposés par le groupe.  La plupart des données personnelles des utilisateurs sont collectées et stockées aux États-Unis.  L'activité internationale de PayPal a besoin de partager les données personnelles des utilisateurs avec les autres entités PayPal aux États-Unis et dans le monde et partout dans le monde où PayPal est actuellement présent ou a l'intention d'être présent.

Actuellement, les employés situés dans les pays suivants de l'EEE pourront accéder aux données personnelles : Luxembourg, Belgique, France, Allemagne, Irlande, Italie, Pays-Bas, Pologne, Espagne, Suède et Royaume-Uni.

Employés se trouvant actuellement dans les pays hors UE suivants peuvent également accéder aux données personnelles : États-Unis d'Amérique, Taïwan, Turquie, Îles Vierges (britanniques), Australie, Canada, Chine, Hong Kong, Inde, Indonésie, Israël, Japon, République de Corée, Malaisie, Île Maurice, Philippines, Russie, Singapour, Suisse, Argentine, Brésil et Mexique.

PayPal s'engage à protéger adéquatement les informations des utilisateurs, peu importe l'endroit où se trouvent les données personnelles et à fournir une protection adaptée pour les données personnelles lorsqu'elles sont transférées en dehors de l'EEE.

Cette liste des pays peut modifier développe de l'entreprise.

 

1. Rôles et structure de la gouvernance de la vie privée

Les règles de l'entreprise relatives à l'utilisateur sont rendues juridiquement contraignantes par un accord ("l'IGA") entre PayPal (Europe) S.à r.l. & Cie, S.C.A. ("membre principal du groupe") et les autres entités du groupe PayPal.  L'IGA exige des membres du groupe qu'ils se conforment aux présentes règles de l'entreprise relatives à l'utilisateur. Les membres du groupe exigent de leurs employés qu'ils se conforment aux présentes règles de l'entreprise relatives à l'utilisateur lorsqu'ils traitent des données perosnnelles des utilisateurs.

Les chefs d'entreprise et la direction du groupe PayPal doivent faire respecter la conformité aux présentes règles de l'entreprise, en s'assurant notamment que les employés en ont connaissance et qu'ils les respectent.

Le responsable de la conformité dirige le programme de respect de la vie privée de PayPal. Il/elle est titulaire d'un poste supérieur au sein de PayPal Holdings, Inc. et rend directement des comptes au responsable de la conformité ou au plus haut dirigeant de PayPal chargé de la conformité.  Le responsable de la conformité supervise l'équipe de Respect de la vie privée à l'échelle mondiale de PayPal et interagit avec d'autres organisations ou équipes internes, comme les opérations, la sécurité informatique, la conformité, les risques et les audits internes pour garantir des communications, pratiques et politiques cohérentes en termes de confidentialité dans le groupe PayPal. L'équipe de Respect de la vie privée à l'échelle mondiale de PayPal développe et coordonne la mise en place de sa stratégie de conformité dans le groupe PayPal et vérifie la conformité opérationnelle.  L'équipe de conformité du Respect de la vie privée à l'échelle mondiale de PayPal possède des représentants directs et indirects dans le groupe PayPal qui veillent notamment à assurer la conformité avec les règles de l'entreprise relatives à l'utilisateur et les lois de protection des données applicables.

Le responsable juridique de la vie privée supervise l'équipe de Respect de la vie privée à l'échelle mondiale de PayPal et rend directement des comptes au responsable juridique ou au dirigeant juridique exerçant la fonction la plus élevée chez PayPal.  Le responsable juridique de la vie privée définit les obligations de la société selon les lois applicables de protection des données et les présentes règles de l'entreprise. Le responsable juridique de la vie privée et l'quipe juridique de Respect de la vie privée à l'échelle mondiale de PayPal travaillent en étroite collaboration avec le responsable du respect de la vieprivée et l'équipe de confirmité du Respect de la vie privée à l'échelle mondiale de PayPal, et interagissent avec d'autres organisations et équipes internes, comme les services juridiques, les opérations, la sécurité informatique et les risques pour fournir des conseils juridiques et interpréter les implications juridiques et réglementaires sur l'évolution des problèmes de confidentialité dans le groupe PayPal.

Collectivement, l'équipe de conformité de Respect du la vie privée à l'échelle mondiale de PayPal et l'équipe juridique de Respect de la vie privée à l'échelle mondiale de PayPal forment l'équipe de Respect de la vie privée à l'échelle mondiale de PayPal.

Le responsable européen de la protection des données, qui se trouve à Luxembourg, et nommé par et rend des comptes à la direction de PayPal (Europe) S.à r. l. et Cie, S.C.A. Le responsable européen de la protection des données fait office de contact principal pour les autorités de protection des données de l'EEE et a notamment pour mission : d'informer et de conseiller les membres du groupe et leurs employés traitant des données personnelles de leurs obligations, conformément aux lois relatives au respect de la vie privée, de garantir la conformité avec les présentes règles de l'entreprise relatives à l'utilisateur, de travailler avec l'équipe de Respect de la vie privée à l'échelle mondiale de PayPal pour surveiller la conformité avec les lois relatives au respect de la vie privée et aux politiques associées des membres du groupe, ainsi que de fournir des conseils juridiques aux membres du groupe lorsque ceux-ci effectuent des demandes concernant l'évaluation de l'impact de la protection des données et leur mise en place.

 

2. Principes de traitement des données personnelles

Les membres du groupe respectent les principes de traitement suivants pour les données personnelles des utilisateurs.

2.1 Restriction d'objet

Les données personnelles des utilisateurs doivent être seulement traitées à des fins spécifiques, explicites et légitimes.  Les données personnelles de l'utilisateur peuvent notamment être traitées pour :

- Offrir et faciliter la fourniture des services à la demande des utilisateurs, notamment l'ouverture d'un compte ;

- Améliorer les services et en développer de nouveaux ;

- Résoudre et gérer les litiges, résoudre les problèmes et fournir un service clientèle ;

- Gérer les risques ;

- Traiter les transactions et récupérer les frais dus ;

- Vérifier la solvabilité ;

- Mesurer l'intérêt les évaluations et opinions des utilisateurs envers les services concernés, et informer les utilisateurs des offres, services et mises à jour en ligne et en magasin ;

- Personnaliser l'expérience des utilisateurs ;

- Détecter et protéger contre les erreurs, fraudes et autres activités criminelles ;

- Satisfaire aux obligations juridiques, contractuelles ou réglementaires du groupe PayPal ;

- Appliquer les conditions générales du service, et par ailleurs indiqué aux utilisateurs au moment de l'obtention et dans la politique de confidentialité du Service ;

- Protéger la sécurité, l'intégrité et la disponibilité des services et du réseau du groupe PayPal ; et

- Protéger les droits juridiques et intérêt du groupe PayPal, notamment leur exercice ou leur défense contre les revendications juridiques.

Le traitement des données personnelles des utilisateurs à d'autres fins est soumis à l'accord préalable de l'équipe juridique de Respect de la vie privée à l'échelle mondiale de PayPal.  En cas de doute, les membres du groupe devront consulter l'équipe juridique de Respect de la vie privée à l'échelle mondiale de PayPal.

Les données personnelles des utilisateurs ne doivent pas faire l'objet d'un traitement ultérieur d'une manière incompatible aux fins susmentionnées, sauf s'il existe une base juridique permettatn de le faire selon la loi applicable dans l'état de l'EEE du membre du groupe chargé de la collecte et/ou du transfert des données personnelles des utilisateurs.   

2.2 Qualité et proportionnalité des données

Les données personnelles des utilisateurs doivent :

  • Être exactes et, si nécessaire, mises à jour ;
  • Être adéquates, pertinentes et non excessives au regard des fins pour lesquelles elles sont traitées ; et
  • Ne pas être conservées plus longtemps que nécessaire pour accomplir les fins auxquelles elles ont été originalement collectées ou traitées.  

Les données personnelles des utilisateurs n'étant plus nécessaires aux fins pour lesquelles elles ont été traitées seront effacées, supprimées, détruites ou anonymisées, sauf s'il existe une base juridique justifiant le traitement ultérieur ou si la loi applicable exige la conservation.

2.3 Bases juridiques du traitement

Les membres du groupe s'assurent que les données personnelles des utilisateurs soient traitées de manière juste et légale, notamment sur au moins une des bases suivantes :

  • Consentement sans équivoque de l'utilisateur ;
  • Traitement nécessaire à l'exécution d'un contrat duquel l'utilisateur est une partie ou pour prendre des mesures à la demande de l'utilisateur avant de conclure un contrat ;
  • Traitement nécessaire pour se conformer à une obligation légale à laquelle les membres du groupe sont soumis ;
  • Traitement nécessaires afin de protéger les intérêts vitaux de l'utilisateur ;
  • Traitement nécessaire à l'exécution d'une tâche effectuée pour l'intérêt public ou pour l'exercice d'une autorité officielle conférée aux membres du groupe ou à un tiers dont les données sont divulguées ; ou
  • Traitement nécessaire aux fins des intérêts légitimes du membre du groupe ou du/des tiers dont les données sont divulguées, sauf si les intérêts des droits et libertés fondamentales de l'utilisateur priment sur ces intérêts.

De manière générale, les membres du groupe ne collectent pas de données personnelles sensibles.  Lorsque cette collecte est nécessaire ou lorsque les utilisateurs fournissent volontairement ces informations, les membres du groupe s'assurent que les données personnelles sensibles soient uniquement traitées selon l'une des bases suivantes :

  • Consentement exprès de l'utilisateur ;
  • Traitement nécessaire à la protection des intérêts vitaux de l'utilisateur ou d'une autre personne si l'utilisateur est physiquement ou légalement incapable de donner son consentement ;
  • Le traitement concerne les données personnelles de l'utilisateur manifestement rendues publiques par celui-ci ; ou
  • Traitement nécessaire à la création, l'exercice ou la défense de revendications juridiques.

Lorsque le traitement inclut une prise de décision automatique ("Décisions automatisées"), les membres du groupe proposent des mesures adaptées pour sauvegarder les intérêts légitimes de l'utilisateur, par exemple en offrant à l'utilisateur la possibilité de demander à un représentant du service clientèle de vérifier individuellement la décision et d'autoriser l'utilisateur à fournir son point de vue. Le représentant du service client transmettra le problème au responsable européen de la protection des données si l'utilisateur continue à refuser la décision automatisée. Si nécessaire le responsable juridique du Respect de la vie privée sera consulté et le responsable de la conformité du Respect de la vie privée en sera informé.  

2.4 Transparence

Lorsque vous collectez les données personnelles des utilisateurs, les membres du groupe indiqueront aux utilisateurs :

  • Le nom et l'adresse du mmebre du groupe responsable de la collecte et du traitement originaux ;
  • Les catégories de données personnelles de l'utilisateur concernées ;
  • Les fins prévues du traitement ;
  • Les catégories des responsables du traitement et tiers devant recevoir les données personnelles de l'utilisateur ;
  • Si les réponses aux questions sont obligatoires ou facultatives, ainsi que les conséquences possibles de l'absence de réponse ;
  • L'existence des droits de l'utilisateur ; et
  • Dans le cas d'une décision automatisée, la logique de celle-ci.

Les membres du groupe peuvent fournir les inforamtions dans une politique de confidentialité du service, qui sera accessible via un lien et/ou affichée à un emplacement bien en vue sur chaque site ou application du Service et lors de l'inscription.  L'obligation d'informer les utilisateurs ne s'applique pas si ceux-ci ont déjà connaissance des informations.  

Lorsque la communication d'informations paraît impossible ou demanderait un effort colossal, les membres du groupe peuvent ne pas fournir cette information.  Ce serait uniquement le cas des données personnelles des utilisateurs n'ayant pas été obtenu directement auprès de l'utilisateur. 

Dans des circonstances exceptionnelles, la fourniture d'informations spécifiques peut être reportée ou omise, par exemple dans le cadre d'enquêtes pour conduite fautive ou non-respect des lois applicables ou lorsque la fourniture des informations pourrait menacer l'intégrité de l'enquête.

2.5 Confidentialité et sécurité

Les membres du groupe utilisent des contrôles de sécurité physiques, techniques et organisationnels proportionnels au volume et à la sensibilité des données personnelles des utilisateurs pour éviter tout traitement non autorisé, notamment l'accès non autorisé à, l'acquisition, la perte, la destruction ou l'endommagement des données personnelles de l'utilisateur. Les membres du groupe utilisent un chiffrement, des pare-feux, des contrôles d'accès, normes et autres procédures afin de protéger les informations des utilisateurs contre tout accès non autorisé.  L'accès physique et logique aux fichiers électroniques et physiques et limité selon les responsabilités du poste et les besoins commerciaux.

2.6 Choix et droits des utilisateurs

Les utilisateurs peuvent accéder à et corriger la plupart des données personnelles des utilisateurs à leur sujet que les membres du groupe entretiennent à l'aide de l'outil en ligne ou du processus de libre-service adéaquat mis à leur disposition via le site ou l'application du Service.

Dans tous les cas, les utilisateurs peuvent soumettre une demande d'accès à leurs données pour consulter ou recevoir une copie de leurs données personnelles inaccessibles via le site ou l'application du site. Les utilisateurs doivent contacter le service clientèle via les indications mentionnées sur le site ou l'application du service. Les membres du groupe se conformeront aux demandes dans les intervalles de temps prescrits par la loi applicable, sauf si cette dernière prévoit une exception à cette obligation.  Les utilisateurs devront peut-être fournir une preuve de leur identité et pourront être soumis à des frais de service, si la loi applicable le permet.

Les utilisateurs peuvent également demander la rectification de leurs données si celles-ci sont incomplètes ou inexactes. Les membres du groupe se conformeront à la requête et informeront les utilisateurs de la rectification de leur données. Les membres du groupe informetont les tiers dont les données utilisateur ont été divulguées, sauf si cela semble impossible ou demande un effort colossal.

Pour des raisons légitimes et impérieuses, les utilisateurs peuvent contester le traitement de leurs données personnelles. Les membres du groupe respecteront ces demandes, sauf si la loi applicable exige la conservation des données personnelles, ou pour défendre le groupe PayPal contre les revendications juridiques. Les utilisateurs seront informés du verdict de leur demande et des mesures prises par les membres du groupe.

En outre, les utilisateurs peuvent demander à clôturer leurs comptes en suivant les instructions fournies par le site ou l'application du service. Les membres du groupe supprimeront ou anonymiseront les informations de l'utilisateur d'un service dès que possible selon l'activité du compte.  Dans certains cas, les membres du groupe peuvent retarder la clôture d'un compte ou conserver les données personnelles de l'utilisateur pour mener une enquête ou si la loi applicable l'exige. Les membres du groupe peuvent également conserver les informations utilisateur des comptes fermés pour détecter et empêcher les fraudes, collecter les frais dus, résoudre les litifes et les problèmes, contribuer aux enquêtes, gérer les risques, faire appliquer les conditions générales d'un service, se conformer aux exigences juridiques ou réglementaires, et prendre d'autres mesures autorisées par la loi applicable. Les données ne seront pas conservées sous une forme permettant d'identifier les sujets de données plus longtemps que nécessaire aux fins pour lesquelles les donnée sont été collectées ou pour lesquelles elles font l'objet d'un traitement ultérieur, et seront supprimées lorsque le motif sous-jacent de leur conservation a été traité ou résolu.

À l'exception des utilisateurs ayant choisi de ne pas recevoir certaines communications, les membres du groupe peuvent utiliser les données personnelles des utilisateurs pour axer leurs communications sur les utilisateurs selon leurs intérêts, conformément à la loi applicable.  Les utilisateurs ne souhaitant pas recevoir les communications marketing du groupe PayPal se verront offrir des moyens plus facilement accessibles de s'opposer à la réception de publicités, par exemple dans les paramètres de leur compte ou en suivant les indications fournies dans un email ou via un lien dans une communication.

Les utilisateurs peuvent exercer les droits ci-dessus en contactant le service clientèle.  Si l'identité d'un utilisateur est difficile à vérifier, les membres du groupe peuvent demander à l'utilisateur de fournir un justificatif d'identité supplémentaire.

2.7 Divulgations des données personnelles

Dans le cadre de leurs activités normales, les membres du groupe peuvent partager les données personnelles de l'utilisateur avec d'autres membres du groupe dans le monde aux fins mentionnées dans l'article 2.1.

Conformément aux lois, traités et conventions internationales applicables, les membres du groupe peuvent partagher des données personnelles avec les autorités policières et règlementaire lorsque cela est nécessaire dans une société démocratique pour préserver la sécurité nationale, la défense, la sécurité publique, la prévention, l'enquête, la détection et les poursuites liéees aux infractions criminelles et, pour se conformer aux sanctions définies dans les lois internationales et/ou nationales, les exigences de déclaration d'impôts ou de lutte contre le blanchiment d'argent.

Les membres du groupe ne sont pas autorisés à vendre ou à louet les données personnelle sdes utilisateurs à des tiers à leurs propres fins marketing sans le consentement éclairé et sans équivoque de l'utilisateur. Les membres du groupe peuvent divulguer les informations des utilisateurs à d'autres tiers conformément aux instructions ou au consentement de l'utilisateur (lorsque la loi applicable l'autorise).

Lors du transfert de données personnelles aux responsables du traitement, ces derniers sont soumis à une évaluation des risques de sécurité informatiques et de la protection des données avant de lancer toute tâche ou de transférer les données personnelles des utilisateurs.  L'étendue de l'évaluation variera selon la sensibilité des données personnelles traitées. Les responsables du traitement, y compris les membres du groupe agissant en tant que tel, doivent conclure un accord avec les membres du groupe concernés pour offrir des mesures de respect de la vie privée, de protection des données et de sécurité informatique adéquates. Un tel accord inclut des clauses garantissant l'utilisation adéquate des données personnelles de l'utilisateur et des mesures de sécurité proportionnelles au volume, à la nature et à la sensibilité des données personnelles concernées.  Les garanties contractuelles suivantes doivent au moins couvrir les problèmes suivants :

  • Conditions requises pour se conformer à la loi et traiter les données personnelles de l'utilisateur conformément aux termes du contrat et seulement sur les instructions des membres du groupe concernés ;
  • Mesures techniques et organisationnelles adéquates et adaptées à la sensibilité des données personnelles de l'utilisateur et au traitement concernés ;
  • Droit de vérifier la conformité des responsables du traitement avec les garanties contractuelles ;
  • Obligations de notification en cas de violation de sécurité ; et
  • Dispositions en matière de réparation en cas de non-conformité du responsable du traitement à ses obligations juridiques ou contractuelles.

Les conditions d'utilisation doivent contenir les dispositions garantissant que le non-respect des termes du contrat peut engendrer la suspension ou la résiliation du contrat, entre autres recours identifiés dans le contrat.

L'évaluation du respect de la vie privée, de la protection des données et de la sécurité informatique n'est pas obligatoire pour les responsables du traitement ayant déjà été soumis à une telle évaluation, sauf si les activités de traitement incluent des activités à haut risque, compte tenu de la nature et du volume de données personnelles et du type des activités de traitement concernées.

Nonobstant ce qui précède, lorsque les membres du groupe transfèrent les données personnelles des utilisateurs de l'EEE à des tiers ou des responsables du traitement n'étant pas membres du groupe : (i) ne se trouvant pas dans des pays offrant des niveaux de protection adéquats (au sens de la directive 95/46/CE), (ii) non couverts par des règles de l'entreprise contraignantes approuvés, ou (iii) ne possédant pas d'autres arrangements susceptibles de satisfaire aux exigences d'adéquation de l'Union Européenne, le membre du groupe doit s'assurer :

  • Que les tiers mettront en place des contrôles contractuels adéquats, comme des clauses contractuelles standard approuvées par la Commission européenne, offrant des niveaux de protection proportionnels aux présentes règles de l'entreprise relatives à l'utilisateur ou s'assurer que le transfert (i) s'effectue avec le consentement sans équivoque de l'utilisateur, (ii) est nécessaire pour conclure ou exécuter un contrat conclu avec l'utilisateur, (iii) est nécessaire ou légalement obligatoire pour des motifs d'intérêt public importants, ou (iv) est nécessaire pour protéger les intérêts vitaux de l'utilisateur ;
  • Que les responsables du traitement mettront en place des contrôles contractuels, comme des clauses contractuelles standard approuvées par la Commission européenne, offrant des niveaux de protection proportionnels aux présentes règles de l'entreprise relatives à l'utilisateur.
     

3. Mécanisme de réclamation

Si les utilisateurs pensent que leurs données personnelles ont été traitées d'une manière contrevenant aux présentes règles de l'entreprise relatives à l'utilisateur, ils peuvent signaler ce problème au service clientèle du membre du groupe concerné via le site ou l'email du service concerné, ou d'une manière indiquée sans les conditions générales applicables.  Les utilisateurs trouveront généralement les réponses aux questions de confidentialité courantes en saisissant le mot "confidentialité dans la section d'aide du service concerné, qui dirigera généralement l'utilisateur vers une page ou une politique de confidentialité spécifique.  La section "Aide" du service concerné est l'unique point d'entrée de toutes les demandes des utilisateurs concernant leur confidentialité ou le traitement de leurs informations et offre aux utilisateurs la possibilité de contacter le service clientèle. 

Si les utilisateurs ne savent pas quelle voie utiliser pour signaler un problème de confidentialité, ils peuvent envoyer un email au responsable européen de la protection des données à : DPO@paypal.com.

Le service clientèle enquête et tente de résoudre leurs problèmes collectés par les utilisateurs. Les employés responsables des problèmes liés au respect de la vie privée travaillent en étroite collaboration avec l'équipe de Respect de la vie privée à l'échelle mondiale de PayPal pour répondre aux utilisateurs conformément aux politiques, procédures et conseils de PayPal.  Si les utilisateurs pensent que leurs problèmes n'ont pas été traités de façon adéquate, ou s'ils n'ont pas reçu de réponse, ils peuvent demander à transférer leur problème au responsable européen de la protection des données. Le responsable juridique du Respect de la vie privée et le responsable de la conformité du Respect de la vie privée en sera informé. Les voies de transfert seront déterminées selon la nature et la portée du problème et seront transmises à l'équipe adéquate sans délai.  Une réponse à la réclamation doit être fournie à l'utilisateur dans un délai raisonnable et, dans tous les cas, dans un délai maximal de trois (3) mois après la date de la demande, sauf en cas de circonstances inhabituelles ou de questions complexes, auquel cas l'utilisateur sera informé qu'il recevra la réponse dans plus de trois (3) mois.

Le mécanisme de remise d'une réclamation ne constitue aucunement une atteinte au droit des utilisateurs de déposer une réclamation auprès des autorités de protection des données ou tribunaux compétents.

 

4. Responsabilité et droits des bénéficiaires tiers

Les utilisateurs de l'EEE suspectant une violation des règles de l'entreprise relatives à l'utilisateur hors de l'EEE ont le droit de demander l'application des r-gles d'entreprise relatives à l'utilisateur en tant que bénéficiaires tiers selon les articles 2, 3, 4, 7 et 8 des règles de l'entreprise relatives à l'utilisateur auprès des autorités de protection des données compétentes, des tribunaux du membre du groupe principal ou des tribunaux du membre du groupe agissant en tant qu'exportateur des données.  Ces droits judiciaires s'ajoutent aux autres recours ou droits fournis par PayPal ou disponibles selon la loi applicable.

Même si cela n'est pas obligatoire, les utilisateurs de l'EEE sont invités à signaler d'abord leur problème au membre du groupe plutôt qu'aux autorités de protection des données ou aux tribunaux.  Cela permet une réponse rapide et efficace au sein du groupe PayPal et minimise les retards potentiels des autorités de protection des données ou des procédures pénales.

PayPal Europe S.à r.l. et Cie, S.C.A., société privée à responsabilité limitée accepte la responsabilité et s'engage à surveiller les règles de l'entreprise relatives à l'utilisateur et accepte de superviser le respect du membre du groupe aux règles de l'entreprise relatives à l'utilisateur.  Le membre du groupe principal s'engage (i) à prendre les actions nécessaire pour reméditer à une violation commise par les membres du groupe hors de l'EEE ; et (ii) pour verser la compensation aux utilisateurs de l'EEE accordée par l'autorité de protection des données principale ou les tribunaux luxembourgeois pour tout dommage résultat directement de la violation des règles de l'entreprise relatives à l'utilisateur par des membres du groupe hors de l'EEE, si le membre du groupe concerné est incapable ou ne veut pas payer la compensation ou se conformer au verdict. 

Le membre du groupe principal reconnaît et accepte le fait qu'il porte la charge des preuves en cas de violation présumée des règles de l'entreprise relatives à l'utilisateur.

Le groupe principal (ou tout autre membre du groupe) ne saurait être tenu responsable s'il démontre raisonnablement que le membre du groupe hors-EEE n'a pas violé les règles de l'entreprise relatives à l'utilisateur ou qu'il n'est pas responsable de tout dommage avancé par l'utilisateur, en se basant sur les faits disponibles et en tenant compte des commentaires de l'utilisateur.

 

5. Formation

Les membres du groupe garantiront que tous les employés traitant les données personnelles des utilisateurs, ainsi que les employés impliqués dans la conception d'outils qui seront utilisés pour collecter ou traiter les données personnelles des utilisateurs, recevront une formation de sensibilisation au respect de la vie privée et à la sécurité informatique pour informer les employés du besoin de protéger et de sécuriser les données personnelles des utilisateurs et de s'assurer que ceci soit cohérent avec les présentes règles de l'entreprise relatives à l'utilisateur. 

Chaque année, les employés doivent suivre la formation de conformité en ligne centrée autour du Code de conduite et d'éthique en entreprise, qui inclut une section sur la protection des données.  Les nouveaux employés doivent passer la formation de conformité en ligne lorsqu'ils sont embauchés.

En plus de cette formation de conformité en ligne, l'équipe de Respect de la vie privée à l'échelle mondiale de PayPal et le responsable européen de la protection des données organiseront des formations de sensibilisation au respect de la vie privée et à la sécurité informatique pour informer les employés du besoin de protéger et de sécuriser les données personnelles. Ces formations sont effectuées chaque année ou plus fréquemment, si les circonstances l'exigent.

La formation reçue par les employés doit être adaptée à leurs niveaux d'accès aux données personnelles des utilisateurs, et une formation supplémentaire sera fournie aux employés ayant des accès moins restreints. 

Les membres du groupe informeront les employés que le non-respect des présentes règles de l'entreprise relatives à l'utilisateur peut engendrer des actions disciplinaires et toutes autres actions autorisées par la loi applicable.  Une copie des présentes règles de l'entreprise relatives à l'utilisateur et des autres politiques et procédures de sécurité et de confidentialité importantes est mise à disposition des employés à tout moment via l'intranet de la société. Les règles de l'entreprise relatives à l'utilisateur sont également incluses dans le Code de conduite et d'éthique en entreprise, que tous les employés doivent consulter et accepter de respecter. 

 

6. Audits et surveillance

Afin de garantir la conformité avec les présentes règles de l'entreprise relatives à l'utilisateur, l'équipe de conformité du Respect de la vie privée à l'échelle mondiale de PayPal contrôle régulièrement les activités et pratiques de traitement des données personnelles. Ces activités sont coordonnées en étroite collaboration avec le responsable européen de la protection des données.

L'équipe d'audit interne agit en tant que conseiller indépendant et objectif de la direction et du Comité directeur qui, via le comité d'audit, communique les résultats des audits au Comité directeur, aux responsables du respect de la vie privée et au responsable européen de la protection des données. 

L'équipe d'audit interne peut effectuer une vérification régulière des activités ou pratiques identifiées par l'équipe de Respect de la vie privée à l'échelle mondiale Si nécessaire, l'équipe d'audit interne, les responsables du respect de la vie privée et le responsable européen de la protection des données demanderont l'exécution d'un plan d'action pour garantir la conformité avec les règles internes d'entreprise. Dans la mesure où les groupes internes ne règlent pas les problèmes de manière adéquate, le groupe peut nommer des auditeurs externes indépendants pour une résolution ultérieure.

Le responsable européen de la protection des données, l'équipe de conformité de respect du la vie privée à l'échelle mondiale de PayPal ou les équipes d'audit interne et les auditeurs externes élaborent des plans et des calendriers d'audit détaillés en fonction des risques liés au traitement.

Les résultats des audits de protection de la vie privée seront mis à la disposition des autorités de protection des données compétentes.  PayPal se réserve le droit de supprimer des parties des rapports d'audit pour garantir la confidentialité des informations exclusives ou d'autres informations confidentielles de l'entreprise. 

 

7. Relation entre les règles de l'entreprise relatives à l'utilisateur et le droit national

Avec des exigences légales différentes dans le monde entier en matière de protection des données, les règles de l'entreprise relatives à l'utilisateur établissent un ensemble cohérent d'exigences pour aider à assurer le traitement approprié des données personnelles de l'utilisateur. Bien que les règles de l'entreprise relatives à l'utilisateur créent une exigence de base à laquelle les membres du groupe doivent se conformer, les membres du groupe se conformeront aux lois applicables qui peuvent imposer des normes plus strictes que celles énoncées dans les présentes règles d'entreprise.

Aucune disposition des présentes règles de l'entreprise relatives à l'utilisateur n'affecte les obligations des membres du groupe en vertu des lois bancaires applicables, en particulier en ce qui concerne le secret bancaire.   En cas de conflit entre la loi applicable et les présentes règles de l'entreprise relatives à l'utilisateur, dans la mesure où cela pourrait empêcher un membre du groupe de remplir ses obligations en vertu des règles de l'entreprise relatives à l'utilisateur et a un effet substantiel sur les garanties qui y sont prévues, le membre du groupe en informe rapidement le responsable européen de la protection des données, sauf si la fourniture de telles informations est interdite par une autorité policière ou une autorité chargée de l'application de la loi.  Le responsable européen de la protection des données, les responsables de la protection de la vie privée et le membre du groupe principal déterminent la marche à suivre et, en cas de doute, consultent l'autorité compétente en matière de protection des données.

 

8. Assistance mutuelle et coopération avec les autorités chargées de la protection des données

Les membres du groupe coopéreront et s'entraideront pour traiter les demandes ou les plaintes des utilisateurs en ce qui concerne les présentes règles de l'entreprise relatives à l'utilisateur

Les membres du groupe répondront avec diligence et de manière appropriée aux demandes des autorités de protection des données concernant les règles de l'entreprise relatives à l'utilisateur.  Si un employé reçoit une telle demande d'une autorité de protection des données, il doit en informer immédiatement le responsable européen de la protection des données.   

Les membres du groupe coopéreront aux demandes de renseignements et accepteront les audits des autorités compétentes en matière de protection des données dans l'EEE en ce qui concerne le respect des présentes règles de l'entreprise relatives à l'utilisateur et respecteront leurs décisions, conformément à la législation applicable et aux droits à une procédure régulière.   

 

9. Mises à jour du contenu de ces règles de l'entreprise relatives à l'utilisateur et de la liste des membres liés

PayPal se réserve le droit de modifier ces règles de l'entreprise relatives à l'utilisateur si nécessaire, par exemple, pour se conformer aux changements dans les lois, règles, règlements, pratiques, procédures et structure organisationnelle de PayPal ou aux exigences imposées par les autorités compétentes en matière de protection des données.

L'équipe juridique de Respect de la vie privée à l'échelle mondiale de PayPal (sous la direction du responsable juridique de la protection de la vie privée) proposera toutes les modifications nécessaires aux présentes règles d'entreprise de l'utilisateur. L'équipe de conformité de respect du la vie privée à l'échelle mondiale de PayPal (sous la direction du responsable juridique de la protection de la vie privée) et le responsable européen de la protection des données doivent approuver tous les changements apportés aux règles de l'entreprise relatives à l'utilisateur et suivre toutes les modifications apportées aux règles de l'entreprise relatives à l'utilisateur ainsi que tout changement dans la liste des membres du groupe. Les membres du groupe doivent signaler aux autorités de protection des données concernées les modifications apportées aux règles de l'entreprise relatives à l'utilisateur pour approbation formelle et comme l'exige la loi applicable.

Le membre du groupe principal consultera l'autorité responsable de la protection des données en ce qui concerne les changements importants apportés aux règles de l'entreprise relatives à l'utilisateur qui auraient une incidence sur le respect de la protection des données ou sur le fonctionnement des règles de l'entreprise relatives à l'utilisateur.  Le membre du groupe principal communiquera à l'autorité principale chargée de la protection des données, au moins une fois par an, les modifications importantes apportées aux règles de l'entreprise relatives à l'utilisateur et à la liste des membres du groupe.  Les membres de l'équipe de Respect de la vie privée à l'échelle mondiale de PayPal travailleront ensemble pour soutenir le responsable européen de la protection des données qui, en particulier, coordonnera les réponses et répondra rapidement aux commentaires, suggestions ou objections aux changements soulevés par l'autorité responsable de la protection des données au nom de PayPal. Tout commentaire, suggestion ou objection soulevés par d'autres autorités de protection des données sera communiqué au responsable européen de la protection des données par l'autorité responsable de la protection des données, qui agira au nom des autres autorités de protection des données.  

Les modifications apportées aux règles de l'entreprise relatives à l'utilisateur s'appliquent à tous les membres du groupe à la date d'entrée en vigueur de la mise en œuvre.  Les membres du groupe informeront les utilisateurs des changements importants apportés aux règles de l'entreprise relatives à l'utilisateur conformément aux préférences de service de l'utilisateur, soit par email groupé ou par affichage sur le site Web, avec un avertissement clair aux utilisateurs, à l'avance, que les règles de l'utilisateur ont été modifiées. Les membres du groupe afficheront les règles de l'entreprise relatives à l'utilisateur révisées sur certains sites Web ou applications externes accessibles par les utilisateurs.  Les révisions des règles de l'entreprise relatives à l'utilisateur entrent en vigueur dans un délai de deux mois après que les membres du groupe ont avisé les utilisateurs et affiché les règles de l'entreprise relatives à l'utilisateur.

 

10. Publication

Les règles de l'entreprise relatives à l'utilisateur seront publiées et un lien sera mis à disposition sur le site Web ou les applications du Service.  Les utilisateurs peuvent en demander une copie auprès du responsable européen de la protection des données (RPD), PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg ou en nous envoyant un e-mail à DPO@paypal.com.

 

11. Dispositions finales

Date d'entrée en vigueur : 25 mai 2018

Contact : Les utilisateurs peuvent soulever toute question ou préoccupation concernant les présentes règles de l'entreprise relatives à l'utilisateur en contactant :

Le responsable européen de la protection des données (RPD)

PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, l-2449 Luxembourg

 

12. Définitions

Les membres du groupe doivent interpréter les règles de l'entreprise relatives à l'utilisateur de la manière la plus cohérente avec les concepts de base des principes de la directive 95/46/CE de l'UE ou de toute directive ou règlement qui la remplace. 

Aux fins des présentes règles d'entreprise de l'utilisateur, les définitions suivantes s'appliquent :

Conseil d’administration désigne le conseil d'administration du membre du groupe principal.

Autorités de protection des données désigne les autorités publiques responsables du contrôle et de l'application sur leur territoire respectif des lois nationales adoptées par les États membres de l'EEE - conformément à la directive européenne sur la protection des données (95/46/CE).

Espace économique européen désigne l'Espace économique européen, qui comprend actuellement les États membres de l'UE, l'Islande, le Liechtenstein et la Norvège.

Employé désigne les employés, travailleurs, stagiaires et autres membres du personnel ou membres du personnel, y compris les travailleurs occasionnels ou temporaires, les travailleurs suppléants ou les sous-traitants d'un membre du groupe, qu'ils soient employés ou engagés à temps plein ou à temps partiel et quel que soit le type d'emploi ou d'engagement.

Responsable européen de la protection des données (RPD) désigne l'employé qui est nommé par la direction du membre du groupe principal, qui relève de sa direction, et qui fait également partie de l'équipe juridique de respect de la vie privée à l'échelle mondiale de PayPal Le RPD européen est situé au Luxembourg.

Membre du groupe désigne une entité du Groupe PayPal qui a effectué une copie de l'IGA.

IGA désigne un accord intragroupe

Autorité responsable de la protection des données désigne la "Commission nationale pour la protection des données" ("CNPD") au Luxembourg.

Membre du groupe principal désigne PayPal (Europe) S.à r.l. & Cie, S.C.A., une société à responsabilité limitée luxembourgeoise.

Équipe de Respect de la vie privée à l'échelle mondiale de PayPal désigne l'association de l'équipe de conformité de respect du la vie privée à l'échelle mondiale de PayPal et de l'équipe juridique de respect de la vie privée à l'échelle mondiale de PayPal.

Équipe de conformité de respect du la vie privée à l'échelle mondiale de PayPal désigne les membres de l'organisme de conformité qui s'occupent spécifiquement de la conformité et du fonctionnement du programme de confidentialité PayPal.

Équipe juridique de respect de la vie privée à l'échelle mondiale de PayPal désigne les membres du service juridique qui s'occupent spécifiquement de la protection de la vie privée et de la protection des données.

Groupe PayPal désigne PayPal Holdings, Inc. ("PayPal") et toute entité contrôlée directement ou indirectement par PayPal qui traite des renseignements sur les utilisateurs, où le contrôle signifie la propriété de plus de cinquante pour cent (50 %) des droits de vote pour élire les administrateurs de la société, ou plus de cinquante pour cent (50 %) des droits de propriété de la société.

Données personnelles désigne toute information concernant une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Procédure désigne toute opération ou ensemble d'opérations effectuées sur les Données personnelles, que ce soit par des moyens automatiques ou non, tels que la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, le blocage, l'effacement ou la destruction.

Société de traitement désigne toute personne physique ou morale qui traite des données personnelles au nom d'un membre du groupe.

Données personnelles sensibles désigne les données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les informations relatives aux infractions pénales ou les informations relatives à la santé ou à la vie sexuelle.

Service désigne un site Web, une application ou tout autre produit ou service offert par un groupe PayPal à l'usage d'un utilisateur.

Tiers désigne toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que l'utilisateur, le membre du groupe, le sous-traitant et les personnes qui, sous l'autorité directe du membre du groupe ou du sous-traitant, tels que les employés, sont autorisés à traiter des données à caractère personnel.

Utilisateur désigne les clients actuels et passés, les prospects, les investisseurs, les partenaires commerciaux et les marchands.

Données personnelles de l'utilisateur désigne les données personnelles relatives aux utilisateurs.