TOTAL'S BINDING CORPORATE RULES

1. INTRODUCTION

Le Groupe Total (ou «Total») promeut une culture et des pratiques de protection des données personnelles (1), conformément aux lois applicables. À cette fin, Total a mis en place des règles d'entreprise contraignantes («BCR»).

Ce document résume les principes de protection des données qui s'appliquent en vertu de nos BCR et les droits accordés par eux.

2. OBJETIF

Nos BCR sont un ensemble de règles internes contraignantes, applicables à toutes les filiales de Total qui les ont adoptées. Ils ont été approuvés par les autorités européennes de protection des données.

Ils permettent aux filiales de Total de transférer des données à caractère personnel provenant de l'espace économique européen ("EEE") (2) vers les filiales de Total situées en dehors de l'EEE conformément à la loi applicable.

3. CHAMP D'APPLICATION

Nos BCR s'appliquent à toutes les données personnelles originaires de l'EEE traitées par les filiales de Total, y compris les données relatives aux anciens et actuels employés, demandeurs d'emploi, clients et clients potentiels, fournisseurs et sous-traitants et au personnel de sociétés tierces agissant pour le compte des filiales du Groupe en tant que ainsi que les actionnaires (ci-après "personnes concernées").

4. PRINCIPES DE PROTECTION

Les principes suivants énoncés dans nos BCR doivent être respectés:

  • Régularité

Toute opération de traitement (3) effectuée au sein du Groupe a une base légale, prévue par la loi applicable.

Les données personnelles ne doivent être traitées qu'à des fins légitimes et licites. Les données ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

  • Pertinence

Les données personnelles doivent être exactes et proportionnées, en termes de qualité et de quantité, par rapport à la finalité du traitement.

  • Transparence

Les données personnelles doivent être obtenues légalement et loyalement. Les personnes concernées doivent être informées des caractéristiques du traitement de leurs données personnelles et de leurs droits, sauf si cela s'avère impossible ou impliquerait des efforts disproportionnés.

  • Securité

Les données personnelles doivent être protégées par des mesures de sécurité appropriées pour limiter les risques d'accès, de destruction, d'altération ou de perte non autorisés.

Lorsqu'elle fait appel aux services d'un tiers pour traiter des données personnelles, la filiale Total s'assure que ce dernier offre des garanties suffisantes en matière de sécurité et de confidentialité des données.

  • Conservation

Les données personnelles ne doivent être conservées que pendant une période raisonnable et non excessive au regard de la finalité du traitement.

À l'expiration de la période de conservation, les données sont détruites, anonymisées ou archivées.

  • Transferts internationaux de données personnelles

Total ne transfère pas de données à caractère personnel provenant d'un pays de l'EEE directement à une filiale de Total située dans un pays tiers qui n'offre pas un niveau de protection adéquat, sauf si cette filiale a officiellement souscrit aux BCR ou utilise un autre instrument juridique reconnu par la Commission européenne.

Total ne transfère pas de données à caractère personnel provenant de l'EEE directement à une société n'appartenant pas au Groupe située dans un pays qui n'offre pas un niveau adéquat de protection des données (responsable du traitement ou sous-traitant) sans base légale en vertu de la loi applicable et des instruments prévoyant des garanties suffisantes, telles que les clauses contractuelles types.

De même, lorsqu'un importateur de données transfère en outre des données à caractère personnel provenant de l'EEE à une société n'appartenant pas au groupe (responsable du traitement ou sous-traitant) située dans un pays qui n'offre pas un niveau adéquat de protection des données, l'importateur de données doit conclure un accord avec cette société par lequel elle s'engage à respecter les principes des BCR.

5. DATA SUBJECT RIGHTS

En vertu de nos BCR, les personnes concernées dont les données personnelles sont traitées ont les droits suivants:

  • Droit d'accès aux données
  • Droit de rectification, d'effacement et de vérouillage des données
  • Droit de s'opposer au traitement
  • Droit de limiter le traitement

[Une liste complète des droits accordés par les BCR est détaillée dans l'ANNEXE 1 ci-après].

Les personnes concernées peuvent exercer ces droits en soumettant une demande en utilisant les coordonnées fournies dans la notice légale concernant le traitement de leurs données. Total filiales s'engage à répondre dans un délai raisonnable aux demandes concernant le traitement en dehors de l'EEE.

De plus, si les personnes concernées estiment qu'une filiale de Total n'a pas respecté nos BCR, elles ont le droit de déposer une plainte en envoyant:

ou

  • Une lettre à TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

Les personnes concernées seront informées de l'état de leur plainte et de toute autre étape.

La procédure de réclamation interne est décrite dans l'ANNEXE 2 ci-après.

Le fait que les personnes concernées puissent déposer une plainte auprès de Total n'affecte pas leur droit de déposer une plainte auprès des autorités compétentes de l'EEE en matière de protection des données ou de saisir les tribunaux du pays de l'EEE où se trouve la filiale de Total responsable de l'exportation des données personnelles. établi.

6. MODIFICATIONS DE REGLES DE TOTAL

Si nécessaire, nos BCR peuvent être complétés ou mis à jour.

7. PLUS D'INFORMATION

Une copie de la version complète des BCR et une liste des filiales de Total peuvent être obtenues en envoyant un e-mail à: data-protection@total.com

(1) Les données personnelles désignent toute information permettant l'identification directe ou indirecte d'une personne physique.

(2) EEE: les États membres de l'Union européenne plus l'Islande, le Liechtenstein et la Norvège.

(3) Le traitement désigne toute opération qui est effectuée sur des données personnelles, que ce soit de manière automatique ou non (par exemple: collecte, enregistrement, stockage, destruction…).

(4) Par transfert, on entend tous les échanges virtuels et physiques de données à caractère personnel originaires de l'EEE d'un pays à un autre.

 

ANNEXE 1 - DROITS DES BÉNÉFICIAIRES TIERS

Les BCR de Total accordent aux personnes concernées le droit d'appliquer les règles en tant que tiers bénéficiaires, comme indiqué dans les différents chapitres de ces BCR.

Plus précisément, ils peuvent appliquer les principes suivants conformément aux termes et conditions énoncés dans ces BCR:

 

  • Que toute opération de traitement effectuée au sein du Groupe doit avoir une base légale telle que prévue par la loi applicable;
  • Que Total doit collecter et traiter des données personnelles à des fins légitimes, spécifiées et explicites et ne doit pas traiter davantage de données personnelles d'une manière incompatible avec la finalité pour laquelle elles ont été collectées;
  • Que Total doit traiter des données personnelles pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont collectées, et que ces données doivent être exactes et, si nécessaire, tenues à jour;
  • Que les personnes concernées doivent avoir un accès facile et permanent aux informations relatives à leurs droits en vertu de ces BCR;
  • Les personnes concernées dont les données personnelles proviennent de l'EEE doivent avoir un droit d'accès, de rectification et d'opposition au traitement de leurs données personnelles conformément à la loi applicable;
  • Les personnes concernées dont les données personnelles proviennent de l'EEE ne doivent pas être soumises à une décision produisant des effets juridiques les concernant ou les affectant de manière significative et basée uniquement sur un traitement automatisé des données personnelles destiné à évaluer certains aspects personnels les concernant, sauf si cela décision:
  • Est prise au cours de la conclusion ou de l'exécution d'un contrat, à condition que la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, ait été satisfaite ou qu'il existe des mesures appropriées pour protéger sa légitimité intérêts, tels que des dispositions lui permettant d'exprimer son point de vue; ou
  • Est autorisé par la loi applicable, qui prévoit également des mesures pour protéger les intérêts légitimes de la personne concernée;
  • Que Total doit mettre en œuvre les mesures appropriées pour garantir la sécurité et la confidentialité des Données personnelles, compte tenu de l'état de l'art et du coût de leur mise en œuvre;
  • Que Total doit conclure un accord de traitement écrit avec tout fournisseur de services utilisé pour traiter les données personnelles, spécifiant que le fournisseur de services doit agir uniquement sur les instructions de Total et mettre en œuvre les mesures de sécurité et de confidentialité appropriées;
  • Ce total ne doit pas transférer de données personnelles d'un État membre de l'EEE ou originaires de l'EEE à une entreprise n'appartenant pas au groupe et située dans un pays tiers qui n'offre pas un niveau adéquat de protection des données (soit un contrôleur externe des données, soit Sous-traitant) sans base juridique en vertu de la loi applicable et des instruments prévoyant des garanties suffisantes;
  • Une Filiale Total doit immédiatement informer l'exportateur de Données si cette Filiale Total estime que la législation applicable dans sa juridiction est de nature à l'empêcher de remplir ses obligations en vertu des BCR de Total et avoir un effet néfaste sur les garanties offertes par ces BCR, sauf si lorsqu'elles sont interdites par une autorité chargée de l'application des lois, notamment en raison d'une interdiction en vertu du droit pénal de préserver la confidentialité d'une enquête des forces de l'ordre;
  • Que toute personne concernée puisse déposer une plainte auprès de Total via le mécanisme de plainte interne conformément aux conditions énoncées dans le chapitre «Traitement des plaintes»;
  • Que toutes les filiales de Total qui ont souscrit aux BCR doivent coopérer avec les autorités de contrôle compétentes, suivre leurs recommandations concernant les transferts internationaux de données en cas de plainte ou de demande particulière de ces autorités et accepter d'être auditées par l'autorité de contrôle de leur pays d'établissement;
  • Toute personne concernée peut déposer une plainte auprès des autorités nationales de surveillance ou saisir le tribunal de l'État membre de l'EEE où l'exportateur de données est établi afin de faire respecter les principes ci-dessus et, le cas échéant, de recevoir une indemnisation pour les dommages souffert du non-respect des BCR de Total. Si, au cours d'un transfert de données personnelles en dehors de l'EEE, l'importateur de données ne respecte pas les BCR de Total, l'exportateur de données défendra toute réclamation, établira que l'importateur de données n'a pas violé les BCR et versera une compensation à la personne concernée. pour les dommages subis du fait de cette violation.

 

ANNEXE 2 - PROCÉDURE DE TRAITEMENT DES PLAINTES INTERNE

Si une personne concernée estime qu'une filiale de Total ne s'est pas conformée aux BCR de Total, elle peut déposer une plainte conformément à la procédure de plainte énoncée dans la politique ou le contrat de confidentialité applicable ou conformément à la procédure décrite ci-dessous.

1. COMMENT FAIRE UNE PLAINTE ?

Les personnes concernées peuvent déposer une plainte en envoyant:

ou

  • Une lettre à TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

La plainte doit clairement fournir autant de détails que possible sur la question soulevée, notamment:

  • Le pays et la filiale totale concernés, la compréhension de la personne concernée de la violation des BCR, la réparation demandée;
  • Le nom complet et les coordonnées de la personne concernée ainsi qu'une copie de sa carte d'identité ou de tout autre document d'identification;
  • Toute correspondance antérieure sur cette question spécifique

2. RÉPONSE DE TOTAL

Dans les trois mois suivant la réception d'une plainte par Total, le responsable de la confidentialité des données de la succursale («BDPL») concerné doit informer la personne concernée par écrit de la recevabilité de la plainte; et si celle-ci est recevable, des actions correctives que Total a prises ou prendra en réponse. Le BDPL approprié veillera à ce que, si nécessaire, des mesures correctives appropriées soient prises pour se conformer aux BCR de Total si nécessaire.

Le BDPL approprié enverra une copie de la plainte et de toute réponse écrite au responsable de la confidentialité des données de l'entreprise («CDPL»).

3. PROCESSUS DE RECOURS

Si la personne concernée n'est pas satisfaite de la réponse du BDPL approprié (par exemple, la plainte a été rejetée), elle peut se référer au CDPL en envoyant un e-mail ou une lettre comme indiqué ci-dessus. Le CDPL examinera la plainte et prendra une décision dans les trois mois suivant la réception des données. Après cette période, le CDPL informera la personne concernée si la réponse initiale a été confirmée ou communiquera une nouvelle réponse.

Le fait que les personnes concernées puissent déposer une plainte auprès de Total n'affecte pas leur droit de déposer une plainte auprès de l'autorité nationale de surveillance compétente ou de saisir le tribunal de l'État membre de l'EEE où l'exportateur de données est établi.