Déclaration de Confidentialité | KPMG | FR
close
Share with your friends

Déclaration de Confidentialité sur la protection de la confidentialité des Données Personnelles

Déclaration de Confidentialité

Préambule

KPMG a adopté la présente déclaration concernant la protection de la confidentialité des Données Personnelles (ci-après « Déclaration de Confidentialité ») afin d’aider à établir et à maintenir un niveau satisfaisant de confidentialité des Données Personnelles en ce qui concerne la collecte, le traitement, la divulgation et le transfert transfrontalier des Données Personnelles, y compris celles liées au Personnel de KPMG, à ses Clients, fournisseurs, sous-traitants et aux partenaires commerciaux des Entités KPMG.

La dernière version de la Déclaration de Confidentialité a été révisée le 23 mai 2018 pour refléter les nouvelles dispositions du Règlement général sur la protection des données.

I. Définitions

L’« Accord Inter-entreprises » désigne l’accord conclu entre les Entités KPMG définissant les termes et conditions applicables aux transferts internationaux de Données Personnelles au sein du réseau des Entités KPMG.

Le « Client » désigne(nt) la ou les Partie(s) signataire(s) d’une lettre de mission ou d’un contrat conclu entre KPMG et le(s) bénéficiaire(s) des Services.

Les « Données Personnelles » désignent toute information liée à une Personne Concernée identifiée ou identifiable.

Les « Données Personnelles Sensibles » désignent les Données Personnelles qui : (i) révèlent l’origine raciale ou ethnique, l’opinion politique, la croyance religieuse ou philosophique ou, l’appartenance à un groupe syndical, les données génétiques, les données biométriques, les données liées à la santé ou à l’orientation sexuelle d’une Personne Concernée ; ou (ii) n’appartenant à aucune des catégories décrites au point (i), mais étant (a) réglementées par le droit national ou relevant de la compétence du pays à partir duquel elles ont été exportées conformément à ce type de Données Personnelles et (b) dont l’Entité KPMG concernée a informé KPMG que leur traitement nécessite d’être traité comme des données sensibles.

La ou les « Entité(s) Contrôlées » désigne(nt) toute entité juridique étant détenue ou contrôlée en tout ou partie par une Entité KPMG.

Les « Entités KPMG » désignent (i) KPMG International et (ii) toute entité étant soit : (a) un signataire de la convention de participation à la coopérative de KPMG International ; (b) une société à laquelle les avantages tiré de la convention de participation sont concédés par une entité Membre de la coopérative KPMG International ; (c) toute entité, filiale ou société affiliée détenue en tout en partie par l’une des entités visées aux paragraphes (a) et (b), supra ; (d) une Entité Affiliée transitoire de l’une des sociétés visée aux paragraphes (a), (b) et (c), supra. Les « Entités Affiliées transitoire » désignent toute personne morale indépendante ayant conclu un accord afin de faire partie d’une Entité membre du réseau KPMG ou d’en devenir une affiliée ou ayant fait partie d’une Entité membre du réseau KPMG ou ayant été affiliée à cette dernière, à la condition qu’une telle Entité Affiliée transitoire agisse dans le cadre d’un accord conclu avec KPMG SA.

« KPMG International » désigne KPMG International Cooperative, une entité de droit Suisse, ayant son siège aux Pays-Bas.

« KPMG » désigne KPMG SA, une société anonyme de droit français, dont le siège social se situe Tour Eqho, 2 avenue Gambetta CS 60055 – 92066 Paris La Défense Cedex, ainsi que toutes les sociétés KPMG contrôlées par KPMG SA et/ou les Entités Affiliées transitoire de KPMG SA en France.

La « Personne Concernée » désigne toute personne physique identifiée ou identifiable ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou par un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Le « Personnel KPMG » désigne tous les partenaires, directeurs, agents, salariés, entrepreneurs individuels et autres membres du personnel de KPMG ou d’une Entité KPMG.

La « Règlementation applicable en matière de protection des Données Personnelles » désigne la législation française sur la protection des données n° 78-17 du 6 janvier1978 et ses modifications et ajouts successifs et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 Avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE, ainsi que toutes les autres lois et réglementations y afférant, ou ayant un impact sur le traitement des Données Personnelles, le cas échéant.

Le « Responsable de traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme, qui détermine, individuellement ou conjointement avec d’autres, les finalités et les moyens du traitement des Données Personnelles.

Les « Services » désignent les services devant être fournis par KPMG à ses Clients conformément aux conditions établies dans une lettre de mission ou contrat.

Le « Sous-traitant » désigne une personne physique ou morale chargée de traiter des données personnelles pour le compte du Responsable de traitement, conformément à des instructions spécifiques et écrites de ce dernier.

Le « traitement », les « traitements », « traiter », « traité », « traitées » désignent toute opération ou ensemble d’opérations effectuée(s) sur des Données Personnelles ou des ensembles de Données Personnelles, de manière automatique ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.


II. Champ d’application

Cette Déclaration de Confidentialité s’applique uniquement aux Données Personnelles traitées par ou pour le compte de KPMG.

KPMG traite les Données Personnelles de façon loyale et légale, dans le respect de la Réglementation applicable en matière de protection des Données Personnelles.

En cas de conflit entre cette Déclaration de Confidentialité et la Réglementation applicable en matière de protection des Données Personnelles, les dispositions prévues par la Réglementation applicable en matière de protection des Données Personnelles prévaudront.


III. Les Dix Principes de Traitement des Données Personnelles fixés par KPMG en tant que Responsable de traitement

KPMG agira en tant que « Responsable de traitement » lorsqu’il détermine les finalités et les moyens du traitement des Données Personnelles. Ainsi, KPMG agira en tant que Responsable de traitement en ce qui concerne (i) les données des employés à des fins de gestion des activités de recrutements et ressources humaines ; (ii) les données des Clients et prospects de KPMG traitées dans le cadre de la gestion de leur relation commerciale avec KPMG, ainsi que pour les informer de ses Services, (iii) les données sur les fournisseurs et les sous-traitants aux fins de la gestion de leur relation contractuelle avec KPMG.

Dans le cadre de l’exécution des Services, KPMG peut avoir accès à des documents de Clients susceptibles de contenir des Données Personnelles et/ou traiter des Données Personnelles ayant été préalablement collectées par son Client, directement ou indirectement, auprès des Personnes Concernées (telles que les salariés, clients et fournisseurs du Client).

En général, KPMG agira en tant que Responsable de traitement dans ses engagements auprès de Clients dans lesquels KPMG fournit ses Services de manière indépendante, conformément aux règles professionnelles et d’éthique applicables aux commissaires aux comptes (les « Commissaires aux Comptes ») et aux experts-comptables (les « Experts-comptables ») qui sont des professions réglementées en France, ou dans le cadre de certains Services de conseil, lorsque le Client ne détermine pas les finalités et les moyens d’utilisation des Données Personnelles, ni ne fournit d’instructions spécifiques quant à la façon de traiter les Données Personnelles.

Lorsque KPMG et le Client déterminent ensemble les finalités et les moyens de traitement des Données Personnelles dans le cadre d’une mission ou de Services, KPMG et le Client pourront agir en qualité de « Responsable Conjoint » de traitements et devront définir précisément, dans la lettre de mission ou le contrat concerné, leurs responsabilités respectives. Sauf indication contraire, le Client sera chargé d’informer les Personnes Concernées du traitement de leurs Données Personnelles et de leurs droits, et agira en qualité d’interlocuteur direct avec eux.

Dans le cadre du traitement des Données Personnelles en qualité de Responsable de traitement ou Responsable Conjoint, KPMG et le Personnel de KPMG devront se conformer aux dix principes fondamentaux suivants :

1- Transparence :

Lorsque KPMG collecte directement des Données Personnelles auprès de Personnes Concernées, KPMG devra fournir à ces Personnes Concernées des informations sur la manière dont KPMG traite leurs Données Personnelles, dans la mesure nécessaire pour garantir que le traitement est loyal et dispose d’une base légale. Dans les cas où les Clients de KPMG transfèrent des Données Personnelles à KPMG, KPMG ne sera pas tenue d’informer les Personnes Concernées du type de traitement des Données Personnelles effectué par KPMG en rapport avec les Services.

2- Limitation des finalités : 

KPMG ne traitera les Données Personnelles qu’aux seules fins (i) prévues dans la lettre de mission ou le contrat liant KPMG à son Client ou fournisseur ou dans toute notice d’information mise à la disposition des Personnes Concernées en lien avec KPMG ; (ii) conformément à la loi ; (iii) pour répondre aux intérêts légitimes de KPMG, (iv) pour répondre à des motifs d’intérêt public ou (v) lorsque les Personnes Concernées y ont consenti.

Exemples d’« intérêts légitimes » susmentionnés :
- Prévenir la fraude ou les activités criminelles et sauvegarder nos systèmes informatiques (IT), nos biens et nos locaux.
- Remplir nos obligations en matière de responsabilité sociale d’entreprise.
- Exercer nos droits fondamentaux à l’intérieur de l’Union européenne, conformément aux articles 16 et 17 de la Charte des droits fondamentaux, notamment notre liberté d’entreprendre et notre droit de propriété.
- Rationnaliser nos ressources et services (par exemple nous pouvons choisir d’utiliser certaines plates-formes informatiques offertes par des fournisseurs
- Adopter une approche globale et centralisée pour la fourniture de services informatiques à nos employés, et permettre au personnel travaillant dans les entités membres du réseau KPMG d’interagir. Ceci implique normalement l’hébergement de vos coordonnées et de votre adresse e-mail afin que le réseau informatique mondial de KPMGI soit à jour et contienne des données pertinentes.

3- Qualité et proportionnalité des données :

Les Données Personnelles doivent être conservées avec exactitude et le cas échéant, mises à jour. Les Données Personnelles détenues par KPMG doivent être appropriées, pertinentes et non excessives au regard des finalités du traitement en question, et ne peuvent être conservées que pour la durée nécessaire au traitement concerné.

4- Sécurité et confidentialité :

Toutes les précautions raisonnables doivent être prises pour protéger les Données Personnelles contre la destruction accidentelle ou illégale, la perte, modification, divulgation ou l’accès non autorisé. Ces précautions comprennent des mesures de sécurité techniques, physiques et organisationnelles, telles que les mesures de prévention contre l’accès non autorisé, en fonction du caractère sensible de l’information et du niveau de risque associé au traitement des Données Personnelles.
Les mesures de sécurité en place sont décrites de façon plus détaillée dans la Déclaration de Protection des Informations de KPMGI.
Lorsque KPMG traite des Données Personnelles pour le compte d’une autre Entité KPMG, il n’agira qu’en vertu des instructions de l’Entité KPMF pour laquelle le traitement est effectué.

5- Droits d’accès, de rectification, de suppression et d’objection :

Les Personnes Concernées pourront avoir accès à leurs Données Personnelles détenues par KPMG, dans la mesure où ces demandes sont raisonnables et autorisées par la loi. KPMG consent à rectifier, modifier ou effacer les Données Personnelles sur demande, dans la mesure où elles sont inexactes ou utilisées contrairement à ces principes fondamentaux.

Les Personnes Concernées pourront s’opposer au traitement de leurs Données Personnelles pour des raisons impérieuses et légitimes concernant leur situation personnelle, dans la mesure autorisée par la Réglementation applicable en matière de protection des données personnelles. Les Personnes Concernées ont aussi le droit de demander la portabilité des données en vertu de l’Article 20 du Règlement général sur la Protection des Données ; de même, elles bénéficient d’autres droits en vertu de la Règlementation applicable en matière de protection des Données Personnelles.

6- Données Personnelles Sensibles :

Lorsque KPMG traite des Données Personnelles Sensibles, il prendra les mesures additionnelles (par exemple, liées à la sécurité) qui s’imposent pour protéger ce type de données, conformément à la Règlementation applicable en matière de protection des Données Personnelles.

7- Données utilisées à des fins de marketing :

Lorsque KPMG traite des Données Personnelles à des fins de marketing ou prospection commerciale, KPMG disposera de procédures efficaces permettant aux Personnes Concernées de s’opposer à tout moment à l’utilisation de leurs Données Personnelles à de telles fins.

8- Traitement automatisé :

Lorsque KPMG traite des Données Personnelles selon un mode purement automatisé ayant un impact important sur une Personne Concernée, KPMG donnera à la Personne Concernée l’opportunité de discuter du résultat d’un tel traitement avant de prendre ces décisions (sauf si à la Règlementation applicable en matière de protection des Données Personnelles s’y oppose).

9- Minimisation des Données :

Lorsque KPMG conserve les Données Personnelles d’une Personne Concernée, KPMG fera en sorte d’identifier ou de rendre identifiable une Personne Concernée seulement si nécessaire au regard des finalités pour lesquelles ces Données Personnelles ont été initialement collectées ou ultérieurement autorisées, dans la mesure autorisée par la Règlementation applicable en matière de protection des Données Personnelles.

10- Transfert d’information et conformité : 

Au sein du réseau global d’Entités KPMG, des Données Personnelles peuvent être transférées hors du pays où elles ont été collectées, y compris vers des pays situés hors de l’Espace économique européen, dans le cadre d’activités commerciales légitimes conformément à la Réglementation applicable en matière de Protection des Données Personnelles. En outre, conformément à la Réglementation applicable en matière de Protection des Données Personnelles, KPMG peut conserver des Données Personnelles dans des sites d’installation exploités par d’autres Entités KPMG et/ou des tiers pour le compte de KPMG hors du pays dans lequel les Données Personnelles ont été collectées.

Néanmoins, les Données Personnelles ne doivent pas être transférées vers un autre pays à moins que l’exportateur de données se soit assuré qu’il existe niveau de protection adéquate quant aux Données Personnelles, tel que requis par la Réglementation applicable en matière de Protection des Données Personnelles. Dans le cas de chaque Entité KPMG, un niveau de protection adéquat est assuré par un l’Accord Inter-Entreprises auquel chaque Entité KPMG doit se conformer, y compris KPMG, ou par des Règles d’Entreprise Contraignantes (si et une fois adoptées par les Entités KPMG), ou par tout autre mécanisme officiellement reconnu par la Réglementation applicable en matière de Protection des Données Personnelles, visant à garantir un niveau adéquat de protection des Données Personnelles.

Lorsque les Données Personnelles sont transférées à des tiers externes au réseau KPMG dans le cadre de leur traitement (par exemple, à des fournisseurs de services KPMG en soutien des activités KPMG), KPMG s’assurera que les Données Personnelles sont suffisamment protégées. KPMG conclut à cette fin des contrats avec ces tiers imposant des obligations conformes aux exigences de cette Déclaration de Confidentialité, ou incluant des clauses contractuelles types approuvées par la Commission européenne (telles que les clauses contractuelles types 2004/915/CE concernant les transferts entre Responsables de traitements, les Clauses contractuelles types 2010/87/EU, concernant les transferts vers des Sous-Traitants) ou toute version ultérieure de ces clauses, ou tout autre mécanisme officiellement reconnu par la Réglementation applicable en matière de Protection des Données Personnelles comme assurant un niveau de protection adéquat des Données Personnelles.
 

IV. Lorsque KPMG agit en qualité du Sous-traitant

KPMG agira en tant que « Sous-traitant » lorsqu’il traite des Données Personnelles pour le compte du « Responsable de traitement » lui ayant communiqué des instructions relatives aux traitements des Données Personnelles confiées. Lorsque KPMG agit en tant que Sous-traitant des Données personnelles pour le compte de Clients, il devra le faire conformément aux instructions du Responsable de traitement eu égard à ces Données Personnelles.

KPMG peut agir en qualité de Sous-traitant conformément aux engagements souscrits auprès du Client, lorsque le Client fournit des instructions spécifiques concernant le type de Données Personnelles qu’il a communiquées à KPMG à des fins de traitement , (ii) les opérations ou ensemble d’opérations devant être effectuées par KPMG sur les Données Personnelles, de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou la mise à disposition d’une manière ou d’une autre, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (iii) la durée pour laquelle les Données Personnelles devront être traitées et stockées par KPMG, (iv) les moyens techniques employés (tels que les logiciels ou outils) par KPMG pour traiter les Données Personnelles pour le compte du Client, (v) les mesures de sécurité additionnelles devant être prises par KPMG.

Si pour une raison quelconque, l’application de ces instructions s’avère impossible (par exemple, en cas de conflit avec la législation actuelle ou future), KPMG devra informer rapidement le Client (directement ou par le biais d’une autre Entité KPMG) de son incapacité à se conformer à ses instructions.

Lorsque KPMG cesse d’agir pour le compte d’un Client, il devra (à la demande du Client) renvoyer, détruire ou continuer à protéger de manière appropriée toutes les Données Personnelles reçues de la part du Client, sauf disposition contraire, conformément à la loi applicable.

Sauf disposition contraire dans la lettre de mission ou le contrat conclu entre KPMG (Sous-traitant) et le Client (Responsable de traitement), KPMG est autorisé à (i) employer tous les moyens techniques qu’il juge appropriés pour fournir les Services et traiter les Données Personnelles (par exemple, en sélectionnant les solutions logicielles adaptées), le tout conformément aux politiques de Sécurité KPMG, (ii) engager des Sous-traitants ultérieurs pour réaliser certaines parties des Services, accéder à et utiliser les Données Personnelles, y compris hors Union Européenne, pour autant que les Sous-traitants ultérieurs soient liés par des engagements écrits établissant qu’ils doivent fournir a minima le même niveau de protection des Données Personnelles que celui prévu par cette Déclaration de Confidentialité, et conformément aux stipulations prévues au principe 10 « Transfert de données et conformité » susmentionné.

Lorsque KPMG agit en tant que Sous-traitant, il est également tenu d’aider le Client à se conformer à la loi (sous réserve que le Client couvre les coûts afférents de KPMG), par exemple (i) en informant le Client des activités de traitement effectuées par KPMG de manière qu’il puisse en informer les Personnes Concernées ; (ii) en mettant en place, à la demande du Client, des mesures raisonnables permettant que ces Données Personnelles soient mises à jour, corrigées, rendues anonymes ou effacées (sous réserve de certains cas limitatifs et exceptionnels), et informer d’autres Entités KPMG au sein du réseau KPMG lorsque de tels changements sont opérés ; et (iii) en adressant au Client toutes demandes d’accès des Personnes Concernées à leurs Données Personnelles détenues par l’Entité KPMG, de sorte que le Client puisse y répondre.

En sa qualité de Sous-Traitant des Données Personnelles, KPMG devra dans tous les cas traiter ces Données Personnelles conformément aux paragraphes ci-dessus concernant la sécurité, la confidentialité et le transfert de données et la conformité, ne transférer que les Données Personnelles dont le Client a autorisé le transfert (ce qu’il peut faire à l’avance, dans le cadre de son engagement contractuel envers KPMG) et informer le Client en cas de violation de la sécurité des Données Personnelles de sorte qu’il puisse en informer les Personnes Concernées, le cas échéant.


V. Base de Données Internationales

Pour des raisons commerciales et professionnelles légitimes, KPMG International a créé, continuera à créer et maintiendra les systèmes et applications contenant des Données Personnelles des Personnels KPMG (et, le cas échéant, de leur famille proche) et des Clients, fournisseurs, contractants et partenaires commerciaux. Ces systèmes et applications font partie des environnements de communication, de gestion des connaissances et des environnements informatiques des Entités KPMG et servent à partager les Données Personnelles entre les Entités KPMG dans les limites autorisées par la loi et les normes professionnelles applicables.


VI. Réclamations, Questions et Informations complémentaires

KPMG s'engage à protéger vos données personnelles. Pour tout commentaire, question ou réclamation concernant la gestion de vos données personnelles, veuillez nous contacter à l'adresse fr-privacy@kpmg.fr. Vous pouvez également utiliser cette adresse pour nous faire part de vos interrogations éventuelles concernant le respect de cette Déclaration de Confidentialité.

Si vous n’êtes pas satisfait des réponses apportées à votre réclamation, vous pouvez prendre contact avec le Global Privacy Officer de KPMG en lui adressant un email à l’adresse GlobalPrivacyOfficer@kpmg.com. Nous accuserons réception de votre demande dans un délai de 14 jours et tenterons de résoudre votre réclamation dans le mois suivant la réception de votre demande. En cas de complexité particulière ou d’afflux de demandes, nous vous en informerons et nous efforcerons de répondre à votre réclamation dans un délai de 3 mois à compter de votre demande initiale.

Nous avons la faculté d’accepter votre réclamation (auquel cas nous mettrons en œuvre l’une des mesures évoquées dans la section “vos droits” ci-dessus) ou refuser d’y donner suite pour des motifs légitimes.

En toutes hypothèses, vous avez la faculté vous avez la faculté d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés.
 

VII. Modifications de cette Déclaration de Confidentialité

KPMG a la possibilité de modifier cette Déclaration de Confidentialité périodiquement afin de refléter l’évolution de nos pratiques en la matière. Lorsque nous modifions la présente Déclaration de Confidentialité, nous modifions également la date de « Dernière mise à jour » située en haut de cette page. Tout changement dans la manière dont nous traitons des données personnelles telle que décrite dans cette Déclaration de Confidentialité vous seront communiqués par un moyen approprié, selon la manière dont nous communiquons habituellement avec vous.