FAQ concernant les obligations en tant qu’entité de traitement

1. Votre entreprise dispose-t-elle d’une déclaration/d’un avis de confidentialité publié(e) que nous pourrions consulter ?

• La déclaration de confidentialité officielle de HP est disponible sur l’ensemble des pages web de hp.com. Vous trouverez une liste des déclarations en plusieurs langues ICI.

2. Conservez-vous un dossier de traitement pour toutes les activités réalisées ?

• HP conserve et met à jour continuellement son dossier d’activités de traitement. Nous avons mis en place des outils de conservation des documents et de gestion de la confidentialité afin de conserver et de rendre nos dossiers opérationnels pour de nombreuses activités de conformité, notamment les Dossiers de traitement, les Évaluations de l’impact sur la protection des données et la Protection de la vie privée dès la conception.

3. Depuis quels emplacements géographiques allez-vous fournir les services ? Transférez-vous des données personnelles à des pays quelconques hors de l’EEA ?

• HP est une entreprise mondiale et un grand nombre de nos processus métier utilisent un modèle fonctionnel international. Les données personnelles confiées à HP peuvent être transférées au-delà des frontières étatiques et nationales à des fins de consolidation et de stockage des données, ainsi que pour simplifier la gestion des informations client. Tout accès aux données personnelles ou transfert de celles-ci au-delà des frontières étatiques ou nationales doit se conformer aux lois locales en vigueur et aux exigences contractuelles. HP participe à plusieurs programmes permettant le transfert international de données personnelles aux entités de HP dans le monde. Pour en savoir plus sur notre participation à ces programmes, veuillez consulter la Déclaration de confidentialité HP.

4. Utilisez-vous des mécanismes légaux pour le transfert de données ?

• Conformément au RGPD, HP fait appel à des mécanismes agréés pour le transfert de données.
  • En tant que contrôleur de données, HP est lié par des règles d’entreprise contraignantes (REC) destinées à apporter la garantie appropriée que les données personnelles des employés, fournisseurs et clients de HP sont protégées lorsqu’elles sont transférées à n’importe quelle entreprise de HP. HP fait partie d’un ensemble de moins de 100 entreprises dans le monde reconnues par les autorités européennes de protection des données pour leurs règles d’entreprise contraignantes. Vous trouverez plus d’informations et pourrez consulter les REC de HP ICI.
  • La Coopération économique Asie-Pacifique (APEC) constituée de 21 économies met en place le système de Normes de confidentialité transfrontalières (CBPR), garantissant la protection de la vie privée lors des transferts de données personnelles au-delà des régions. Les politiques de confidentialité de HP sont conformes au système CBPR de l’APEC, notamment en matière de transparence, responsabilités et choix relatifs à la collecte et à l’utilisation de vos données personnelles. Vous trouverez plus d’informations sur les CBPR et pourrez constater la participation de HP ICI.
  • HP dispose également d’une certification interne conforme aux normes de respect de la vie privée européennes / américaines. Vous trouverez plus d’informations sur les normes de respect de la vie privée et pourrez constater la participation de HP ICI.
  • Pour en savoir plus sur notre participation à ces programmes, veuillez consulter la Déclaration de confidentialité HP.

5. Disposez-vous d’un responsable dédié à la confidentialité & la protection des données ou un poste équivalent ?

• Le responsable principal de la confidentialité et de la protection des données de HP, avec le soutien du bureau en charge de la protection de la vie privée, est mandaté pour garantir la conformité au RGPD et aux lois de protection des données et de confidentialité au niveau mondial. Des représentants du bureau en charge de la protection de la vie privée sont implantés dans l’Union européenne et font office de points de contact pour les sujets liés aux données et de lien avec les autorités de protection des données basées dans l’UE.

6. Disposez-vous d’un plan de gestion des incidents de sécurité officiellement établi, y compris en cas de violation des données personnelles ?

• HP a défini et met à jour des procédures en matière de confidentialité et de sécurité qui favorisent la sécurité des informations, la sécurité physique et la sensibilisation en matière de confidentialité.
• Incidents de sécurité—qu’ils soient physiques, technologiques ou liés aux informations—sont traités principalement via un processus de rapport d’incident global. Dès réception d’un rapport d’incident, l’équipe le transmet à la partie responsable au sein de HP et l’ensemble des parties suivent les procédures définies pour chaque type d’incident. Ces procédures reposent sur les meilleures pratiques du secteur, les exigences légales et les spécifications liées aux clients dans chaque contrat.
• Toutes les instances d’incidents de cybersécurité doivent être notifiées au service de Cybersécurité de HP par un processus en ligne disponible 24h/24, 7j/7. HP possède un processus permettant de faire remonter les documents afin de gérer les incidents de sécurité. Cependant, de manière générale, une fois un incident signalé, HP met immédiatement des protocoles d’actions correctives et mène une enquête approfondie afin de déterminer si un accès non autorisé s’est produit. Si un accès non autorisé à des données personnelles a eu lieu, alors l’incident est rapporté au bureau en charge de la protection de la vie privée de HP, aux Affaires juridiques mondiales et autres parties prenantes internes de HP qui prendront des décisions concernant la résolution et la notification.

7. Êtes-vous en mesure d’aider vos clients en cas de demande provenant de la personne concernée par les données et disposez-vous d’un processus officiellement établi pour traiter l’exercice par cette personne de ses droits ?

• Les individus peuvent exercer leurs droits, soumettre des demandées liées à la confidentialité ou déposer une plainte en Contactant le bureau en charge de la protection de la vie privée de HP.
• Lorsque HP traite des données personnelles pour le compte des clients, sous réserve de certaines restrictions, HP aidera ses clients à respecter leurs obligations afin de répondre aux demandes venant des personnes concernées par les données cherchant à exercer leurs droits, conformément aux exigences contractuelles.

8. Votre entreprise dispose-t-elle d’une norme / politique en matière de confidentialité des données conforme aux lois sur la protection des données en vigueur dans la juridiction dans laquelle votre entreprise est active ?

• HP occupe depuis longtemps une place de chef de file dans le secteur en matière de confidentialité et protection des données ; conjointement à notre portefeuille bien fourni de produits, logiciels et services de sécurité, nous pouvons soutenir les efforts de nos clients dans la protection des données personnelles et le respect à leur propre conformité. HP possède des politiques internes traitant de la sécurité, de l’accès et de la précision des données personnelles et interdit le partage de celles-ci si les étapes appropriées ne sont pas respectées. HP s’est fixé comme priorité de comprendre les exigences en matière de confidentialité et de sécurité de ses clients et d’établir des processus fournissant ses produits et services de façon à contribuer au respect de leurs besoins de conformité.

9. Votre entreprise fournit-elle une formation dans le domaine de la protection de la vie privée à vos employés ?

• Les employés et travailleurs intérimaires de HP suivent une formation annuelle sur l’éthique professionnelle, traitant principalement du respect de la vie privée et de la protection des données. Une formation complémentaire obligatoire peut également être requise pour certains postes manipulant régulièrement les données personnelles ou « au besoin » afin de soutenir des activités commerciales spécifiques.

10. Les fournisseurs de HP sont-ils tenus de protéger les données personnelles lorsqu’ils les traitent pour le compte de HP ?

• HP exige que les tiers, y compris les fournisseurs et partenaires, qui traitent les données personnelles pour le compte de HP, soient liés contractuellement pour protéger toute donnée personnelle qu’ils reçoivent de HP et qu’il leur soit interdit d’utiliser les données personnelles à toute autre fin que pour réaliser les services de la manière commandée par HP. HP a également mis en place une évaluation de conformité basée sur les risques pour les fournisseurs manipulant les données des clients de HP ou de HP.

11. Mettez-vous en place une évaluation de l’impact sur la confidentialité des données et la protection de la vie privée dès la conception lors du développement de systèmes et produits ?

• Nous consolidons le principe de Protection de la vie privée dès la conception dans nos opérations, afin de garantir que l’ensemble des produits, services, sites Web, systèmes et applications de HP sont conçus et mis en œuvre uniquement après avoir pris soigneusement en compte les implications en matière de protection de la vie privée. Autre processus revêtant une importance capitale : les Évaluations de l’impact sur la protection des données, qui nous permettent d’évaluer les risques pour les droits des individus et de consigner la prise de décision pour certaines activités de traitement.

12. Que fait HP pour soutenir les efforts de nos clients visant à protéger les données personnelles et à respecter leur propre conformité ?

• Nous appliquons des mesures de sécurité pour les données que nous traitons pour nos clients. En tant que fournisseur de services techniques et de gestion pour des systèmes personnels et d’impression, HP s’engage à satisfaire nos obligations et à protéger toute donnée personnelle que nous traitons pour nos clients. Nous nous efforçons de faire correspondre plusieurs offres de services aux clients à la norme de certification ISO 27001, notamment l’extension de la portée de notre certification afin qu’elle concerne les offres de Périphérique comme un service et de Services d’impression gérée.
• HP a également mis en place un cadre de contrôles du respect de la vie privée contenant plus de 100 activités distinctes liées à la conformité au RGPD. Ce cadre de contrôle est au cœur de notre programme de protection des données et de la vie privée. Le cadre de contrôles a été examiné par un tiers indépendant sur la base des exigences légales et des normes de l’industrie.