Règles d'entreprise contraignantes pour Hydro

Tous les membres d'Hydro BCR ont l'obligation de respecter les BCR. Ces dernières sont contraignantes pour chaque membre d'Hydro BCR en vertu de l'accord intragroupe. Conformément à cet accord, les membres d'Hydro BCR confirment (i) leur engagement juridiquement contraignant à respecter les BCR et (ii) leur engagement juridiquement contraignant à respecter les droits des personnes concernées, garantissant ainsi leur applicabilité juridique et établissant un effet contraignant externe des BCR.

Le Code de conduite d'Hydro est juridiquement contraignant pour les employés de toute entité membre du Code de conduite d'Hydro, par le biais d'une clause figurant dans leur contrat de travail. Cette clause exige le respect du code de conduite de l'entité membre, lequel intègre le Code de conduite. Tout manquement à cette obligation peut entraîner des mesures disciplinaires pouvant aller jusqu'au licenciement.

Les membres d'Hydro BCR veillent au respect des règles de conduite éthique (BCR) par le biais de politiques internes de protection des données et de formations obligatoires pour les employés. Le non-respect de ces politiques peut, conformément à une clause des contrats de travail, entraîner des mesures disciplinaires appropriées, garantissant ainsi l'application des BCR à tous les niveaux de l'organisation.

3.1. Droits des tiers bénéficiaires exécutoires par les personnes concernées

Ce règlement BCR confère des droits exécutoires aux personnes concernées en tant que tiers bénéficiaires, leur permettant de faire valoir les droits suivants à l'encontre des membres du règlement BCR d'Hydro :

• Principes de protection des données : Droits concernant la licéité, l'équité, la transparence, la limitation des finalités, la minimisation des données, l'exactitude, les limitations de stockage, l'intégrité et la confidentialité, la responsabilité, les droits concernant la licéité du traitement, ainsi que la sécurité, les notifications de violation de données personnelles et les restrictions sur les transferts ultérieurs (voir sections 10 à 14).
• Transparence et accès : Le droit à des renseignements clairs sur le BCR, y compris l’accès au BCR et aux activités de traitement de données associées (voir la section 3.4).
• Droits de la personne concernée : Les droits à l’information, à l’accès, à la rectification, à l’effacement, à la limitation du traitement, à l’opposition au traitement et le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage (voir section 15).
• Demandes d’accès du gouvernement : Droits concernant les demandes d’accès aux données du gouvernement et les lois locales ayant une incidence sur la conformité au BCR (voir section 18).
• Mécanisme de plainte : Le droit de déposer des plaintes par le biais du processus de plainte interne d’Hydro et auprès des SA compétentes (voir section 6).
• Obligations de coopération : Droits relatifs aux obligations de conformité visées par la présente clause relative au tiers bénéficiaire (voir section 9).
• Juridiction et responsabilité : Droits relatifs au régime de responsabilité et de responsabilité centralisée (3.3).
• Mises à jour : Le droit d’être informé de toute mise à jour du BCR et de la liste des membres Hydro BCR, par la publication d’une nouvelle version sans délai indu (voir sections 3.4 et 21).
• Droits des tiers bénéficiaires : Les droits prévus par le présent article 3.1.
• Recours : Le droit de demander des recours judiciaires, une réparation et une indemnisation pour les violations de ces dispositions exécutoires (voir article 3.2).

Ces droits se limitent aux aspects externes du BCR qui touchent directement les personnes concernées et ne s'étendent pas aux processus de gestion internes d'Hydro, tels que la formation, les audits, le réseau de protection des données d'Hydro et le mécanisme de mise à jour du BCR.

3.2. Droit à un recours juridictionnel, à réparation et à indemnisation pour les personnes concernées

Les membres d'Hydro BCR reconnaissent et conviennent que :

• Les personnes concernées ont droit à des recours judiciaires et à obtenir réparation, y compris une indemnisation, le cas échéant, en cas de violation de tout élément exécutoire du BCR tel que décrit à la section 3.1.
• Les personnes concernées peuvent être représentées par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l’article 80(1) du RGPD (voir articles 77 à 82 du RGPD).
• Les personnes concernées ont le droit de déposer une plainte en référence directe à ce BCR : (i) auprès d’une ou plusieurs autorités compétentes, en particulier l’autorité de leur lieu de résidence habituelle, de leur lieu de travail ou du lieu de l’infraction présumée, et (ii) devant le tribunal compétent de l’État membre de l’EEE où le membre Hydro BCR est établi ou où les personnes concernées ont leur résidence habituelle.

3.3. Régime centralisé de responsabilité et de responsabilité

Norsk Hydro ASA (le « membre responsable du BCR »), en tant que société mère du groupe Hydro BCR, assume la responsabilité centralisée du respect des BCR et de la réparation de tout manquement commis par les Membres Hydro BCR situés dans un pays tiers. Cela comprend la mise en œuvre des mesures nécessaires pour remédier aux manquements et l’indemnisation des personnes concernées pour tout préjudice matériel ou immatériel résultant d’une violation des présentes BCR.

Responsabilité en cas de violation : Le membre responsable BCR assume l’entière responsabilité de toute violation du présent règlement BCR par un membre Hydro BCR situé dans un pays tiers. Les personnes concernées peuvent demander réparation directement auprès du membre BCR responsable pour toute violation du règlement BCR, quel que soit l'endroit où elle a eu lieu.

Charge de la preuve : En cas de réclamation d’une personne concernée, il incombe au membre BCR responsable de démontrer qu’aucune violation du BCR n’a eu lieu ou que le membre Hydro BCR établi dans un pays tiers n’était pas responsable de la violation. Le membre responsable de la BCR doit fournir cette preuve pour se dégager de sa responsabilité.

Actifs suffisants : Le membre responsable BCR confirme qu'il dispose d'actifs suffisants pour couvrir toute demande d'indemnisation découlant d'une violation du présent BCR. Cela garantit aux personnes concernées la possibilité d'obtenir réparation pour tout dommage matériel ou immatériel causé par une violation du BCR..

Juridiction : En cas de violation des BCR par un membre Hydro BCR dans un pays tiers, les tribunaux ou autres autorités judiciaires de l'EEE seront compétents. Les personnes concernées pourront exercer un recours contre le membre responsable du BCR comme si la violation avait eu lieu au sein de l'EEE. Le membre responsable BCR accepte de se soumettre à la juridiction de ces tribunaux.

Coopération entre les membres d'Hydro BCR : Tous les membres d'Hydro BCR doivent collaborer entre eux pour gérer :

• Demandes, plaintes ou réclamations formulées par les personnes concernées ; et
• Toute enquête ou enquête légale menée par un ou plusieurs agents compétents.

Le membre Hydro BCR responsable du traitement auquel se rapporte une demande, une plainte ou une réclamation doit assumer les coûts associés et rembourser au membre BCR responsable toutes les dépenses engagées pour le traitement de ces questions.

3.4. Accès facile au BCR

Les personnes concernées par les règles relatives aux bonnes pratiques de traitement (BCR) auront un accès facile à tous les renseignements pertinents concernant leurs droits en tant que tiers bénéficiaires, en ce qui concerne le traitement de leurs données personnelles et les moyens d'exercer ces droits. Elles recevront une description complète du champ d'application des BCR (articles 1 et 3), de la responsabilité (article 11), des principes de protection des données (article 15), de la licéité du traitement (article 11), de la sécurité et des notifications de violation de données personnelles (article 13), des restrictions relatives aux transferts ultérieurs (article 16), des droits des personnes concernées (article 15.7) et des définitions (article 18).

Hydro donnera accès à ces renseignements en publiant l’intégralité du rapport sur les pratiques commerciales (RPC), y compris les annexes 1 et 2, à l’exclusion de l’annexe 3, sur Hydro.com et sur l’intranet d’Hydro. Toute mise à jour du RPC sera intégrée à la version publiée. Dans un souci de transparence, les avis de confidentialité d’Hydro (internes et externes) comprendront un lien vers le RPC.

Les transferts relevant du champ d’application de l’accord BCR, tels que définis dans la section « Erreur ! « Source de référence introuvable », concernent les activités de traitement décrites à l’annexe 2 – Portée des transferts de données. Ces transferts peuvent être effectués vers tous les pays tiers où les membres de l’accord Hydro BCR sont établis.

Hydro offrira une formation appropriée et à jour aux employés ayant un accès permanent ou régulier aux données personnelles, participant à leur collecte ou au développement d'outils de traitement, ou responsables des décisions relatives aux finalités et aux moyens de ce traitement. Ce programme de formation s'appliquera à tous les membres d'Hydro BCR.

Ce programme de formation, y compris ses supports pédagogiques, doit être approprié et efficace, et couvrir notamment les procédures de gestion des demandes d'accès aux données personnelles par les autorités publiques, ainsi que les aspects liés aux principes de protection des données et aux droits des personnes concernées.

Le programme de formation comprend un programme d'apprentissage en ligne global et des formations en présentiel. Le programme d'apprentissage en ligne est organisé en modules, dont les modules d'application générale sont intégrés au programme d'intégration global d'Hydro et obligatoires pour tous les cadres. Des modules thématiques sont également offerts aux personnes occupant des fonctions spécialisées. Pour les postes clés en RH et en informatique, des formations en personne sont organisées régulièrement, à une fréquence définie par le coordonnateur de la protection des données concerné, de concert avec le responsable de la protection des données.

Hydro permettra aux personnes concernées d'exercer leurs droits en vertu de la législation applicable en matière de protection des données dans l'EEE. Si une personne concernée estime que le traitement de ses données personnelles par Hydro n'est pas conforme à la présente politique d'entreprise ou à la législation applicable en matière de protection des données dans l'EEE, elle peut déposer une réclamation auprès d'Hydro.

Une plainte peut être déposée anonymement ou sous votre nom complet et peut être soumise à tout membre du groupe Hydro BCR par tout moyen et sous n'importe quel format. Le traitement des demandes est gratuit. Hydro encourage les personnes concernées à exercer leurs droits en vertu du Règlement BCR et à soumettre leurs réclamations, demandes ou plaintes concernant tout membre du groupe Hydro BCR à l'un des points de contact suivants :

• En ligne : https://www.hydro.com/fr/global/sustainability/environmental-social-and-governance/data-privacy/
• Courriel : privacy@hydro.com
• Par écrit : Norsk Hydro ASA, Postboks 980 Skøyen, NO-0240 Oslo, Norvège
• Directement au Réseau de protection des données d'Hydro : Le responsable de la protection des données, un coordonnateur de la protection des données, un champion de la protection des données, un délégué à la protection des données (le cas échéant).

Hydro, par l’entremise de tout membre du Réseau de protection des données d’Hydro, fournira des renseignements ou prendra des mesures concernant une plainte sans délai indu, et en tout état de cause dans un délai de quatre (4) semaines. Si, en raison de la complexité de la plainte ou du nombre de plaintes, Hydro ne peut fournir les renseignements ou prendre des mesures dans ce délai de quatre (4) semaines, Hydro en informera la personne concernée et lui fournira une estimation raisonnable du délai de réponse. Ce délai ne peut excéder trois (3) mois à compter de la réception de la plainte.

Si la plainte est jugée fondée, Hydro prendra les mesures appropriées. En cas de retard, de rejet de la plainte ou si la personne concernée n'est pas satisfaite de la réponse, elle peut saisir l'autorité compétente ou les tribunaux. Ceci est sans préjudice du droit de la personne concernée de saisir l'autorité compétente ou les tribunaux ou d'exercer un recours judiciaire, d'obtenir réparation et indemnisation sans avoir préalablement déposé de plainte auprès d'Hydro (voir section 3.2).

Afin d'assurer la conformité au BCR et à la loi applicable en matière de protection des données de l'EEE, Hydro effectuera des audits de protection des données sur la base des éléments suivants : Engagement d'indépendance : Hydro garantit que les personnes qui décident du programme d'audit et celles qui effectuent les audits sont indépendantes dans leurs fonctions, assurant ainsi l'objectivité et l'impartialité dans l'évaluation de la conformité au BCR.

Entité responsable du programme d'audit : La Direction de l'audit interne et des enquêtes du groupe (GIA&I) détermine le programme d'audit. Le responsable de la protection des données ou le délégué à la protection des données (DPO) ne sont pas chargés de l'audit de conformité afin d'éviter tout conflit d'intérêts.

Fréquence des vérifications : Hydro effectue en moyenne au moins un audit par an. La portée de chaque audit est définie en fonction d’une évaluation des risques liés aux activités de traitement. Par ailleurs, Hydro effectue des vérifications en cas d’indices de non-conformité avec le règlement BCR ou la législation applicable en matière de protection des données dans l’EEE. Le responsable de la protection des données, ou d’autres membres du réseau de protection des données d’Hydro, peuvent également demander des vérifications spécifiques en dehors du programme d’audit régulier.

Programme d’audit : Le programme d’audit couvre tous les aspects du règlement relatif aux bonnes pratiques commerciales (RPC), y compris les transferts subséquents, les systèmes informatiques, les applications, les bases de données, la conformité aux lois nationales incompatibles avec le RPC et l’examen des clauses contractuelles utilisées pour les transferts à des responsables ou sous-traitants externes à Hydro. Ce programme comprend des méthodes et des plans d'action visant à assurer la mise en œuvre rapide des mesures correctives identifiées lors des audits.

Exécution des audits : Les audits seront effectués par des vérificateurs internes ou externes. Si les audits sont effectués par des vérificateurs externes, Hydro s’assurera de leur indépendance, de leur accréditation et de leurs qualifications.

Rapports d'audit : Les résultats de l'audit seront communiqués au responsable de la protection des données. Ce dernier soumettra des rapports annuels au responsable de la conformité, portant sur les résultats des audits de protection des données, les risques liés à la protection des données et toute autre question pertinente. Par ailleurs, les résultats de l'audit seront communiqués au conseil d'administration du membre responsable BCR dans le cadre du rapport annuel de conformité.

Disponibilité des résultats d'audit : Les résultats d'audit seront mis à la disposition des autorités compétentes sur demande.

8.1. Vue d'ensemble

Cette section fournit une description générale des rôles et responsabilités du personnel d'Hydro chargé de superviser la conformité à cette BCR (le « Réseau de protection des données d'Hydro »).

Le responsable de la protection des données, les coordonnateurs de la protection des données et les champions de la protection des données, selon le cas, contribueront au réseau de protection des données d'Hydro afin de soutenir le maintien et l'amélioration continue du cadre de protection des données d'Hydro.

Les membres du comité de conformité d'Hydro (Hydro BCR) doivent veiller à ce que des ressources dédiées soient désignées pour les représenter au sein du réseau de protection des données d'Hydro. Ces ressources dédiées assureront le suivi et la coordination des activités liées à la protection des données, notamment en facilitant la formation du personnel et la mise en œuvre de procédures de contrôle interne, d’évaluation et de gestion des risques, afin d’assurer la conformité au sein de la fonction Groupe, du secteur d’activité ou des Services commerciaux mondiaux (« GBS ») concernés.

8.2. Responsable de la protection des renseignements personnels

Le responsable de la protection des données supervise la conformité générale au règlement BCR et préside le réseau de protection des données d'Hydro. Le responsable de la protection des données :

• Il conseille la direction générale d'Hydro et peut l'informer en cas de questions ou de problèmes survenant dans l'exercice de ses fonctions.
• Coordonne et gère les enquêtes et les demandes de renseignements des autorités compétentes.
• Assure le suivi de la conformité au BCR et soumet des rapports annuels à la direction sur la conformité mondiale.
• Les personnes concernées et les autorités compétentes peuvent les contacter directement. Hydro s'engage à publier les coordonnées du responsable de la protection des données sur son site Web et dans les mentions d'information relatives à la protection des données afin d'en faciliter l'accès. 8.3. Coordonnateurs de la protection des données

Au sein d'une fonction de groupe, d'un secteur d'activité ou d'un GBS, le coordonnateur voué à la protection des données doit surveiller et coordonner les risques et les activités liés à la protection des données au sein de son secteur afin d'assurer la conformité avec cette BCR.

Le coordonnateur de la protection des données contribue au réseau de protection des données d'Hydro et représente les membres du BCR au sein de son organisation. Il veille à ce que les renseignements pertinents du réseau soient communiqués aux intervenants de son organisation et que les renseignements pertinents de son organisation soient transmis au responsable de la protection des données.

8.4. Les champions de la protection des données

Les référents en protection des données sont des personnes dévouées, chargées de missions spécifiques en matière de protection des données, qui épaulent les coordonnateurs de protection des données dans le respect des normes de leur domaine. Le cas échéant, les coordonnateurs de protection des données peuvent désigner des référents en protection des données au sein de leur service et leur déléguer des tâches et des responsabilités.

8.5. Délégué(s) à la protection des données

Tout membre d'Hydro BCR s'engage à désigner un délégué à la protection des données lorsque cela est requis par l'article 37 du RGPD. Le cas échéant, le membre d'Hydro BCR concerné veille à ce que le rôle et les responsabilités du délégué à la protection des données, notamment son indépendance, soient conformes à la législation applicable en matière de protection des données dans l'EEE.

Tous les membres du BCR d'Hydro s'engagent à collaborer avec les autorités compétentes. Ces dernières peuvent effectuer des vérifications, y compris des inspections sur place au besoin, afin de vérifier la conformité au présent BCR. Hydro s'engage à tenir compte des avis et à respecter les décisions des autorités compétentes sur toute question relative au BCR, et à leur fournir toute information concernant les opérations de traitement couvertes par le BCR.

Le responsable de la protection des données sera le principal interlocuteur de l'Autorité norvégienne de protection des données pour les questions relatives à cette politique d'entreprise ou au traitement des données personnelles au sein d'Hydro. Au niveau local, l'interlocuteur sera le directeur général du membre Hydro concerné, appuyé par le responsable de la protection des données et le coordonnateur de la protection des données.

Les membres d'Hydro BCR conviennent que tout litige relatif à l'exercice du contrôle de la conformité aux BCR par l'autorité compétente soit résolu par les tribunaux de l'État membre où l'autorité est établie, conformément au droit procédural de cet État membre. Les membres d'Hydro BCR consentent à se soumettre à la compétence de ces tribunaux en la matière.

Les membres de la BCR d'Hydro s'engagent à respecter les principes de protection des données prévus par la législation applicable en matière de protection des données dans l'EEE, notamment ceux énoncés ci-dessous. Des précisions et des lignes directrices supplémentaires concernant ces principes seront établies dans des sous-procédures de la présente BCR. Ces sous-procédures ne sauraient imposer de limitations à ces principes, sauf dans la mesure permise par la législation applicable en matière de protection des données dans l'EEE.

Transparence, loyauté et licéité. Les renseignements personnels sont traités de manière loyale, licite et transparente, conformément aux principes énoncés dans le présent règlement. Cela signifie que les données personnelles sont traitées dans le respect de la législation applicable en matière de protection des données dans l’EEE, en tenant compte des intérêts légitimes de la personne concernée. Cela implique notamment la fourniture d’informations appropriées dans une notice d’information sur la protection des données, comme indiqué à la section 14.8.

Limitation des finalités. Les données personnelles seront recueillies et traitées à des fins spécifiques, explicites et légitimes, telles que définies à la section 3, et ne seront pas traitées ultérieurement d'une manière incompatible avec ces finalités.

Minimisation et exactitude des données. Les renseignements personnels doivent être :

• Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont recueillies et/ou traitées ultérieurement (« minimisation des données ») ;
• Exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour garantir que les données inexactes par rapport aux fins pour lesquelles elles ont été recueillies ou traitées ultérieurement soient effacées ou rectifiées sans délai (« exactitude »).

Limitation de la conservation. Les renseignements personnels doivent être conservés sous une forme permettant l’identification des personnes concernées pendant une période n’excédant pas celle nécessaire aux fins pour lesquelles elles ont été recueillies ou traitées ultérieurement (« limitation de la conservation »). Les membres d’Hydro BCR doivent établir et respecter des procédures de conservation et de suppression des données.

Sécurité. Les données personnelles doivent être traitées de manière à assurer une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques et organisationnelles appropriées, comme détaillé plus en détail à la section 14.7.

Transfert ultérieur. Les données personnelles transférées en vertu du BCR ne peuvent être transférées ultérieurement que conformément à l'article 14.9.

Les membres d’Hydro BCR s’appuient sur les bases juridiques du traitement des données personnelles, conformément aux BCR, telles que décrites à l’annexe 2.

Compte tenu de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, de probabilité et de gravité variables, pour les droits et libertés des personnes physiques, Hydro s’engage à mettre en œuvre et à maintenir des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque. Ces mesures comprennent notamment les suivantes :

Mesures techniques. La sécurité technique comprend, le cas échéant :

• Chiffrement des données personnelles au repos et/ou en transit
• Techniques de pseudonymisation
• mécanismes robustes de contrôle d'accès et d'authentification
• Mesures de sécurité réseau, notamment pare-feu et systèmes de détection d'intrusion
• Mesures de sécurité physique appropriées
• procédures de sauvegarde et de récupération

Mesures organisationnelles. Les mesures de sécurité organisationnelles doivent comprendre, le cas échéant :

• Formation des employés à la protection des renseignements personnels
• L’implication du Réseau de protection des données d’Hydro dans les questions de protection des données comprendra également la coordination et la collaboration avec le personnel responsable de la sécurité de l’information et des processus connexes.
• Planification des interventions en cas d'incident
• Gestion rigoureuse des sous-traitants

Évaluation des risques. Hydro effectuera des évaluations des risques en tenant compte de la nature, de la portée, du contexte et des finalités de ses activités de traitement des données, ainsi que des impacts potentiels sur les droits et libertés des personnes concernées, et – sur la base de ces évaluations – mettra en œuvre et maintiendra des mesures visant à assurer une sécurité proportionnée aux risques identifiés.

Amélioration continue. Hydro testera, évaluera et appréciera l'efficacité des mesures de sécurité techniques et organisationnelles, en se tenant au courant des meilleures pratiques.

En cas de violation de données personnelles, le membre Hydro BCR concerné doit, sans délai indu, en informer le membre BCR responsable et le coordonnateur de la protection des données concerné (voir section 6), ainsi que le membre Hydro BCR agissant à titre de responsable du traitement lorsque la violation est identifiée par un membre Hydro BCR agissant en tant que sous-traitant.

Le membre Hydro BCR concerné, agissant à titre de responsable du traitement, doit, sans délai indu et, si possible, au plus tard 72 heures après avoir eu connaissance de la violation de données à caractère personnel, en informer le ou les autorités compétentes, sauf si cette violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Si la notification aux autorités compétentes n'est pas effectuée dans ce délai de 72 heures, le membre Hydro BCR concerné doit justifier ce retard.

Si la violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le membre Hydro BCR concerné doit en informer sans délai les personnes concernées. Cette communication doit décrire, en termes clairs et simples, la nature de la violation et inclure au minimum les renseignements et les mesures visés aux points b), c) et d) de l’article 33, paragraphe 3, du RGPD.

Toute violation de données personnelles doit être documentée, y compris les faits qui l'entourent, ses conséquences et les mesures correctives prises. Cette documentation doit être mise à la disposition des autorités compétentes sur demande.

Les données personnelles transférées dans le cadre du BCR ne peuvent être transférées à d'autres responsables du traitement ou sous-traitants non liés par le BCR que si les conditions de transfert prévues aux articles 44 à 46 du RGPD sont remplies, garantissant ainsi le maintien du niveau de protection des personnes physiques garanti par le RGPD. Par ailleurs, des transferts subséquents peuvent exceptionnellement avoir lieu si une dérogation s'applique, conformément à l'article 49 du RGPD.

15.1. Généralités

Dans la mesure requise par la législation applicable en matière de protection des données de l'EEE, tout membre d'Hydro BCR doit respecter les droits des personnes concernées, comme suit :

15.2. Droit à l'information

En cas de collecte de données personnelles auprès d'une personne concernée, cette dernière doit recevoir les renseignements suivants :

• L'identité et les coordonnées du responsable du traitement et de son représentant, le cas échéant.
• Les coordonnées du délégué à la protection des renseignements personnels, le cas échéant.
• Les finalités du traitement et la base juridique de ce traitement.
• Quels sont les objectifs légitimes poursuivis lorsque le traitement est fondé sur l’article 6(1)(f) du RGPD ?
• Les destinataires ou catégories de destinataires des renseignements personnels, le cas échéant.
• Le cas échéant, le fait que le responsable du traitement ait l'intention de transférer les données personnelles vers un pays tiers et la base juridique permettant de licéifier ce transfert.

De plus, lorsque la législation applicable en matière de protection des données dans l'EEE l'exige et si cela est nécessaire pour garantir un traitement équitable et transparent, la personne concernée recevra les renseignements supplémentaires suivants :

• La durée de conservation des données personnelles, ou les critères utilisés pour déterminer cette durée.
• L’existence du droit de demander l’accès, la rectification, l’effacement ou la limitation du traitement, ou de s’opposer au traitement, ainsi que le droit à la portabilité des données.
• Lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement en tout temps, sans que cela n’affecte la légalité du traitement fondé sur le consentement avant son retrait.
• Le droit de déposer une plainte auprès d'une autorité de protection des données.
• La question de savoir si la fourniture de données personnelles est une obligation légale ou contractuelle, ou une condition nécessaire à la conclusion d'un contrat, et si la personne concernée est tenue de fournir ces données personnelles, ainsi que les conséquences possibles du défaut de fourniture de ces données.
• L’existence d’une prise de décision automatisée, y compris le profilage, visée à la section 15.10, et, du moins dans ces cas, des renseignements utiles sur la logique sous-jacente, ainsi que sur l’importance et les conséquences envisagées de ce traitement pour la personne concernée.

Lorsque les renseignements personnels n'ont pas été recueillis auprès de la personne concernée, celle-ci recevra les renseignements suivants :

• L'identité et les coordonnées du responsable du traitement et de son représentant, le cas échéant.
• Les coordonnées du délégué à la protection des renseignements personnels, le cas échéant.
• Les finalités du traitement et la base juridique de ce traitement.
• Les catégories de données personnelles concernées.
• Les destinataires ou catégories de destinataires des renseignements personnels, le cas échéant.
• Le cas échéant, le fait que le responsable du traitement ait l'intention de transférer les données personnelles vers un pays tiers et la base juridique permettant de licéifier ce transfert.
• De plus, lorsque la législation applicable en matière de protection des données dans l'EEE l'exige et si cela est nécessaire pour garantir un traitement équitable et transparent, la personne concernée recevra les renseignements supplémentaires suivants :
• La durée de conservation des données personnelles ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée.
• Quels sont les objectifs légitimes poursuivis lorsque le traitement est fondé sur l’article 6(1)(f) du RGPD ?
• L’existence du droit de demander l’accès, la rectification, l’effacement ou la limitation du traitement des données concernant la personne concernée, ou de s’opposer à leur traitement, ainsi que le droit à la portabilité des données.
• Lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement en tout temps, sans que cela n’affecte la légalité du traitement fondé sur le consentement avant son retrait.
• Le droit de déposer une plainte auprès d'une autorité de protection des données.
• De quelle source proviennent les données personnelles et, le cas échéant, si elles proviennent de sources accessibles au public.
• L’existence d’une prise de décision automatisée, y compris le profilage, visée à la section 15.10, et, du moins dans ces cas, des renseignements pertinents sur la logique sous-jacente, ainsi que sur l’importance et les conséquences envisagées d’un tel traitement pour la personne concernée.

Les renseignements mentionnés ci-dessus seront fournis dans un délai raisonnable, et au plus tard un mois après l'obtention des renseignements personnels ou, le cas échéant, au plus tard lors de la première communication avec la personne concernée au moyen de ces données ou lors de la première divulgation des données.Des dérogations peuvent s'appliquer si la personne concernée dispose déjà des renseignements pertinents, ou si la fourniture de ces renseignements s'avère impossible, nécessiterait des efforts disproportionnés ou est susceptible de compromettre sérieusement la réalisation des objectifs, conformément à la loi applicable.

15.3. Droit d'accès de la personne concernée

Les personnes concernées ont le droit de :

• Vérifier si leurs données personnelles sont traitées et, le cas échéant, accéder à ces données.
• Les renseignements concernant les finalités du traitement, les catégories de données personnelles concernées et les destinataires ou catégories de destinataires auxquels les données sont communiquées, notamment ceux situés dans des pays hors de l'EEE. Si ces pays ne sont pas reconnus par la Commission européenne comme assurant un niveau de protection adéquat, la personne concernée a le droit d'être informée des garanties appropriées.
• Renseignements concernant la durée de conservation prévue des données personnelles ou, si ce n’est pas possible, les critères utilisés pour déterminer cette durée.
• Renseignements concernant le droit de demander la rectification, l’effacement, la limitation du traitement et l’opposition au traitement de leurs données personnelles, ou de s’opposer à ce traitement.
• Renseignements concernant le droit de déposer une plainte auprès de l’autorité compétente (SA).
• Lorsque les données personnelles n’ont pas été recueillies auprès de la personne concernée, tout renseignement disponible quant à leur source.
• Renseignements concernant toute prise de décision automatisée, y compris le profilage visé à la section 15.10, et des renseignements pertinents sur la logique sous-jacente, ainsi que sur l’importance et les conséquences envisagées d’un tel traitement.

15.4. Droit de rectification de la personne concernée

Les personnes concernées ont le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des renseignements personnels inexacts les concernant. Compte tenu des finalités du traitement, elles ont aussi le droit d'obtenir que les données personnelles incomplètes soient complétées, y compris par une déclaration complémentaire.

15.5. Droit à l'effacement de la personne concernée

Les personnes concernées peuvent demander l'effacement des données personnelles les concernant sans délai indu lorsque l'un des motifs énoncés ci-dessous s'applique :

• Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées.
• La personne concernée retire son consentement au traitement, et il n'existe aucune autre base juridique pour ce traitement.
• La personne concernée s’oppose, pour des raisons tenant à sa situation particulière, au traitement des données la concernant fondé sur l’article 6, paragraphes e) ou f), du RGPD, y compris au profilage fondé sur ces dispositions, et il n’existe pas de motifs légitimes et impérieux justifiant le traitement, ou la personne concernée s’oppose au traitement à des fins de prospection directe.
• Les renseignements personnels ont été traités illégalement.
• Les données personnelles doivent être effacées afin de respecter une obligation légale en vertu du droit applicable dans l'EEE auquel le responsable du traitement est soumis.

Des exceptions s'appliquent lorsque le traitement est nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale qui exige un traitement en vertu du droit applicable dans l'EEE ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ou à la constatation, à l'exercice ou à la défense de droits en justice.

15.6. Droit de la personne concernée de limiter le traitement

Les personnes concernées ont le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des cas suivants s'applique :

• L’exactitude des données personnelles est contestée par la personne concernée pendant une période permettant au responsable du traitement de vérifier l’exactitude des données personnelles.
• Le traitement est illégal, et la personne concernée s'oppose à l'effacement des données personnelles et demande plutôt la limitation de leur utilisation.
• Le responsable du traitement n'a plus besoin des données personnelles aux fins du traitement, mais celles-ci sont nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice.
• La personne concernée s'est opposée au traitement en attendant de vérifier si les motifs légitimes du responsable du traitement prévalent sur ceux de la personne concernée.

Lorsque le traitement a été limité, ces données à caractère personnel ne peuvent, à l'exception de leur conservation, être traitées qu'avec le consentement de la personne concernée, pour la constatation, l'exercice ou la défense de droits en justice, pour la protection des droits d'une autre personne physique ou morale, ou pour des motifs d'intérêt public important de l'EEE ou du pays de l'EEE où le responsable du traitement est établi.Le responsable du traitement doit aviser la personne concernée qui a obtenu une limitation du traitement avant de lever cette limitation.

15.7. Avis concernant la rectification ou l'effacement des données personnelles ou la limitation du traitement

Le responsable du traitement notifie toute rectification, tout effacement ou toute limitation du traitement des renseignements personnels à chaque destinataire auquel ces données ont été communiquées, sauf si cela s'avère impossible ou exige des efforts disproportionnés. Lorsque la législation applicable en matière de protection des données dans l'EEE l'exige, le responsable du traitement informe la personne concernée de l'identité de ces destinataires si celle-ci en fait la demande.

15.8. Droit à la portabilité des données de la personne concernée

Les personnes concernées ont le droit à la portabilité des données, c’est-à-dire le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable du traitement sans entrave.

15.9. Droit de la personne concernée de s'opposer au traitement

Les personnes concernées ont le droit de s'opposer en tout temps, pour des raisons tenant à leur situation particulière, au traitement des données les concernant fondé sur l'article 6, points e) ou f), du RGPD, y compris au profilage fondé sur ces dispositions. En cas d'opposition, le responsable du traitement cesse de traiter les renseignements personnels, sauf si :

• Le responsable du traitement démontre l’existence de motifs légitimes et impérieux justifiant le traitement et prévalant sur les intérêts, les droits et les libertés de la personne concernée ; ou
• Ce traitement est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.

Les personnes concernées ont le droit de s'opposer en tout temps au traitement de leurs données personnelles à des fins de prospection commerciale. Ce droit inclut le profilage dans la mesure où il est lié à cette prospection. En cas d'opposition, les renseignements personnels ne sont plus traités à ces fins.

Le droit d’opposition doit être porté explicitement à l’attention de la personne concernée, de manière claire et distincte de toute autre information, au plus tard lors de la première communication avec elle.

15.10. Droit de la personne concernée de ne pas faire l’objet de décisions automatisées

Les personnes concernées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire, à moins que cette décision :

• Est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne et le membre d’Hydro BCR ;
• est autorisé par la législation locale applicable à laquelle le membre Hydro BCR est soumis et qui prévoit également des mesures appropriées pour protéger les droits, libertés et intérêts légitimes de la personne concernée ; ou
• Repose sur le consentement explicite de la personne concernée.

Dans les cas visés aux points (a) et (c) ci-dessus, le membre Hydro BCR doit mettre en œuvre des mesures appropriées pour protéger les droits, les libertés et les intérêts légitimes de la personne concernée, y compris le droit d'obtenir une intervention humaine du membre Hydro BCR, d'exprimer son point de vue et de contester la décision.

Les décisions automatisées visées dans la présente section ne doivent pas être fondées sur des catégories particulières de données personnelles, sauf si le point (a) ou (g) de l'article 9(2) du RGPD s'applique et que des mesures appropriées pour sauvegarder les droits, libertés et intérêts légitimes de la personne concernée sont mises en place.

16.1. Démontrer la conformité

Chaque membre du BCR d'Hydro agissant à titre de contrôleur doit être responsable et en mesure de démontrer sa conformité au BCR.

16.2. Accord de traitement des données

Lorsqu'un membre d'Hydro BCR agissant à titre de responsable du traitement fait appel à un sous-traitant interne ou externe, un accord de traitement des données doit être conclu. Cet accord doit, au minimum, être conforme à l'article 28, paragraphe 3, du RGPD et inclure les éléments suivants :

• L’objet et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles, les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.
• Le processeur :
• Le sous-traitant ne traite les données personnelles que sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers, sauf si le droit de l'Union ou le droit d'un État membre l'exige. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation légale avant tout traitement, à moins que la loi ne s'y oppose pour des motifs importants d'intérêt public.
• S'assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
• Prend toutes les mesures requises conformément à l'article 32 du RGPD.
• Respectez les conditions prévues à l’article 28(2) et 28(4) du RGPD pour faire appel à un autre sous-traitant.
• Aide le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir son obligation de répondre aux demandes d'exercice des droits des personnes concernées, conformément au chapitre III du RGPD.
• Aide le responsable du traitement à garantir le respect des articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des renseignements dont dispose le sous-traitant.
• Au choix du responsable du traitement, celui-ci supprime ou restitue toutes les données à caractère personnel après la fin de la prestation de services liés au traitement, et supprime les copies existantes à moins que le droit de l'Union ou d'un État membre n'exige la conservation des données à caractère personnel.
• Met à la disposition du responsable du traitement tous les renseignements nécessaires pour démontrer la conformité à l'article 28 du RGPD et permet et contribue aux vérifications, y compris les inspections, menées par le responsable du traitement ou un autre vérificateur mandaté par celui-ci.

16.3. Registre des activités de traitement

Les membres d'Hydro BCR doivent tenir un registre des activités de traitement contenant au moins toutes les catégories d'activités de traitement effectuées sur les données personnelles transférées en vertu du BCR. Ce registre doit être conservé sous forme électronique et mis à la disposition des autorités compétentes sur demande.

Pour les membres d'Hydro BCR agissant à titre de contrôleurs, le registre doit comprendre au moins :

• Le nom et les coordonnées du responsable du traitement, du responsable conjoint du traitement (le cas échéant), du représentant du responsable du traitement et du délégué à la protection des données (le cas échéant).
• Les objectifs du traitement.
• Description des catégories de personnes concernées et des catégories de données personnelles.
• Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, y compris les destinataires situés dans des pays tiers ou des organisations internationales.
• Le cas échéant, les transferts de données personnelles vers un pays tiers, y compris l’identification du pays tiers et la base juridique du transfert.
• Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre par le membre Hydro BCR.

Pour les membres d'Hydro BCR agissant à titre de transformateurs, le registre doit comprendre au moins :

• Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit, et, le cas échéant, du représentant du responsable du traitement ou du sous-traitant, et du délégué à la protection des données (le cas échéant).
• Les catégories de traitements effectués pour chaque responsable du traitement.
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers, y compris l’identification de ce pays tiers et, dans le cas des transferts visés au deuxième alinéa de l’article 49(1) du RGPD, la documentation des garanties appropriées.
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles

16.4. Évaluations d’impact sur la protection des données

Lorsqu'une opération de traitement de données personnelles transférées dans le cadre du BCR est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le membre Hydro BCR agissant à titre de responsable du traitement doit, avant le traitement, réaliser une analyse d'impact relative à la protection des données.Si l’évaluation indique que le traitement entraînerait un risque élevé en l’absence de mesures prises par le responsable du traitement pour atténuer ce risque, le membre Hydro BCR agissant en tant que responsable du traitement doit, avant le traitement, consulter le ou les SA compétents.

16.5. Protection des données dès la conception et par défaut

Lorsque la législation applicable en matière de protection des données de l'EEE l'exige, le membre Hydro BCR agissant à titre de responsable du traitement met en œuvre, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, conçues pour appliquer efficacement les principes de protection des données (par exemple, la minimisation des données) et intégrer les garanties nécessaires au traitement afin de satisfaire aux exigences du BCR et de protéger les droits des personnes concernées. Le responsable du traitement met également en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont traitées.

17.1. Généralités

Les membres d’Hydro BCR s’engagent à utiliser le BCR comme outil de transfert de données personnelles vers des pays tiers seulement après avoir évalué que les lois et pratiques du pays tiers applicables au traitement des données personnelles, y compris toute exigence de divulgation ou d’accès par les autorités publiques, n’empêchent pas l’importateur de données de remplir ses obligations en vertu du BCR.

Cette évaluation sera fondée sur le principe que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23(1) du RGPD ne sont pas en contradiction avec les BCR.

17.2. Évaluation de l'impact des transferts

Les membres d’Hydro BCR s’engagent à prendre en compte les éléments suivants lors de l’évaluation des lois et pratiques du pays tiers susceptibles d’affecter la conformité aux BCR :

Les circonstances particulières des transferts ou de l'ensemble des transferts , notamment :

• Finalités pour lesquelles les données sont transférées et traitées (par exemple, marketing, RH, stockage, soutien informatique).
• Types d’entités impliquées dans le traitement, telles que l’importateur de données et tous les destinataires subséquents, y compris si l’importateur de données est une entité publique ou privée.
• Secteur économique dans lequel le transfert ou l'ensemble des transferts a lieu.
• Catégories et format des données personnelles transférées (par exemple, données des employés, données des clients, etc.).
• Lieu du traitement, y compris l'endroit où les données sont stockées et où elles seront consultées ou traitées.
• canaux de transmission utilisés, qu'ils soient physiques (par exemple, services de messagerie) ou électroniques (par exemple, courriel, protocoles de transfert de fichiers sécurisés).

Lois et pratiques du pays tiers de destination , en particulier :

• Lois et pratiques qui exigent la divulgation de renseignements personnels aux autorités publiques ou qui accordent à ces autorités l'accès à ces données, y compris pendant leur transmission.
• Limites et garanties prévues par la législation du pays tiers, notamment en ce qui concerne l'accès des autorités publiques.
• L’expérience pratique des entités situées dans le pays tiers en ce qui concerne l’état de droit, les droits de la personne et l’existence de recours judiciaires effectifs.

Mesures supplémentaires :

Garanties contractuelles, techniques ou organisationnelles pertinentes qui complètent les protections BCR, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays tiers. Celles-ci peuvent inclure :

• Mesures techniques telles que le chiffrement ou la pseudonymisation avant le transfert.
• Clauses contractuelles garantissant que l'importateur de données respecte les exigences BCR, y compris l'obligation d'informer l'exportateur de données de toute demande d'accès émanant des autorités publiques.
• Mesures organisationnelles telles que des politiques internes détaillées limitant l'accès aux données personnelles et assurant un contrôle.

17.3. Gestion des transferts

Les membres d'Hydro BCR s'engagent également à ce qui suit :

Participation : Lors de l'évaluation de la nécessité de garanties supplémentaires au-delà de celles prévues par le BCR, le responsable de la protection des données et le membre responsable du BCR seront informés et impliqués dans le processus d'évaluation.

Documentation et transparence : Les membres d’Hydro BCR doivent documenter l’évaluation des lois et des pratiques des pays tiers, y compris les mesures complémentaires mises en œuvre. Cette documentation doit être mise à la disposition des autorités compétentes sur demande.

Avis aux exportateurs de données : Si un importateur de données est soumis à des lois ou pratiques susceptibles de l’empêcher de remplir ses obligations au titre des BCR (par exemple, en raison de modifications législatives ou de mesures gouvernementales telles que des demandes de communication de données), il en informera sans délai l’exportateur de données et le membre BCR responsable. Cet avis précisera également tout changement de circonstances pouvant affecter l’évaluation initiale.

Identification des mesures complémentaires : Dès réception d'une telle notification, l'exportateur de données, en collaboration avec l'importateur de données, le membre BCR responsable et le responsable de la protection des données, identifiera sans délai les mesures complémentaires à adopter par l'exportateur et/ou l'importateur de données. Ces mesures peuvent inclure des mesures techniques ou organisationnelles supplémentaires visant à assurer la sécurité et la confidentialité des données personnelles, et à permettre la poursuite du respect des obligations découlant du BCR. Cela s'applique également si un exportateur de données a des raisons de croire qu'un importateur de données n'est plus en mesure de remplir ses obligations en vertu du BCR..

Suspension des transferts : Si l’exportateur de données, en accord avec le membre responsable du BCR et le responsable de la protection des données, conclut que le BCR, même assorti de mesures complémentaires, ne peut être respecté pour un ou plusieurs transferts donnés – ou s’il en reçoit l’instruction d’une ou plusieurs autorités compétentes –, l’exportateur de données s’engage à suspendre le ou les transferts concernés. Cette suspension s'applique également à tout autre transfert pour lequel une évaluation similaire aboutit à la même conclusion. La suspension est maintenue jusqu’à ce que la conformité soit rétablie ou que le transfert soit interrompu (voir paragraphe ci-dessous).

Interruption des transferts : Si la conformité au BCR ne peut être rétablie dans un délai d’un mois suivant la suspension, l’exportateur de données s’engage à mettre fin au transfert ou à l’ensemble des transferts. Dans ce cas, toutes les données personnelles déjà transférées, ainsi que leurs copies, seront soit restituées à l’exportateur de données, soit entièrement détruites, au choix de ce dernier.

Communication des conclusions : Le membre responsable du BCR et le responsable de la protection des données informeront tous les autres membres du BCR d’Hydro des évaluations réalisées et de leurs résultats. Cette communication assurera l’application uniforme des mesures complémentaires identifiées aux transferts similaires effectués par les autres membres du BCR d’Hydro. Si des mesures complémentaires efficaces ne peuvent être mises en œuvre, ces transferts seront suspendus ou annulés.

Surveillance continue : Les exportateurs de données, en collaboration avec les importateurs de données, ont l’obligation de surveiller en permanence l’évolution de la situation dans les pays tiers vers lesquels des données personnelles ont été transférées. Cette surveillance continue portera sur toute modification des lois ou des pratiques susceptibles d’influer sur l’évaluation initiale du niveau de protection, ainsi que sur les décisions relatives au maintien, à la modification ou à la suspension des transferts.

Sans préjudice de l’obligation pour l’importateur de données d’informer l’exportateur de données de son incapacité à respecter les engagements contenus dans le BCR (tel qu’énoncé à la section 21), les membres du BCR d’Hydro s’engagent à ce qui suit :

L’importateur de données avisera sans délai l’exportateur de données et, si possible, la personne concernée (avec l’assistance de l’exportateur de données, au besoin) si :

• Reçoit une demande juridiquement contraignante d'une autorité publique, en vertu de la législation du pays de destination ou d'un autre pays tiers, portant sur la communication de données à caractère personnel transférées conformément au règlement BCR. Cet avis précisera les renseignements personnels demandés, l'autorité requérante, le fondement juridique de la demande et la réponse apportée. Prend connaissance de tout accès direct, par des autorités publiques, à des données à caractère personnel transférées conformément au règlement BCR et en vertu de la législation du pays de destination. Cette notification comprendra tous les renseignements disponibles concernant cet accès.

Si l’importateur de données est empêché d’informer l’exportateur de données et/ou la personne concernée en raison d’une obligation légale, l’importateur de données devra :

• Mettre en œuvre tous les moyens nécessaires pour obtenir une dérogation à l'interdiction, en s'efforçant de communiquer le maximum d'informations possible et dans les meilleurs délais. • Documenter ces efforts afin de pouvoir les démontrer à la demande de l'exportateur de données ou des autorités compétentes.

L’importateur de données fournira à l’exportateur de données, à intervalles réguliers, autant de renseignements pertinents que possible concernant les demandes reçues, notamment :

• Le nombre de requêtes,
• Les types de données demandés,
• L'autorité requérante,
• Si les demandes ont été contestées, et quels ont été les résultats de ces contestations.

Si l'importateur de données se trouve, partiellement ou totalement, dans l'impossibilité de fournir ces renseignements, il en informera l'exportateur de données sans délai indu. L'importateur de données conservera les renseignements susmentionnés tant que les données personnelles seront soumises aux garanties prévues par le BCR et les mettra à la disposition des autorités compétentes sur demande.

L’importateur de données examinera la légalité de toute demande de communication, en vérifiant notamment si celle-ci relève des compétences de l’autorité publique requérante. Si, après un examen approfondi, l’importateur conclut qu’il existe des motifs raisonnables de croire que la demande est illégale au regard de la législation du pays de destination, des obligations du droit international ou des principes de courtoisie internationale, il la contestera.

L’importateur de données exercera ses droits de recours et, s’il y a lieu, demandera des mesures conservatoires afin de suspendre l’exécution de la demande jusqu’à ce qu’une autorité judiciaire compétente se soit prononcée. L’importateur de données ne divulguera pas les données personnelles demandées, sauf si les règles de procédure applicables l’y obligent.

L’importateur de données documentera son analyse juridique et toute contestation de la demande de communication et, dans la mesure permise par la législation du pays de destination, mettra cette documentation à la disposition de l’exportateur de données. L'importateur de données communiquera également cette documentation aux autorités compétentes sur demande.

L’importateur de données ne fournira que le minimum d’informations permis en réponse à une demande de divulgation, sur la base d’une interprétation raisonnable de cette demande.

Enfin, les membres d’Hydro BCR s’engagent à ce que tout transfert de données personnelles à une autorité publique en vertu de telles demandes ne soit pas effectué de manière massive, disproportionnée ou indiscriminée, allant au-delà de ce qui est nécessaire dans une société démocratique.

À la fin de l'engagement d'un membre Hydro BCR au titre du BCR, l'importateur de données peut conserver les données personnelles reçues dans le cadre du BCR. L'importateur de données s'assure que ces données personnelles conservées continuent d'être protégées conformément aux exigences du chapitre V du RGPD. Cela signifie qu'il met en œuvre des mesures de sécurité appropriées pour protéger les données personnelles contre tout traitement non autorisé ou illicite, ainsi que contre toute perte, destruction ou altération accidentelle.

Transfert uniquement aux membres Hydro BCR liés : aucune donnée personnelle ne sera transférée à un membre Hydro BCR en vertu de ce BCR à moins que ce membre Hydro BCR ne soit effectivement lié par le BCR et ne puisse garantir le respect intégral des engagements énoncés dans le présent document.

Avis d’impossibilité de conformité : L’importateur de données avisera sans délai l’exportateur de données s’il se trouve dans l’impossibilité, pour quelque raison que ce soit, de respecter les obligations énoncées dans les présentes BCR. Cela inclut les situations où la législation locale empêche la conformité ou en cas de manquement (tel que décrit à la section 21).

Suspension des transferts : Si l’importateur de données ne respecte pas les présentes BCR ou s’il est incapable de se conformer à ses obligations, l’exportateur de données suspendra immédiatement le transfert des données personnelles jusqu’à ce que le manquement soit corrigé ou que la conformité soit rétablie.

Restitution ou suppression des données personnelles : Au choix de l’exportateur de données, l’importateur de données restituera ou supprimera immédiatement toutes les données personnelles transférées en vertu des présentes BCR, ainsi que toutes les copies, si :

• L’exportateur de données a suspendu le transfert et la conformité aux BCR n’est pas rétablie dans un délai raisonnable, et en tout état de cause, dans un délai d’un mois à compter de la suspension.
• L'importateur de données est en infraction grave ou persistante avec les BCR.
• L’importateur de données ne se conforme pas à une décision contraignante d’un tribunal compétent ou d’une ou plusieurs SA compétentes concernant ses obligations en vertu du BCR.

Attestation de suppression : Si les données sont supprimées, l’importateur de données fournira une attestation confirmant que toutes les données personnelles, ainsi que toutes leurs copies, ont été supprimées.

Assurer la conformité jusqu'au retour ou à la suppression : jusqu'à ce que les données personnelles soient retournées ou supprimées, l'importateur de données continuera d'assurer la conformité au BCR, en maintenant le niveau de protection approprié pour les données.

Exceptions liées au droit local : Si le droit local applicable à l’importateur de données interdit le retour ou la suppression des données personnelles, ce dernier veillera à continuer de se conformer au BCR. Les données seront traitées uniquement dans la mesure et pour la durée exigée par le droit local, tout en maintenant les garanties appropriées pour la protection des données personnelles.

Obligation de mise à jour du BCR : Le membre responsable du BCR s’engage à maintenir le BCR à jour afin de refléter toute évolution du contexte réglementaire, les recommandations du CEPD ou toute modification du périmètre du BCR. Toute mise à jour sera effectuée sans délai indu afin d'assurer la pleine conformité du BCR avec le RGPD et de continuer à assurer la protection des personnes concernées.

Signalement des modifications : Toute modification apportée au BCR, y compris les mises à jour de la liste des membres du BCR d'Hydro, doit être signalée sans délai indu à tous les membres du BCR d'Hydro.

Personne ou service responsable des mises à jour : Hydro désignera une personne, une équipe ou un service spécifique chargé de tenir à jour une liste des membres du BCR d'Hydro, d'enregistrer toutes les mises à jour du BCR et de fournir les renseignements nécessaires aux personnes concernées et, sur demande, aux autorités compétentes.

Avis de modifications préjudiciables : Si une modification apportée au contrat de conformité (BCR) est susceptible de réduire le niveau de protection offert ou d’affecter sensiblement le BCR (par exemple, une modification de son caractère contraignant ou du membre responsable désigné), Hydro communiquera ces modifications à l’avance aux autorités compétentes, par l’intermédiaire de l’autorité principale, en expliquant les raisons de ces mises à jour. Les autorités compétentes évalueront si ces modifications nécessitent une nouvelle approbation.

Avis annuel aux autorités compétentes : Une fois par année, Hydro informera les autorités compétentes, par l'intermédiaire de l'autorité responsable, de toute modification apportée au référentiel de conformité aux normes (RCN) ou à la liste des membres du RCN d'Hydro, en expliquant les raisons de ces modifications. Cela inclut toute modification apportée pour aligner le RCN sur les recommandations mises à jour du CEPD. Même en l'absence de modification au cours de l'année, Hydro en avisera les autorités compétentes, par l'intermédiaire de l'autorité responsable.

Renouvellement de la confirmation des actifs : Dans le cadre de la mise à jour ou de la notification annuelle, Hydro renouvellera sa confirmation concernant la suffisance des actifs (telle que décrite à la section 1.5 du BCR) afin de garantir que les obligations en matière de responsabilité et d’indemnisation puissent être respectées.

Responsabilité en matière de conformité : Hydro demeure responsable de veiller à ce que le BCR soit tenu à jour et reste conforme à l'article 47 du RGPD et aux recommandations du CEPD.

Lorsque des termes définis à l'article 4 du RGPD sont utilisés dans le BCR, c'est la signification qui leur est attribuée dans le RGPD qui s'applique. De plus, les termes suivants ont la signification suivante :

Loi applicable en matière de protection des données dans l'EEE : RGPD et toute loi nationale de l'EEE mettant en œuvre cette réglementation.

BCR : Ce règlement d'entreprise Hydro Binding pour les contrôleurs (BCR-C), y compris toutes ses annexes.

Secteur d'activité : Division des opérations d'Hydro partageant des activités principales communes, telles que décrites sur le site Web d'Hydro. Les secteurs d'activité sont divisés en unités opérationnelles, le cas échéant, et peuvent représenter un ou plusieurs membres Hydro BCR établis dans un ou plusieurs pays.

Code de conduite : Ensemble de règles définissant les normes, les règles et les responsabilités en matière de conduite appropriée au sein d'une entreprise membre d'Hydro BCR.

Autorités compétentes en matière de protection des données : L'autorité ou les autorités chargées de superviser et de garantir le respect de la législation applicable en matière de protection des données de l'EEE dans leurs juridictions respectives et qui s'appliquent à tout exportateur de données.

Exportateur de données : Tout membre d'Hydro BCR établi dans l'EEE qui transfère des données personnelles à tout membre d'Hydro BCR établi dans un pays tiers.

Importateur de données : Tout membre d'Hydro BCR établi dans un pays tiers qui reçoit des données personnelles de tout membre d'Hydro BCR établi dans l'EEE.

Champion de la protection des données : A la signification définie à la section 8.4.

Coordonnateur de la protection des données : A la signification définie à la section 8.3.

EEE : L'Espace économique européen, c'est-à-dire les États membres de l'UE ainsi que les pays de l'AELE (Liechtenstein, Islande et Norvège).

Services d'affaires mondiaux (« GBS ») : l'organisation de services partagés d'Hydro.

RGPD : Règlement de l'UE 2016/679 (Règlement général sur la protection des données)

Fonction Groupe : Un département au niveau de l'entreprise Hydro, chargé de la gouvernance à l'échelle du groupe dans un domaine d'expertise spécifique.

Responsable de la protection des données : La personne chargée de superviser la mise en œuvre du BCR et responsable du suivi global de la conformité en matière de protection des données chez Hydro.

Hydro (Groupe Hydro BCR) : Norsk Hydro ASA (le membre responsable BCR) et tous les membres Hydro BCR, individuellement ou conjointement, selon le cas.

Membre du BCR d'Hydro : Norsk Hydro ASA, toute filiale détenue à 100 % par Norsk Hydro ASA, et toute autre entité juridique dans laquelle Hydro contrôle directement ou indirectement plus de 50 % des droits de vote et qui (i) adhère aux documents de gouvernance requis d'Hydro et (ii) est partie à l'accord intragroupe. L'annexe 1 du BCR énumère les membres actuels du BCR d'Hydro.

Réseau de protection des données Hydro : S'entend au sens défini à l'article 8.1

Accord de données intragroupe : L'entente de données intragroupe Hydro auquel le présent BCR est annexé.

Autorité de surveillance principale : L'autorité de surveillance norvégienne (Datatilsynet)

Membre responsable du BCR : Norsk Hydro ASA, tel que décrit à la section 3.3.

Documents de gouvernance requis pour Hydro : Les documents de gouvernance d'Hydro pertinents pour la protection des données (y compris la confidentialité, la sécurité des données et les audits) tels qu'ils sont énumérés à l'annexe 3, tels que modifiés ou remplacés de temps à autre.

Pays tiers : Tout pays situé à l’extérieur de l’EEE, à l’exception des pays approuvés sur la base d’une décision d’adéquation conformément à l’article 45(3) du RGPD, et toute organisation internationale.

* Selon les circonstances