Introduction
GE respecte les droits des personnes en matière de confidentialité et s'engage à gérer les informations personnelles de manière responsable, conformément à la loi en vigueur, aux obligations contractuelles applicables et à l'Engagement de GE envers la protection des informations personnelles (l'Engagement) décrit ci-dessous. L'Engagement définit les principes de GE pour le traitement des informations personnelles par et pour le compte de GE.
L'Engagement établit une base juridique pour les transferts transfrontaliers d'informations personnelles au sein du Groupe GE (toutes les divisions détenues à 100 % ou en majorité par l'entreprise GE, y compris Electric Insurance Company et ses filiales), y compris lorsque les membres du Groupe GE adhèrent aux parties pertinentes de l'Engagement en tant que Responsables de traitement de données. En outre, GE peut effectuer des transferts transfrontaliers d'informations personnelles à des tiers en dehors du Groupe GE, conformément à la loi en vigueur. GE s'engage à traiter les informations personnelles conformément à l'Engagement, le cas échéant, sauf en cas de conflit avec les exigences plus strictes de la loi locale, auquel cas la loi locale prévaudra.
Champ d'application
L'Engagement a été créé pour garantir que les informations personnelles seront protégées indépendamment de leur localisation ou de la technologie utilisée au moment de leur exploitation au sein du Groupe GE et s'applique au traitement par GE des informations personnelles de GE et des informations personnelles du Client de GE.
Traitement des informations personnelles
GE respecte les principes suivants lors du traitement des informations personnelles:
Équité : GE traitera les informations personnelles de manière équitable et légale.
Utilisation ciblée : GE limitera le traitement des informations personnelles aux fins spécifiques et légitimes de GE. GE traitera ces informations uniquement dans le cadre de ces fins spécifiques, à moins que GE, ou le Client pour lequel elle agit en tant que Responsable de traitement de données, s'appuie sur un accord sans équivoque permettant d'utiliser les données à d'autres fins.
De manière générale, GE traitera les informations personnelles :
- si GE a, tout bien considéré, un intérêt légitime qui justifie le traitement ;
- lorsque cela est nécessaire pour maintenir ou établir une relation juridique entre GE et la personne ;
- lorsque cela est nécessaire pour respecter une obligation imposée à GE par la loi ou la réglementation en vigueur ou l'autorité gouvernementale concernée ;
- dans le cas de situations exceptionnelles qui menacent la vie, la santé ou la sécurité de la personne ou de toute autre personne ;
- après avoir obtenu le consentement libre, explicite et éclairé de la personne, si la loi en vigueur l'exige ;
- lorsque le traitement est lié à un contrat de services avec un Client.
Si GE a directement obtenu le consentement de la personne, GE lui offrira un moyen de retirer son consentement dans les limites permises par la loi en vigueur, à tout moment et sans frais.
Proportionnalité : GE limitera le traitement des informations personnelles à un usage approprié, pertinent et non excessif par rapport aux fins pour lesquels GE les recueille et les utilise.
Qualité de l'information : GE, ou GE en tant que Responsable de traitement de données pour un Client, prendra des mesures raisonnables pour s'assurer que les informations personnelles sont exactes et mises à jour, pour conserver les informations personnelles uniquement pendant la durée nécessaire aux fins pour lesquelles elles sont recueillies et utilisées, et pour les supprimer ou les rendre anonymes une fois que les exigences de stockage ont été satisfaites.
Transparence : si la loi en vigueur l'exige, GE mettra à la disposition des personnes, au point de collecte ou dans un délai raisonnable de collecte, des informations sur : l'identité de GE, les objectifs et la base juridique de traitement de leurs informations personnelles, les destinataires et les transferts de données transfrontaliers prévus, les sources d'informations personnelles, la manière dont les personnes peuvent faire valoir leurs droits concernant les informations personnelles, le cas échéant les coordonnées du Responsable de la protection des données, ainsi que des explications supplémentaires, si besoin, pour assurer un traitement équitable. Lorsque GE recueille des informations personnelles par le biais d'Internet ou d'autres moyens électroniques, GE publie un avis de confidentialité facilement accessible qui répond à ces exigences en matière de transparence.
Confidentialité : GE s'engage à préserver la confidentialité des informations personnelles qu'elle traite, sauf dans le cas où la divulgation des informations est requise par une exigence opérationnelle ou juridique en vigueur. Cette obligation se poursuivra même après la fin de la relation avec la personne, ou avec le Client pour lequel GE agit en tant que Responsable de traitement de données.
Sécurité : GE s'efforce de protéger les informations personnelles recueillies grâce à des moyens techniques et organisationnels appropriés afin de garantir leur intégrité, leur confidentialité, leur sécurité et leur disponibilité. GE informera les personnes de toute violation de la sécurité affectant leurs informations personnelles détenues par GE et pouvant présenter un risque élevé pour leurs droits et libertés individuels. Conformément à la loi en vigueur, GE fournira une assistance raisonnable aux Clients, pour lesquels GE est Responsable du traitement de données, afin de garantir la sécurité du traitement des informations et avertira ses Clients de toute violation de sécurité concernant leurs informations personnelles détenues par GE, conformément à la loi en vigueur.
Partage et/ou transfert d'informations personnelles
GE peut partager ou transférer des informations personnelles dans les cas suivants :
- Les informations personnelles peuvent être partagées au sein du Groupe GE aux fins spécifiées ci-dessus, à condition que l'entité du Groupe GE traitant les informations personnelles respecte cet Engagement.
- GE peut fournir des informations personnelles à certains fournisseurs ou prestataires de services engagés pour réaliser certaines opérations de traitement ou d'autres services en son nom. GE s'efforcera de s'assurer que les nouveaux engagements des fournisseurs prévoient que le traitement des informations personnelles soit effectué conformément à cet Engagement et à la loi en vigueur, en établissant une relation juridique sur la base d'un contrat ou d'autres moyens légalement autorisés. Dans le cadre de ces contrats, les fournisseurs doivent mettre en œuvre des mesures de sécurité adéquates et ne peuvent traiter les informations personnelles que conformément aux instructions de GE.
- GE peut divulguer certaines informations personnelles à d'autres tiers si la loi l'exige, pour protéger les droits juridiques de GE, ou lorsque cela concerne une fusion ou une acquisition de GE ou encore l'insolvabilité ou la réorganisation de toute partie de GE.
Traitement des informations personnelles sensibles
Lorsque GE traite et/ou transfère des informations personnelles sensibles, GE en informe la personne et obtient un consentement explicite de sa part lorsque GE est tenue de le faire par la loi en vigueur. Des mesures de sécurité appropriées seront mises en place en fonction de la nature de ces informations et des risques associés aux utilisations prévues.
Responsabilité
GE est responsable du respect des exigences définies dans l'Engagement et dans le cadre de la loi applicable. GE s'engage notamment à :
- prendre les mesures nécessaires pour respecter les exigences de l'Engagement et de la loi applicable ; et
- mettre en place les mécanismes internes nécessaires pour assurer ce respect, y compris le maintien d'un registre de ses activités de traitement conformément à la loi en vigueur.
Programme de confidentialité
GE adopte des pratiques de confidentialité conçues pour assurer la conformité à l'Engagement et à la loi en vigueur, notamment la nomination d'un réseau de Responsables de la confidentialité, des programmes d'éducation et de sensibilisation, des protocoles de réponse aux incidents, des évaluations de l'impact sur la confidentialité, des activités de routine d'audit et une approche de la confidentialité dès la conception pour le développement des processus et des systèmes.
Droits individuels
Conformément à la loi en vigueur, toute personne ayant établi son identité avec GE de manière satisfaisante peut exercer les droits suivants relatifs aux informations personnelles que GE a recueillies directement auprès d'elle. GE aidera le Client pour lequel elle est Responsable du traitement de données à respecter ses obligations en matière de confidentialité vis-à-vis des personnes :
Accessibilité : si la loi en vigueur l'exige, GE fournira les informations personnelles que GE détient sur une personne, y compris des informations concernant la source des informations personnelles, les fins de tout traitement réalisé par GE et les destinataires ou les catégories de destinataires auxquels lesdites informations personnelles sont divulguées.
Correction et suppression : les demandes valides de correction ou de suppression d'informations personnelles incomplètes, inexactes ou excessives seront respectées, et confirmées en tant que telles. Toutefois, la suppression ne sera pas effectuée lorsque le stockage des informations est requis par la relation contractuelle entre GE et la personne, dans le cadre d'un litige juridique ou d'autres exigences légales en matière de stockage, ou conformément à la loi applicable.
Opposition : GE cessera de traiter les informations personnelles si une personne s'oppose à ce traitement en vertu de la loi en vigueur (par exemple, lorsque la vie ou la santé de la personne est menacée à cause du traitement). Une personne a également le droit de s'opposer à des décisions basées uniquement sur le traitement automatisé des informations personnelles qui produisent des effets juridiques affectant de manière significative la personne impliquée, sauf si la personne a demandé le traitement ou lorsque cela est nécessaire par rapport à la relation juridique entre GE et la personne concernée. Dans ce cas, la personne peut donner son avis sur la décision automatisée. Une personne a le droit de s'opposer au traitement des informations personnelles par GE à des fins marketing, lorsque la loi en vigueur l'autorise. L'exercice de ce droit d'opposition peut être supplanté si GE peut démontrer que son intérêt impérieux et légitime de poursuivre le traitement prévaut sur les intérêts ou les droits et les libertés fondamentaux de la personne.
Restriction : une personne a également le droit de demander la restriction de tout traitement de ses informations personnelles GE par GE, dans la mesure où ce droit est conforme à la loi en vigueur (par exemple, lorsque la précision des informations personnelles GE est contestée). GE cessera de traiter ces informations si la demande de restriction est justifiée, à l'exception du stockage et des autres traitements continus autorisés en vertu de la loi en vigueur.
Réclamations : toute personne qui prétend avoir subi des dommages du fait du non-respect de l'Engagement par une entité du groupe GE peut déposer une réclamation auprès du Responsable de la confidentialité du groupe GE ou du Responsable de la conformité concerné, ou par le biais des systèmes de gestion des réclamations de GE disponibles sur les sites Web de GE si d'autres canaux sont indisponibles ou épuisés :
- Signalement des problèmes internes : integrity.ge.com ou security.ge.com
- Signalement des problèmes externes : [email protected], [email protected] ou [email protected]
Si GE considère qu'une réclamation est justifiée, elle prendra des mesures raisonnables pour remédier à la situation, de façon raisonnablement satisfaisante pour la personne. GE s'efforce de répondre aux réclamations dans les trente jours suivant leur émission. Une personne ayant une réclamation non résolue concernant le respect de l'Engagement par GE dans les pays régis par les Règles transfrontalières de protection de la vie privée (CBPR, Cross Border Privacy Rules) de l'APEC peut contacter gratuitement le service tiers de résolution de différends basé aux États-Unis de GE à l'adresse https://feedback-form.truste.com/watchdog/request
Mise en application : une personne ayant subi des dommages suite à une violation de l'Engagement peut recevoir un dédommagement conformément à la loi en vigueur et aux dispositions de l'Engagement. Une personne susceptible de recevoir un dédommagement peut faire valoir ses droits, conformément à l'Engagement, par un recours direct aux tribunaux ou à toute autre autorité judiciaire, conformément à la loi en vigueur.
Coopération avec les autorités de contrôle
GE coopérera avec toute autorité de contrôle compétente, au niveau national ou régional, responsable du contrôle de la loi sur la confidentialité applicable justifiant de remettre en question le traitement des informations personnelles par GE et se conformera aux décisions de ladite autorité de contrôle compétente concernant tout problème lié à l'Engagement.
Modifications de l'Engagement
GE se réserve le droit de modifier l'Engagement. Toute modification matérielle sera soumise à l'Autorité responsable de la protection des données de GE et/ou à son représentant de confiance, le cas échéant, et sera notifiée sur le site Web de GE.
Définitions
Les informations personnelles font référence à toute information relative à une personne physique identifiée ou identifiable.
Les informations personnelles GE font référence à toute information personnelle obtenue dans le cadre de la relation entre une personne et GE et que GE traite à ses propres fins. Ces informations personnelles GE peuvent inclure, par exemple, des données relatives à l'emploi obtenues dans le cadre d'une relation de travail avec GE, des données client obtenues dans le cadre d'une relation client avec GE et des données fournisseurs obtenues auprès des fournisseurs de GE.
Les informations personnelles du Client GE font référence à toute information personnelle obtenue dans le cadre de la prestation de services par GE à un Client en vertu d'un contrat de services et que GE traite au nom du Client.
Le Client fait référence à une personne ou une entité qui conclut un contrat de services avec GE.
Les informations personnelles sensibles , une catégorie spéciale d'informations personnelles, font référence à des informations sur l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques, les données biométriques, la santé, la vie sexuelle ou l'orientation sexuelle.