Vous avez un message !

Vous avez un message !

Chargement en cours...

Le Groupe CHRISTIAN LOUBOUTIN s'engage à assurer un haut niveau de protection des Données Personnelles dans l'ensemble du Groupe et à se conformer aux lois et réglementations applicables concernant le Traitement des Données Personnelles de ses Employés, clients, fournisseurs et autres partenaires commerciaux.

L'adoption et la mise en œuvre de règles d'entreprise contraignantes (BCR) au sein du Groupe CHRISTIAN LOUBOUTIN visent à encadrer les Transferts de Données intra-groupe en dehors de l'Espace Economique Européen (EEE), conformément aux dispositions du Règlement (UE) 2016/679 (le Règlement général sur la protection des données ou « RGPD ») et de la Directive 2002/58/CE (ensemble, et avec toute autre réglementation européenne applicable au traitement et à la protection des Données Personnelles la « Règlementation Européenne sur la Protection des Données »).

En vertu des dispositions de ce cadre juridique, tout Transfert de Données en dehors de l'EEE doit être encadré par des garanties appropriées afin de s'assurer que le traitement des données Personnelles faite par le Groupe est conforme aux principes européens de protection des Données Personnelles. Nous considérons nos BCR comme un outil essentiel pour promouvoir efficacement notre culture de la confidentialité des données au sein du Groupe CHRISTIAN LOUBOUTIN. Ces BCR favoriseront également la conformité à la protection des données et faciliteront la gestion des Données Personnelles au sein de l'ensemble du Groupe. Le Groupe CHRISTIAN LOUBOUTIN et ses Employés sont responsables de la protection et du respect des Données Personnelles qu'ils traitent et auxquelles ils ont accès.

En ce qui concerne le champ d'application de nos BCR, les Sociétés CHRISTIAN LOUBOUTIN qui adhèrent aux BCR et leurs Employés doivent se conformer aux dispositions suivantes ainsi qu'aux lois et réglementations locales applicables. Conformément à cet objectif, le Groupe CHRISTIAN LOUBOUTIN a mis en place une structure de gouvernance efficace pour gérer ses obligations en matière de protection des données et de la vie privée.

Sans préjudice de la section 4 des BCR, les présentes BCR s'appliqueront au Transfert de Données entre les Sociétés CHRISTIAN LOUBOUTIN conformément aux articles 49 et 50 du RGPD et/ou à toute autre loi applicable et à tout Transfert de Données ultérieur qui n'est pas autrement autorisé par la loi applicable.

Au niveau local, chaque Responsable de Traitement Local devra soit signer les présentes BCR, soit signer un accord intra-groupe BCR (Annexe 4). Dans tous les cas, chacune des Sociétés CHRISTIAN LOUBOUTIN devra prendre toutes les mesures nécessaires pour assurer le respect des dispositions des BCR. Le respect de ces dispositions et procédures reposera notamment sur les programmes de formation du personnel du Groupe CHRISTIAN LOUBOUTIN à la protection des données et sur les activités d'audit.

Si une violation des BCR est établie, toutes mesures correctives (juridique, technique ou organisationnelle) ainsi que toute sanction appropriée (à l'encontre du Responsable de Traitement local et/ou d'un Employé local, si la législation locale le permet) peuvent être imposées sur recommandation du Responsable de Traitement Principal et du Délégué à la Protection des Données Monde.

2.1 Définitions

Les termes et expressions utilisés dans les BCR et ses Annexes, qui sont écrits avec une majuscule, ont la signification indiquée ci-dessous, étant entendu que ces termes et expressions doivent être interprétés conformément à la Réglementation Européenne sur la Protection des Données.

« Autorité de Contrôle » désigne une autorité administrative indépendante chargée de : (i) veiller au respect des Traitements des Données Personnelles relevant de sa compétence (pays, région ou organisation internationale), (ii) conseiller les organismes compétents s’agissant des mesures législatives et administratives relatives au Traitement des Données Personnelles, et (iii) recevoir les plaintes déposées par les Personnes Concernées au sujet de la protection de leurs droits en matière de protection des données.

« Autorité de Contrôle Cheffe de File » est la Commission Nationale de l'Informatique et des Libertés ou la « CNIL ».

« Catégories Particulières de Données Personnelles » désigne les Données Personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données génétiques, les données biométriques traitées dans le but d'identifier de manière unique une personne physique, les Données Personnelles concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique.

« Groupe CHRISTIAN LOUBOUTIN» ou «  Groupe » désigne CHRISTIAN LOUBOUTIN SAS, Société par Actions Simplifiée de droit français, dont le siège social est situé 19, rue Jean-Jacques Rousseau 75001 Paris, immatriculée au Registre du Commerce de Paris sous le numéro 380742650, ainsi que toute autre société contrôlée par CHRISTIAN LOUBOUTIN SAS, une société étant considérée comme en contrôlant une autre : (a) lorsqu'elle détient directement ou indirectement une fraction du capital qui lui assure la majorité des droits de vote dans les assemblées générales d'actionnaires de cette société ; (b) lorsqu'elle détient seule la majorité des droits de vote dans cette société en vertu d'un accord conclu avec d'autres associés ou actionnaires et qui n'est pas contraire à l'intérêt social ; (c) lorsqu'elle détermine de fait, par les droits de vote qu'elle détient, les décisions dans les assemblées générales d'actionnaires de cette société ; (d) lorsqu'elle  est associée ou actionnaire de cette société et détient le pouvoir de nommer ou de révoquer la majorité des membres des organes d'administration, de direction ou de surveillance ou (e) en tout état de cause, lorsqu'elle détient, directement ou indirectement, une fraction des droits de vote supérieure à 40% et qu'aucun autre associé ou actionnaire ne détient directement ou indirectement une fraction supérieure à la sienne.

« Consentement » d'une Personne Concernée désigne toute manifestation de volonté libre, spécifique, éclairée et univoque, exprimée par une déclaration ou un acte positif clair, de l'accord de la Personne Concernée au Traitement de ses Données Personnelles.

« Délégué à la Protection des Données Monde » désigne le cadre de direction responsable, au sein du Groupe CHRISTIAN LOUBOUTIN et à l'échelle mondiale, de la gestion de la sensibilisation et de la conformité des Sociétés CHRISTIAN LOUBOUTIN au Droit Applicable à la Protection des Données et aux politiques, procédures et directives de CHRISTIAN LOUBOUTIN en matière de protection de la vie privée, en particulier aux BCR. Le Délégué à la Protection des Données Monde du Groupe CHRISTIAN LOUBOUTIN fait directement rapport au Comité de direction ou en fait partie.

« Droit Applicable à la Protection des Données » désigne la législation sur la protection des données du pays dans lequel le Responsable de Traitement est établi.

« Décision individuelle automatisée » désigne une décision qui affecte de manière significative une personne ou produit des effets juridiques la concernant et qui est fondée uniquement sur un Traitement automatisé de Données Personnelles, y compris le profilage, qui produit des effets juridiques concernant la Personne Concernée ou l'affecte de manière significative de façon similaire.

« Destinataire » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme auquel les Données Personnelles sont divulguées, qu'il s'agisse d'un Tiers ou non. Toutefois, les autorités publiques qui peuvent recevoir des Données Personnelles dans le cadre d'une enquête particulière ne sont pas considérées comme des Destinataires.

« Directive 2002/58/CE » désigne la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des Données Personnelles et la protection de la vie privée dans le secteur des communications électroniques (telle que modifiée).

« Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne Concernée ») ; est réputée être une « personne identifiable » une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel que le nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

« Données Personnelles Relatives à la Santé » désigne les Données Personnelles relatives à la santé physique ou mentale d'une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur son état de santé.

« EEE » ou « Espace économique européen » désigne les pays de l'Union européenne et les pays membres de l'AELE (Association Européenne de Libre-Echange).

« Employés » sont toutes les personnes qui exercent, ou ont exercé dans le passé, des fonctions pour le Groupe CHRISTIAN LOUBOUTIN, en contrepartie d'un salaire ou d'une rémunération, selon un contrat de travail (lorsqu'il est applicable ou exigé par la loi) ou toute autre convention assimilée (telle qu'une convention de stage) et sous un lien de subordination. Cela inclut également les directeurs, les stagiaires, les apprentis, les travailleurs occasionnels et les statuts assimilés.

« Exportateur Local de Données » désigne la société du Groupe CHRISTIAN LOUBOUTIN qui transfère les Données Personnelles en dehors de son pays d'origine à l'Importateur Local de Données.

« Fournisseur » désigne un terme utilisé par le Groupe CHRISTIAN LOUBOUTIN pour désigner la majorité de ses Sous-Traitants. Un Fournisseur est une entité, dans le cadre d'un contrat, qui peut traiter des Données Personnelles selon les instructions d'une Société, comme par exemple un prestataire de services de paie.

« Importateur Local de Données » désigne la société du Groupe CHRISTIAN LOUBOUTIN qui accepte de recevoir des Données Personnelles de la part de l'Exportateur Local de Données pour un Traitement ultérieur.

« Mesures de Sécurité Techniques et Organisationnelles " désigne des mesures visant à protéger les Données Personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, notamment lorsque le Traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de Traitement, conformément à la section 5.5 des BCR.

« Personne Concernée » désigne une personne physique identifiée ou identifiable à laquelle se rapportent des Données Personnelles spécifiques. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

« Profilage » désigne toute forme de Traitement automatisé de Données Personnelles consistant à utiliser les Données Personnelles pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

« Pseudonymisation » désigne le Traitement des Données Personnelles de sorte que les Données Personnelles ne puissent plus être attribuées à une Personne Concernée spécifique sans avoir recours à des informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l'objet de mesures techniques et organisationnelles visant à garantir que les Données Personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable.

« Registre des Activités de Traitement » désigne le registre contenant toutes les informations énoncées à l'article 30 du RGPD que chaque Responsable de Traitement ou son représentant et chaque Sous-Traitant doivent tenir à l'égard de toutes les activités de traitement sous leur responsabilité.

« Règlement Général sur la Protection des données » (ou « RGPD ») désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données Personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

« Responsable Conjoint » désigne deux Responsables de Traitement ou plus qui déterminent conjointement la ou les finalités et les moyens du Traitement.

« Responsable de Traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données Personnelles.

« Responsable de Traitement Local » désigne la société du Groupe CHRISTIAN LOUBOUTIN qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données Personnelles ; lorsque les finalités et les moyens du Traitement sont déterminés par des lois ou règlements nationaux ou communautaires, le Responsable de Traitement ou les critères spécifiques de désignation du Responsable de Traitement peuvent être désignés par le droit national ou Communautaire.

« Responsable de Traitement Principal » ou « CHRISTIAN LOUBOUTIN SAS » désigne CHRISTIAN LOUBOUTIN SAS, une Société par Actions Simplifiée française, dont le siège social est situé au 19, rue Jean-Jacques Rousseau 75001 Paris, immatriculée au Registre du Commerce de Paris sous le numéro 380742650. Le Responsable de Traitement Principal, CHRISTIAN LOUBOUTIN SAS, est la société mère ultime de toutes les sociétés du Groupe CHRISTIAN LOUBOUTIN. Le Responsable de Traitement Principal exerce des responsabilités déléguées en matière de protection des données et est chargé de la demande d’approbation des BCR officielles et des relations avec les Autorités de Contrôle coordinatrices.

« Service de Protection des Données de CHRISTIAN LOUBOUTIN » désigne l'équipe située au sein du Responsable de Traitement Principal qui est chargée, au sein du Groupe CHRISTIAN LOUBOUTIN au niveau mondial, de gérer la sensibilisation des équipes et le respect du droit applicable à la protection des données et des politiques, procédures et directives applicables en matière de confidentialité, qui sont mises en œuvre au sein du Groupe CHRISTIAN LOUBOUTIN et en particulier, des BCR.

« Sociétés CHRISTIAN LOUBOUTIN », « Société CHRISTIAN LOUBOUTIN », « Sociétés » ou « Société » désignent toutes les Sociétés faisant partie du Groupe CHRISTIAN LOUBOUTIN qui ont signé le présent accord intra-groupe BCR (Annexe 4) en leur qualité de société liée aux BCR soit en tant qu'Exportateurs Locaux de Données, soit en tant qu'Importateurs Locaux de Données.

« Sous-Traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des Données Personnelles pour le compte d'un Responsable de Traitement.

« Tiers » désigne une personne ou morale, une autorité publique, une agence ou tout autre organisme autre que la Personne Concernée, le Responsable de Traitement, le Responsable du traitement et les personnes qui, sous l'autorité directe du Responsable de Traitement ou du Sous-Traitant, sont autorisées à traiter les données.

« Traitement de Données Personnelles » ou « Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le verrouillage, la limitation, l'effacement ou la destruction.

« Transfert de Données » désigne tout transfert de Données Personnelles d'une Société à une autre Société. Un transfert peut être effectué via toute communication, copie, transfert ou divulgation de Données Personnelles à travers un réseau, y compris l'accès à distance à une base de données ou le transfert d'un support à un autre, quel que soit le type de support (par exemple d'un disque dur d'ordinateur à un serveur).

« Violation de Données Personnelles" désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des Données Personnelles qui ont été transmises, stockées ou traitées de quelque manière que ce soit.

2.2 Principes de protection des données

Dans le cadre des présentes BCR (voir section 4), tout Transfert de Données vers un pays tiers qui n'assure pas un niveau de protection adéquat tel que défini par la Réglementation Européenne sur la Protection des Données devra toujours respecter les principes de protection des données suivants, définis dans les sections spécifiques des BCR et/ou dans l'Annexe 1.

  • Loyauté et transparence du Traitement.
  • Licéité du traitement.
  • Limitation des finalités.
  • Minimisation des données.
  • Durées de conservation limitées.
  • Qualité des données.
  • Protection des données dès la conception.
  • Protection des données par défaut.
  • Base légale du Traitement des Données Personnelles et du Traitement des Catégories Particulières de Données Personnelles.
  • Sécurité des Données Personnelles.
  • Transferts ultérieurs vers des organisations non liées par des BCR.
  • Responsabilité.

N.B. : Chaque Responsable de Traitement Local doit être responsable du respect des présents principes de protection des données (responsabilité) et être en mesure de le démontrer.

L'objectif des présentes BCR est de garantir un niveau de protection adéquat pour les Transferts de Données au sein du Groupe CHRISTIAN LOUBOUTIN.

4.1 Champ d'application géographique

Les présentes BCR s'appliquent aux Transferts de Données entre les Sociétés CHRISTIAN LOUBOUTIN établies dans le monde entier et ayant signé les présentes BCR, ou un accord BCR intra-groupe (Annexe 4). L'Annexe 2 comprend une liste des Sociétés CHRISTIAN LOUBOUTIN qui sont liées par les BCR.

4.2 Champ d'application matériel

La nature et les finalités des Données Personnelles transférées dans le cadre des BCR sont détaillées à l’Annexe 3.

4.3 Champ d'application des Sociétés couvertes

Ces BCR ont pour objet d'encadrer les Transferts intra-groupe de Données Personnelles entre les Sociétés CHRISTIAN LOUBOUTIN listées à l'Annexe 2, qui agissent soit en tant qu'Exportateur Local de Données, soit en tant qu'Importateur Local de Données.

Les Sociétés CHRISTIAN LOUBOUTIN figurant à l'Annexe 2 s'engagent à respecter les présentes BCR dès la signature de celles-ci à la date des présentes ou dès la signature de l’accord intra-groupe BCR (Annexe 4).

5.1 Transparence et droit à l'information

Afin de rendre un Traitement loyal, les Données Personnelles seront toujours collectées et traitées ultérieurement de manière transparente. Ainsi :

  1. Une Personne Concernée a le droit d'avoir un accès facile aux informations des BCR relatives à ses Données Personnelles. Par conséquent, une Personne Concernée doit toujours être en mesure d'obtenir, sur demande, une copie des BCR auprès du Délégué à la Protection des Données Monde du Groupe CHRISTIAN LOUBOUTIN. Les informations relatives à l'accès aux BCR seront fournies sur le site Internet du Groupe CHRISTIAN LOUBOUTIN.
  2. En outre, des programmes de sensibilisation seront mis à la disposition des Personnes Concernées, afin de les éclairer sur les BCR ou toute autre question connexe, telle que la soumission d'une demande d'accès à leurs Données Personnelles (voir la section 5.2) ou la soumission d'une réclamation (voir la section 5.4).
  3. Les Personnes Concernées ont le droit d'être informées du Traitement de leurs Données Personnelles. Conformément à cet objectif, le Délégué à la Protection des Données Monde fournira, le cas échéant, des modèles de notices d'information à chaque Responsable de Traitement Local au sein du Groupe CHRISTIAN LOUBOUTIN.
  4. Lorsque, s'agissant d'un Traitement existant, des Données Personnelles sont traitées pour une nouvelle finalité ou transférées à une nouvelle catégorie de Destinataires, la notice d'information appropriée est modifiée en conséquence et les Personnes Concernées sont informées de cette modification.
  5. Le Groupe CHRISTIAN LOUBOUTIN fournira à une Personne Concernée au moins les informations suivantes, sauf si la Personne Concernée dispose déjà de ces informations :
    1. l'identité et les coordonnées du Responsable de Traitement Local ou de son représentant, le cas échéant, et, le lieu où l'Importateur Local de Données est basé en dehors de l'EEE, le cas échéant ;
    2. les coordonnées du Délégué à la Protection des Données Monde;
    3. les finalités du Traitement pour lesquelles les Données Personnelles sont traitées ainsi que la base juridique du Traitement;
    4. les intérêts légitimes poursuivis par le Responsable Local du Traitement ou par un Tiers (lorsque le Traitement est fondé sur cette base);
    5. les Destinataires ou catégories de Destinataires des Données Personnelles, le cas échéant;
    6. le cas échéant, le fait que le Responsable de Traitement Local a l'intention de transférer des Données Personnelles vers un pays tiers, l'existence ou l'absence d'une décision d'adéquation de la Commission européenne ou des garanties appropriées ou adéquates et les moyens d'en obtenir une copie ou lorsqu'elles ont été mises à disposition;
    7. la durée pendant laquelle les Données Personnelles seront stockées (ou les critères utilisés pour déterminer cette durée);
    8. l'existence du droit, à exercer auprès du Responsable de Traitement Local, d'obtenir l'accès aux Données Personnelles et de demander leur rectification ou leur effacement ou une limitation du Traitement ou de s'opposer au Traitement, ainsi que le droit à la portabilité des données lorsque ce droit est applicable ;
    9. lorsque le Traitement est fondé sur le Consentement de la Personne Concernée (soit comme base légitime du Traitement, soit pour le Traitement de Catégories Particulières de Données Personnelles), l'existence du droit de retirer le Consentement à tout moment, sans affecter la licéité du Traitement fondé sur le Consentement avant le retrait;
    10. le droit de déposer une plainte auprès d'une Autorité de Contrôle;
    11. si la fourniture de Données Personnelles est statutaire ou contractuelle, si la Personne Concernée est obligée de fournir les Données Personnelles ou non et les conséquences éventuelles du défaut de fourniture de ces données;
    12. l'existence d'une Décision Automatisée, y compris de Profilage, et les informations significatives sur la logique qui la sous-tend, ainsi que l'importance et les conséquences envisagées de ce Traitement pour la Personne Concernée;
    13. l'intention de traiter ultérieurement les Données Personnelles pour une finalité autre que celle pour laquelle elles ont été collectées;
    14. la source des Données Personnelles et, le cas échéant, si elles proviennent d'une source accessible au public (lorsque les Données Personnelles n'ont pas été obtenues directement auprès de la Personne Concernée).

Lorsque les données n'ont pas été obtenues directement auprès des Personnes Concernées, CHRISTIAN LOUBOUTIN fournira cette information aux Personnes Concernées dans un délai raisonnable après la collecte des Données Personnelles, mais au plus tard dans un délai d'un mois, en tenant compte des circonstances spécifiques dans lesquelles les Données Personnelles sont traitées ; si les Données Personnelles doivent être utilisées pour communiquer avec la Personne Concernée, ces informations seront fournies au plus tard au moment de la première communication à la Personne Concernée ; ou si une divulgation à un Tiers est envisagée, au plus tard au moment où les données sont divulguées pour la première fois.

Conformément à l'article 14(5) du RGPD, qui s'applique lorsque les Données Personnelles n'ont pas été obtenues directement auprès des Personnes Concernées et nonobstant toute disposition spécifique prévue par les législations nationales, cette divulgation d'informations à la Personne Concernée ne s'appliquera exceptionnellement pas (i) lorsque la Personne Concernée dispose déjà de ces informations, (ii) lorsque la fourniture de ces informations s'avère impossible ou impliquerait un effort disproportionné ou (iii) si l'obtention ou la divulgation est expressément requise par la loi à laquelle le Responsable de Traitement est soumis et qui prévoit des mesures appropriées pour protéger les intérêts légitimes de la Personne Concernée ou (iv) lorsque les Données Personnelles doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par la loi (y compris une obligation légale de secret).

  1. Les informations doivent être complètes et pas seulement résumées.

5.2 Droits d'accès, de rectification, d'effacement, de limitation du Traitement, d'opposition au Traitement et de portabilité des données

  1. Chaque Personne Concernée a le droit (après avoir établi son identité et fait une demande spécifique à une Société CHRISTIAN LOUBOUTIN) de :
    1. Obtenir sans contrainte à des intervalles raisonnables et sans délai ni frais excessifs :
      • la confirmation que ses Données Personnelles sont traitées ;
      • le cas échéant, a minima des informations sur les finalités du Traitement, les catégories de Données Personnelles divulguées, si possible la période envisagée pour laquelle les Données Personnelles sont conservées ou à défaut les critères utilisés pour déterminer cette durée, l'existence du droit de demander à une Société la rectification ou l'effacement des Données Personnelles ou la limitation du Traitement des Données Personnelles concernant la Personne Concernée ou de s'opposer à ce Traitement, le droit d'introduire une réclamation auprès d'une Autorité de Contrôle, toute information disponible quant à leur source (lorsque les Données Personnelles ne sont pas collectées directement auprès de la Personne Concernée) ; l'existence d'une Décision automatisée, y compris le Profilage et, au moins, des informations significatives sur la logique qui la sous-tend, ainsi que l'importance et les conséquences envisagées de ce Traitement pour la Personne Concernée ;
      • lorsque les Données Personnelles sont transférées vers un pays tiers, des informations sur les garanties appropriées utilisées pour le Transfert de Données ;
      • communication à la Personne Concernée, sous une forme intelligible, des Données Personnelles faisant l'objet du Traitement ;
    2. Obtenir, sans retard injustifié, la rectification de Données Personnelles inexactes : en tenant compte des finalités du Traitement, la Personne Concernée a le droit de demander à ce que ses Données Personnelles incomplètes soient complétées, y compris en fournissant une déclaration supplémentaire ;
    3. Obtenir, sans retard injustifié, l'effacement de toutes Données Personnelles lorsque l'un des motifs suivants s'applique : i) lorsque les Données Personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ; ii) lorsque la Personne Concernée retire le Consentement sur lequel le Traitement est fondé et qu'il n'existe pas d'autres fondements légaux ou de motifs légitimes prépondérants pour le Traitement ; iii) lorsque la Personne Concernée s'oppose au Traitement conformément au point g. ci-dessous lorsqu'il n'existe pas de motifs légitimes impérieux pour le Traitement ou la Personne Concernée s'oppose au Traitement à des fins de marketing direct conformément au point h. ci-dessous ; iv) les Données Personnelles ont été traitées illégalement ; v) les Données Personnelles doivent être effacées pour se conformer à une obligation légale à laquelle la Société est soumise ; vi) les Données Personnelles ont été collectées en relation avec l'offre de services de la société de l'information ; qui couvrent tout service, normalement fourni contre rémunération, à distance, au moyen d'équipements électroniques pour le traitement et le stockage de données. Lorsque la Société a rendu publiques les Données Personnelles traitées et qu'elle est obligée de les effacer, la Société prendra des mesures raisonnables, y compris des mesures techniques, pour informer tout Responsable de Traitement des Données Personnelles concernés que la Personne Concernée a demandé l'effacement de tout lien vers, ou copie ou réplication de ses Données Personnelles (en tenant compte de la technologie disponible et du coût de mise en œuvre) et demandera que ces Responsables de Traitement se conforment à la demande.

Les exceptions à ce droit à l'effacement s'appliquent i) lorsque le Traitement est nécessaire à l'exercice du droit à la liberté d'expression et d'information ; ii) pour le respect d'une obligation légale ou pour l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité publique dont est investi le Responsable de Traitement ; iii) pour des raisons d'intérêt
public dans le domaine de la santé publique ; à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; pour la constatation, l'exercice ou la défense de droits en justice ;

    1. Obtenir la limitation du Traitement lorsque l'un des motifs suivants s'applique : i) lorsque l'exactitude des Données Personnelles est contestée (pendant la période nécessaire pour vérifier l'exactitude des données), ii) lorsque le Traitement est illicite et que la Personne Concernée demande la limitation de l'utilisation de ses Données Personnelles, iii) lorsque la Société n'a plus besoin des Données Personnelles pour le Traitement mais qu'elles sont requises par la Personne Concernée pour l'établissement, l’exercice ou la défense de droits en justice et iv) lorsque la Personne Concernée s'est opposée à un Traitement que la Société a fondé sur l'intérêt légitime de cette Société (pendant la période nécessaire pour vérifier si les motifs légitimes de la Société l'emportent sur ceux des Personnes Concernées, le cas échéant) ;
    2. Faire en sorte que la Société communique à chaque Destinataire auquel les Données Personnelles ont été divulguées toute rectification, tout effacement ou toute restriction effectuée conformément aux points (b), (c), (d), sauf si cela s'avère impossible ou implique un effort disproportionné. Le Responsable de Traitement informe la Personne Concernée sur les Destinataires si la Personne Concernée demande cette information ;
    3. Exercer son droit à la portabilité des données et obtenir de la Société le droit de recevoir communication des Données Personnelles qu'il/elle a fournies à la Société, dans un format structuré, couramment utilisé et lisible par machine, et avoir le droit de transmettre ces données à un autre Responsable de Traitement sans entrave de la Société, lorsque le Traitement est fondé sur le Consentement ou sur un contrat et que le Traitement est effectué par des moyens automatisés;
    4. S'opposer à tout moment, pour des motifs légitimes impérieux tenant à la situation particulière de la Personne Concernée, au Traitement des Données Personnelles fondé sur l'intérêt légitime de la Société ;
    5. S'opposer, à tout moment du Traitement, gratuitement et sans avoir à faire état de motifs légitimes, au Traitement des Données personnelles à des fins de marketing direct (y compris le Profilage dans la mesure où il est lié à ce marketing direct).
      1. Afin de permettre aux Personnes Concernées d'exercer efficacement leurs droits, des directives et procédures spécifiques seront mises en place au sein du Groupe CHRISTIAN LOUBOUTIN, au niveau local, pour assurer l'exercice des droits listés ci-dessus. En particulier, les Employés du Groupe CHRISTIAN LOUBOUTIN qui collectent, traitent ou ont accès aux Données Personnelles seront formés pour reconnaître une demande d'accès, de rectification, d'effacement, de restriction, d'objection ou de portabilité de la part d'une Personne Concernée. Chaque demande doit être reconnue et traitée conformément à la procédure locale en vigueur. Une réponse spécifique est donnée à la Personne Concernée dans un délai raisonnable, c'est-à-dire au plus tard un mois. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre de demandes. La Société informera la Personne Concernée de toute prolongation dans un délai d'un mois à compter de la réception de la demande, en indiquant les raisons du retard. Si la demande est jugée légitime, la Société prendra les mesures nécessaires pour traiter la question en temps utile. Si la demande est refusée, la Personne Concernée sera informée par écrit ou par courrier électronique de la raison et du fait qu'elle peut suivre le mécanisme de plainte interne décrit à la section 5.4.
      2. Le Délégué à la Protection des Données Monde est à la disposition des Responsables de Traitement Locaux et des Personnes Concernées pour les aider à répondre aux demandes des Personnes Concernées, si nécessaire.

5.3 Prise de décision individuelle automatisée, y compris Profilage

  1. Sous réserve du Droit Applicable à la Protection des Données, chaque Personne Concernée a le droit de ne pas faire l'objet d'une décision fondée uniquement sur un Traitement automatisé, y compris de Profilage, qui produit des effets juridiques à l'égard de cette Personne Concernée ou l'affecte de manière significative.
  2. Ce qui précède ne s'applique pas si la décision :
    • est nécessaire à la conclusion ou à l'exécution d'un contrat entre la Personne Concernée et la Société ;
    • est autorisée par le Droit Applicable à la Protection des Données,  auquel la Société est soumise et qui prévoit également des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la Personne Concernée ;
    • ou est fondé sur le Consentement explicite de la Personne Concernée.

5.4 Mécanisme interne de plainte

  1. Si une Personne Concernée considère raisonnablement qu'il y a eu une violation des présentes BCR ou que les Données Personnelles de cette Personne Concernée sont traitées d'une manière incompatible avec ces BCR, la Personne Concernée peut déposer une plainte, conformément à la Procédure de gestion des plaintes du Groupe CHRISTIAN LOUBOUTIN, pour obtenir des mesures de correction adéquates et, le cas échéant, une compensation adéquate (voir section 6.3). Par conséquent :
    1. Des directives et procédures spécifiques seront mises en place au sein du Groupe CHRISTIAN LOUBOUTIN, au niveau local, afin de garantir la cohérence du mécanisme de plainte et de veiller à ce que les Personnes Concernées soient suffisamment informées de ces procédures. Les plaintes sont traitées par le Délégué à la Protection des Données Monde. Lorsqu'une plainte est enregistrée, elle doit faire l'objet d'un accusé de réception et être traitée dans un délai raisonnable, c'est-à-dire être clôturée au plus tard un mois après la réception de la demande. Ce délai peut être prolongé d'un mois supplémentaire si nécessaire, en tenant compte de la complexité et du nombre de demandes. Le Groupe CHRISTIAN LOUBOUTIN informera la Personne Concernée de toute prolongation dans un délai d'un mois à compter de la réception de la demande, en indiquant les raisons du retard.
    2. Tous les représentants et Employés du Groupe CHRISTIAN LOUBOUTIN doivent, au niveau local, faire de leur mieux pour aider le Responsable de Traitement Local à régler une plainte (voir la section 6.3).
    3. Toute plainte relative à la protection des Données reçue par un Employé doit être communiquée sans délai au Délégué à la Protection des Données Monde.
  2. Chaque Société CHRISTIAN LOUBOUTIN doit mettre à disposition sur un environnement en ligne, notamment sur www.christianlouboutin.com, des outils ou des procédures pratiques permettant aux Personnes Concernées de déposer leurs plaintes, dont au moins un des éléments ci-dessous :
    1. Lien internet vers le formulaire de plainte ;
    2. Adresse électronique ;
    3. Numéro de téléphone ;
    4. Adresse postale.

Afin d’éviter toute confusion, il est entendu que si la Personne Concernée n'est pas satisfaite des réponses du Délégué à la Protection des Données Monde ou si la Personne Concernée préfère contourner le mécanisme de plainte interne disponible, lorsque le RGPD est applicable, la Personne Concernée a le droit de déposer une plainte i) devant l'Autorité de Contrôle compétente de l'État membre de l'UE de la résidence habituelle de la Personne Concernée, de son lieu de travail ou du lieu de l'infraction présumée, et/ou ii) devant la juridiction compétente de l'État membre dans lequel le Responsable de Traitement Local ou le Sous-Traitant local a un établissement ou dans lequel la Personne Concernée a sa résidence habituelle (voir section 6.3 ci-dessous).

Avant de saisir l'Autorité de Contrôle ou la juridiction compétente, la Personne Concernée est informée de la possibilité de résoudre une réclamation par le biais du mécanisme de plainte interne décrit ci-dessus avant de saisir l'Autorité de Contrôle ou la juridiction compétente.

5.5 Sécurité et confidentialité / Relations avec les Sous-Traitants membres du Groupe

5.5.1 Principes généraux de sécurité et de confidentialité

C'est une priorité du Groupe CHRISTIAN LOUBOUTIN que de s’assurer que :

  1. Chaque Responsable de Traitement Local met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les atteintes aux Données Personnelles, en tenant compte de l'état de l'art technologique et du coût de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variable pour les droits et libertés des Personnes Concernées. En outre, les mesures mises en œuvre garantissent un niveau de sécurité approprié au regard des risques présentés par le Traitement et la nature des Données Personnelles à protéger. De surcroit, les mesures mises en œuvre garantissent (i) un niveau de sécurité adapté aux risques présentés par le Traitement et la nature des Données Personnelles à protéger, y compris, le cas échéant, la pseudonymisation et le chiffrement des Données Personnelles ; (ii) la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et services du Traitement ; (iii) la capacité à rétablir la disponibilité et l'accès aux Données Personnelles en temps utile en cas d'incident physique ou technique ; et (iv) un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du Traitement. Par conséquent, des politiques et procédures appropriées en matière de sécurité de l'information seront conçues et mises en œuvre au sein du Groupe CHRISTIAN LOUBOUTIN afin de mettre en place toutes les mesures physiques et logistiques appropriées. Ces politiques et procédures seront régulièrement auditées (voir la section 5.8).
  2. Les Catégories Particulières de Données Personnelles sont traitées avec des mesures de sécurité renforcées et spécifiques.
  3. L'accès aux Données Personnelles est limité aux destinataires dans le seul but d'accomplir leurs tâches professionnelles. Des sanctions disciplinaires peuvent être prises si un Employé du Groupe CHRISTIAN LOUBOUTIN ne respecte pas les politiques et procédures appropriées en matière de sécurité des informations.
  4. En cas de Violation de Données Personnelles (voir Procédure interne de notification d'une violation de données personnelles du Groupe CHRISTIAN LOUBOUTIN) :
    • Notifier toute Violation de Données Personnelles au Délégué à la Protection des Données Monde sans délai excessif ;
    • Documenter toute Violation de Données Personnelles (comprenant les faits relatifs à la Violation de Données Personnelles, son effet et les mesures correctives prises) et mettre la documentation à la disposition des Autorités de Contrôle sur demande ;
    • Notifier la Violation de Données Personnelles à l'Autorité de Contrôle compétente sans retard excessif et, si possible, au plus tard 72 heures après en avoir pris connaissance, à moins que la Violation de Données Personnelles ne soit pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques ;
    • Notifier aux Personnes Concernées lorsque la Violation de Données Personnelles est susceptible d'entraîner un risque élevé pour leurs droits et libertés.

5.5.2 Relations avec les Sous-Traitants qui sont membres du Groupe CHRISTIAN LOUBOUTIN

Lorsqu'un Responsable de Traitement Local demande à ce qu'une autre Société entreprenne le Traitement de Données Personnelles (le « Sous-Traitant Désigné ») pour son compte (pour une période à court terme ou à long terme, selon le cas), les mesures suivantes doivent être appliquées :

  1. Lorsque le Traitement de Données Personnelles est effectué, le Responsable de Traitement Local i) choisit un Sous-Traitant Désigné présentant des garanties suffisantes au regard des Mesures de Sécurité Techniques et Organisationnelles régissant le Traitement à réaliser, et ii) doit veiller au respect de ces mesures. Toute Société qui est liée par les BCR en signant les présentes BCR à la date des présentes ou la signature de l'accord intra-groupe BCR en Annexe 4 s'engage à fournir ces garanties suffisantes et à respecter toutes les mesures contenues dans les présentes lorsqu'elle agit en tant que Sous-Traitant Désigné pour le compte d'un Responsable de Traitement Local.
  2. Le Responsable de Traitement Local peut décider de faire appel aux Sociétés CHRISTIAN LOUBOUTIN en tant que Sous-Traitant et/ou Sous-Traitant ultérieur Désigné dans le but de traiter le type de Données Personnelles et les catégories de Personnes Concernées tels que décrits dans l'Annexe 3 des BCR, mais strictement pour les sujets et les durées spécifiés par le Responsable de Traitement Local et dans le respect des dispositions énumérées ci-dessous.
  3. Le Sous-Traitant Désigné doit traiter les Données Personnelles uniquement sur instructions documentées du Responsable de Traitement Local, à moins que le Sous-Traitant Désigné ne soit tenu de réaliser le Traitement par la loi, auquel cas le Sous-Traitant doit en informer rapidement le Responsable de Traitement Local (à moins qu'une telle notification ne soit explicitement interdite par la loi ou des motifs importants d'intérêt public).
  4. Le Sous-Traitant Désigné (et/ou le Sous-Traitant ultérieur) s'engage à :
    • S'assurer que les personnes autorisées à traiter les Données Personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;
    • Mettre en œuvre des Mesures de Sécurité Techniques et Organisationnelles pour protéger suffisamment les Données Personnelles contre une Violation de Données Personnelles ;
    • Mettre à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect de ces obligations et permettre et contribuer aux audits de ses activités de Traitement, y compris les inspections menées par le Responsable de Traitement Local ou un autre auditeur mandaté par le Responsable de Traitement Local ;
    • Respecter les conditions d'engagement d'un autre Sous-Traitant (voir ci-dessous) ;
    • Ne pas divulguer les Données Personnelles à d'autres Sociétés CHRISTIAN LOUBOUTIN pour de la sous-traitance ultérieure sans en informer le Responsable de Traitement Local et à tout Tiers en dehors du Groupe CHRISTIAN LOUBOUTIN sans le consentement explicite préalable du Responsable de Traitement Local (voir également la section 5.6 ci-dessous concernant les Transferts de Données en dehors du Groupe CHRISTIAN LOUBOUTIN). En cas d’autorisation de divulgation, toutes les obligations en matière de protection des données que celles énoncées dans les présentes seront imposées de manière identique par le Sous-Traitant Désigné au Sous-Traitant ultérieur par le biais d'un contrat. Lorsque ce Tiers ne remplit pas ses obligations en matière de protection des données en vertu de ce contrat, le Sous-Traitant Désigné reste entièrement responsable de l'exécution des obligations du Tiers vis-à-vis du Responsable de Traitement Local ;
    • Se conformer aux instructions du Responsable de Traitement Local en matière de sécurité et de confidentialité ;
    • N'utiliser les Données Personnelles que dans la mesure nécessaire à l'exécution des obligations liées à la réalisation des prestations confiées par le Responsable de Traitement Local ;
    • Ne pas vendre, céder, louer et plus généralement transférer les Données Personnelles du Responsable de Traitement Local pour quelque raison que ce soit sans l'accord écrit et préalable du Responsable de Traitement Local ;
    • Informer le Responsable de Traitement Local si, selon lui, une instruction enfreint le Droit Applicable à la Protection des Données ;
    • Mettre en œuvre des procédures de gestion des Violations de Données Personnelles et notifier le Responsable de Traitement sans retard injustifié après avoir pris connaissance d'une Violation de Données Personnelles ;
    • Aider le Responsable de Traitement Local, en tenant compte de la nature du Traitement, en mettant en place les Mesures Techniques et Organisationnelles appropriées, dans la mesure où cela est possible, pour l'accomplissement de l'obligation du Responsable de Traitement Local de répondre aux demandes d'exercice des droits de la Personne Concernée, comme indiqué à la section 5.2 ci-dessus ;
    • Aider le Responsable de Traitement Local à assurer le respect de ses obligations en matière de sécurité des Données Personnelles, de notification d'une Violation de Données Personnelles, d’analyse d'impact relative à la protection des données et de consultation préalable du Délégué à la Protection des Données Monde (si nécessaire) ;
  5. À l'issue des travaux à effectuer, le Sous-Traitant Désigné s'engage à effacer toutes les Données Personnelles transférées (y compris les copies existantes) ou, si une obligation légale de conservation des Données est applicable, à les conserver, à condition que des Mesures de Sécurité Techniques et Organisationnelles appropriées soient prises pour protéger les Données Personnelles contre toute forme illicite de Traitement.
  6. Le Responsable de Traitement Local accepte qu'une Société CHRISTIAN LOUBOUTIN agissant en tant que Sous-Traitant puisse utiliser une autre Société au sein du Groupe CHRISTIAN LOUBOUTIN pour la sous-traitance ultérieure. Dans ce cas, le Sous-Traitant initial s'engage à informer le Responsable de Traitement Local de tout changement prévu concernant les Sous-Traitants, afin de donner au Responsable de Traitement Local la possibilité de s'opposer à ce changement.
  7. Si un Sous-Traitant détermine les finalités et les moyens du Traitement, ce dernier est considéré comme le Responsable de Traitement en ce qui concerne ce Traitement.
  8. Le Sous-Traitant désigné doit tenir un Registre des Activités de Traitement effectuées pour le compte du Responsable de Traitement Local.
  9. Le Sous-Traitant Désigné sera tenu responsable de tout dommage causé par le Traitement lorsqu'il n'a pas respecté les obligations des BCR spécifiquement applicables à un Sous-Traitant ou lorsqu'il a agi en dehors ou contrairement aux instructions légales du Responsable de Traitement Local (sauf s'il prouve qu'il n'est aucunement responsable du fait générateur du dommage).
  10. Lorsqu'un Responsable de Traitement et un Sous-Traitant (ou plus d'un Responsable de Traitement ou d'un sous-traitant) sont impliqués dans le même Traitement et qu'ils sont responsables de tout dommage causé par le Traitement, chacun d'entre eux est responsable de l'intégralité du dommage afin d'assurer une indemnisation effective des Personnes Concernées. Lorsqu'un Responsable de Traitement ou un Sous-Traitant a payé la totalité de l'indemnité pour le dommage subi, ce Responsable de Traitement ou ce Sous-Traitant a le droit de réclamer aux autres Responsables de Traitement ou Sous-Traitants impliqués dans le même Traitement la partie de l'indemnité correspondant à leur part de responsabilité dans le dommage.
  11. Le Sous-Traitant Désigné indemnisera le Responsable de Traitement Local pour toute perte, tout dommage ou toute réclamation résultant du manquement d'un Sous-Traitant à ses obligations en vertu de la présente section, notamment en ce qui concerne le Traitement des Données Personnelles ou la mise en œuvre des Mesures de Sécurité Techniques et Organisationnelles, sous réserve de dispositions contraires incluses dans les accords intra-groupe BCR conclus par les Sociétés CHRISTIAN LOUBOUTIN.

5.5.3. Relations entre les Responsables Conjoints membres du groupe CHRISTIAN LOUBOUTIN

Lorsque deux ou plusieurs Responsables de Traitement au sein du Groupe CHRISTIAN LOUBOUTIN déterminent conjointement les finalités et les moyens du Traitement, ils sont considérés comme des Responsables Conjoints et s'engagent à ce qui suit :

  1. Décrire et documenter clairement le Traitement effectué par chaque Responsable Conjoint concernant le Traitement de Données Personnelles concerné ;
  2. Mettre en œuvre le Traitement des Données Personnelles conformément aux exigences du RGPD et tel que reflété dans les Registres des Activités de Traitement et autres documents liés au Traitement des Données Personnelles (tels que l’analyse d'impact relative à la protection des données) ;
  3. Convenir de s'informer mutuellement avant de mettre en œuvre toute modification du Traitement des Données Personnelles afin d'analyser l'impact de cette modification sur la conformité du Traitement des Données Personnelles et convenir des mesures et des conditions de mise en œuvre de ladite modification (par exemple, modification de la notice d'information), le cas échéant ;
  4. Communiquer aux Personnes Concernées qui en font la demande l'essence de cet accord et convenir des moyens utilisés pour cette communication ;
  5. Décider quel Responsable Conjoint sera chargé de fournir la notice d'information à la Personne Concernée et de recueillir le Consentement (quand il est requis) des Personnes Concernées. À cet égard, les Responsables Conjoints du traitement conviennent que le Responsable Conjoint qui procédera à la collecte des Données Personnelles auprès de la Personne Concernée sera chargé de ces exigences ;
  6. Qu'en cas de demande ou de réclamation d'une Personne Concernée, le Responsable Conjoint qui a reçu la réclamation s'engage à informer l'autre Responsable Conjoint et à traiter la demande au nom de l'autre Responsable Conjoint conformément à la section 5.4 (Mécanisme interne de plainte) et à tenir l'autre Responsable Conjoint informé des réponses fournies aux Personnes Concernées. L'autre Responsable Conjoint s'engage à fournir une assistance et une coopération raisonnables, afin de permettre au Responsable Conjoint de répondre aux demandes ou aux réclamations présentées par les Personnes Concernées ;
  7. Que le Responsable Conjoint qui est chargé de la collecte des Données Personnelles est chargé d'établir et de mettre à jour (si nécessaire) le Registre des Activités de Traitement au nom de tous les Responsables Conjoints et de communiquer ce registre aux autres Responsables Conjoints sur demande. L'autre Responsable Conjoint s'engage à fournir une assistance et une coopération raisonnables pour permettre l'établissement du Registre des Activités de Traitement ;
  8. Que le Responsable Conjoint qui est en charge de la collecte des Données Personnelles est en charge de déterminer si une analyse d'impact relative à la protection des données est nécessaire et si c'est le cas de :
    1. Informer l'autre Responsable Conjoint de ce fait et réaliser une analyse d'impact relative à la protection des données ;
    2. Informer l'autre Responsable Conjoint i) du résultat de l’analyse d'impact relative à la protection des données, ii) de la répartition proposée des responsabilités de chaque Responsable Conjoint de Traitement en ce qui concerne les actions à mettre en œuvre et iii) de la nécessité ou non de consulter préalablement l'Autorité de Contrôle ;
    3. L'autre Responsable Conjoint s'engage à fournir une assistance et une coopération raisonnables concernant la réalisation et l'achèvement de l'analyse d'impact relative à la protection des données et à valider explicitement la décision/les résultats de l'analyse d'impact relative à la protection des données, y compris un accord des Responsables Conjoints de Traitement pour consulter une Autorité de Contrôle ;
  9. Le Responsable Conjoint chargé de la collecte des Données Personnelles est chargé de réaliser une évaluation de la conformité du Traitement des Données Personnelles (lorsqu'une analyse d'impact relative à la protection des données n'est pas nécessaire) et d'informer l'autre Responsable Conjoint i) du résultat de l'évaluation de la conformité et ii) de la répartition proposée des responsabilités de chaque Responsable Conjoint en ce qui concerne les actions à mettre en œuvre. L'autre Responsable Conjoint s'engage à fournir une assistance et une coopération raisonnables en ce qui concerne la réalisation et l'achèvement de l'évaluation de la conformité et à valider explicitement la décision/les résultats en rapport avec l'évaluation de la conformité en matière de protection des données, y compris en ce qui concerne les périodes de conservation des données à mettre en œuvre ;
  10. Pour préserver la sécurité du Traitement des Données Personnelles et prévenir toute Violation de Données Personnelles, conformément à la section 5.5.2 ;
  11. Que le Responsable Conjoint dont le système d'information a été victime de la Violation de Données Personnelles (« la Partie Concernée ») devra informer l'autre Responsable Conjoint et s'engager à respecter la section 5.5.1 (par exemple, la notification au Délégué à la Protection des Données désigné, etc.). Les Responsables Conjoints s'engagent à convenir du contenu de la notification à envoyer à l'Autorité de Contrôle et aux Personnes Concernées dans un délai compatible avec les exigences du RGPD. Dans le cas où, la Violation de Données Personnelles se produit dans le système d'information d'un Sous-Traitant (au sein ou en dehors du Groupe CHRISTIAN LOUBOUTIN), les Parties conviennent que le Responsable Conjoint qui a initié l'implication de ce Sous-Traitant sera en charge de la gestion de la Violation de Données Personnelles ;
  12. Se conformer à la section 5.5.2 en cas de sous-traitance au sein du Groupe CHRISTIAN LOUBOUTIN. Dans ce cas, le Responsable Conjoint devra également informer l'autre Responsable Conjoint ;
  13. Pour se conformer à la section 5.6 en cas de Transfert de Données à un Sous-Traitant et à un Responsable de Traitement en dehors du Groupe CHRISTIAN LOUBOUTIN. Dans ce cas, le Responsable Conjoint devra obtenir le consentement écrit préalable de l'autre Partie. En outre, en cas de sous-traitance en dehors du Groupe CHRISTIAN LOUBOUTIN, le Responsable Conjoint qui prend l'initiative de faire intervenir le Sous-Traitant sera chargé de la négociation de l'accord écrit avec le Sous-Traitant ou le Responsable de Traitement qui sera conclu au nom de tous les Responsables Conjoints (voir également pour plus de détails la section 5.5.2) ;
  14. Documenter ses obligations respectives en relation avec le Traitement des Données Personnelles tel que décrit dans cette section et mettre à la disposition de l'autre Responsable Conjoint, sur demande et dans un délai raisonnable, toutes les informations et autres documents demandés nécessaires pour démontrer le respect de son obligation ;
  15. Être audité par l'autre Responsable Conjoint afin de vérifier si l'autre Responsable Conjoint respecte ses obligations ;
  16. Les Responsables Conjoints sont conjointement responsables de tout dommage causé par le Traitement et chaque Responsable Conjoint est tenu responsable de l'intégralité du dommage afin d'assurer une indemnisation effective de la Personne Concernée. Lorsqu'un Responsable Conjoint a payé la totalité de l'indemnité pour le dommage subi, ce Responsable Conjoint a le droit de réclamer aux autres Responsables Conjoints impliqués dans le même Traitement la partie de l'indemnité correspondant à leur part de responsabilité dans le dommage.

5.6 Restrictions relatives aux Transferts de Données et aux Transferts de Données ultérieurs vers des Sous-Traitants et des Responsables de Traitement externes

Lorsqu'un Responsable de Traitement Local demande à un Tiers autre qu'une Société CHRISTIAN LOUBOUTIN d’entreprendre le Traitement de Données Personnelles en tant que Sous-Traitant ou Responsable de Traitement (un Sous-Traitant Externe ou un Responsable de Traitement Externe), les mesures suivantes doivent être appliquées :

  1. Les Sous-Traitants Externes situés au sein de l'EEE ou dans un pays reconnu par la Commission européenne comme assurant un niveau de protection adéquat sont liés par un accord écrit stipulant que le Sous-Traitant n'agit que sur instructions du Responsable de Traitement Local et est responsable de la mise en œuvre des mesures de sécurité et de confidentialité adéquates (voir section 5.5.1). Le Délégué à la Protection des Données Monde est en mesure de fournir des modèles de clauses appropriées à un Responsable de Traitement Local au sein du Groupe CHRISTIAN LOUBOUTIN.
  2. Tous les Transferts de Données de l'EEE vers des Responsables de Traitements Externes situés en dehors de l'EEE dans un pays non reconnu par la Commission européenne comme assurant un niveau de protection adéquat doivent respecter les règles européennes sur les flux de données transfrontaliers (articles 46 et 49 du RGPD), par exemple en faisant usage des Clauses Contractuelles Types de l'UE approuvées par la Commission européenne le 4 juin 2021 (2021/914) (Clauses Contractuelles Types de protection des données approuvées par la Commission européenne), des clauses contractuelles types de protection des données adoptées par une Autorité de Contrôle et approuvées par la Commission européenne, un code de conduite approuvé, un mécanisme de certification approuvé, des clauses contractuelles entre une Société CHRISTIAN LOUBOUTIN et le Responsable de Traitement Externe soumises à l'autorisation de l'Autorité de Contrôle compétente ou des dérogations pour des situations spécifiques. En outre, pour la relation entre Responsables Conjoints, un accord écrit doit être conclu avec tous les Responsables de Traitements Externes (situé à l'intérieur ou à l'extérieur de l'EEE) stipulant qu'ils doivent, de manière transparente, déterminer leurs responsabilités respectives en matière de respect des obligations prévues par le RGPD, notamment en ce qui concerne l'exercice des droits de la Personne Concernée (voir section 5.2) et leurs devoirs respectifs de fournir les informations à ladite Personne Concernée, au moyen d'un arrangement entre eux, à moins que, et dans la mesure où, les responsabilités respectives des Responsables de Traitement sont déterminées par le droit de l'Union européenne ou de l'État membre auquel les Responsables de Traitement sont soumis. Le Délégué à la Protection des Données Monde, sera en mesure de fournir des modèles de clauses appropriées à un Responsable de Traitement Local au sein du Groupe CHRISTIAN LOUBOUTIN.
  3. Tous les Transferts de Données de l'EEE vers des Sous-Traitants Externes situés en dehors de l'EEE dans un pays non reconnu par la Commission européenne comme assurant un niveau de protection adéquat doivent respecter les règles relatives aux Sous-Traitants (articles 28 et 49 du RGPD) en plus des règles relatives aux flux de données transfrontaliers (articles 46 et 49 du RGPD), telles qu'énumérées à la section ci-dessus.

5.7. Programmes de formation

Tout Employé du Groupe CHRISTIAN LOUBOUTIN, et en particulier les nouveaux Employés, qui collecte, traite ou a accès à des Données Personnelles ou qui est impliqué dans le développement d'outils utilisés pour traiter des Données Personnelles, doit bénéficier de programmes de formation afin d'améliorer ses compétences pratiques et ses connaissances relatives à la protection des données et aux questions de protection des données, et en particulier :

  1. Les BCR et toutes les directives, procédures ou politiques connexes doivent être mises à la disposition de chaque Employé.
  2. L'accès aux BCR et à toutes les directives, procédures ou politiques connexes sera accordé à tout nouvel Employé du Groupe CHRISTIAN LOUBOUTIN. Des avis internes seront également transmis au sein du Groupe CHRISTIAN LOUBOUTIN afin de sensibiliser les Employés aux BCR.
  3. Les nouveaux Employés qui collectent, traitent ou ont accès à des Données Personnelles doivent suivre un programme de formation sur la confidentialité des données. Ces formations seront organisées conformément au programme de formation sur la confidentialité des données.
  4. Au niveau local, le Délégué à la Protection des Données Monde améliore les programmes de formation à la confidentialité des données décrits ci-dessus en y ajoutant toute exigence locale pertinente en matière de protection des données.

5.8. Programme d'audit

  1. Des audits sur la protection des données sont effectués régulièrement (sous réserve de lois locales plus strictes, au moins un audit tous les 3 ans) par des équipes d'audit accréditées internes ou externes afin de garantir que les BCR et toutes les politiques, procédures ou directives connexes sont mises à jour et appliquées.
  2. Afin de sélectionner de manière appropriée les Sociétés CHRISTIAN LOUBOUTIN à auditer, le Délégué à la Protection des Données Monde fournira à chaque Responsable de Traitement Local un questionnaire portant sur les questions de confidentialité afin qu'il puisse mener à bien un processus de contrôle interne. En fonction des résultats, le Groupe CHRISTIAN LOUBOUTIN décidera d'effectuer ou non un audit.
  3. Les audits sur la protection des données doivent couvrir tous les aspects des BCR et toutes les politiques, procédures ou lignes directrices connexes, y compris les méthodes permettant de s'assurer que des mesures correctives seront prises. Toutefois, le champ d'application de chaque audit peut être renforcé pour se limiter à des aspects limités des BCR et/ou des politiques, procédures ou directives connexes, y compris les méthodes permettant de s'assurer que des mesures correctives seront prises.
  4. Les audits sur la protection des données sont décidés directement par le Délégué à la Protection des Données Monde, soit de sa propre initiative, soit à la demande expresse du Responsable de Traitement Principal, d'un Responsable de Traitement Local ou du Délégué à la Protection des Données Monde. Les résultats de tous les audits sont communiqués au conseil d'administration du Responsable de Traitement, au Responsable de Traitement Local et au Délégué à la Protection des Données Monde.
  5. L'Autorité de Contrôle compétente a accès aux résultats de l'audit sur demande. Chaque Responsable de Traitement Local accepte d'être audité par une Autorité de Contrôle compétente si le droit applicable l'exige.
  6. Sur la base des résultats de l'audit et des rapports mentionnés à la section 6.2 ci-dessous, le Responsable de Traitement et/ou le Délégué à la Protection des Données Monde décidera de toute mesure de sécurité juridique, technique ou organisationnelle appropriée afin d'améliorer la gestion de la protection des données au sein du Groupe CHRISTIAN LOUBOUTIN, tant au niveau mondial que local.

6.1. Caractère contraignant interne

Les présentes BCR lient toutes les Sociétés CHRISTIAN LOUBOUTIN qui ont signé les présentes BCR ou l’accord intra-groupe BCR (Annexe 4) exprimant ainsi leur acceptation des BCR.

Chaque Société CHRISTIAN LOUBOUTIN qui signe les présentes BCR ou l’accord intra-groupe BCR est responsable de l'administration et de la supervision de la mise en œuvre de ces BCR, y compris de rendre ces BCR contraignantes pour les Employés.

Conformément au droit du travail local applicable, les BCR sont rendus opposables aux Employés soit par des contrats de travail, soit par des conventions collectives, soit par le respect des politiques d'entreprise pertinentes dans lesquelles les BCR ont été intégrées.

6.2. Conformité et contrôle de la conformité

Le Groupe CHRISTIAN LOUBOUTIN a mis en place un réseau de protection des données chargé de contrôler le respect des BCR composé d'un Délégué à la Protection des Données Monde au niveau du Responsable de Traitement Principal, nommé conformément à l'article 37 du RGPD. Le Délégué à la Protection des Données Monde rend directement compte au niveau de direction le plus élevé, conformément à l'article 38.3 du RGPD.

Au niveau local, le Délégué à la Protection des Données Monde est responsable de la mise en œuvre des BCR. Ainsi :

  1. Le Délégué à la Protection des Données Monde informe et conseille les Responsables de Traitement Locaux et les Employés qui effectuent le Traitement de leurs obligations ;
  2. Le Délégué à la Protection des Données Monde prend toutes les mesures raisonnables pour s'assurer que les Responsables de Traitement Locaux respectent les dispositions des BCR. À cette fin, une « liste de contrôle de conformité aux BCR » est utilisée au niveau local pour effectuer des contrôles de conformité. Les audits sur la protection des données décidés en dernier ressort par le Délégué à la Protection des Données Monde peuvent porter sur la manière dont ces contrôles de conformité sont effectués au niveau local.
  3. Le Délégué à la Protection des Données Monde se tient à la disposition des Responsables de Traitement Locaux, des Sous-Traitants membres du Groupe CHRISTIAN LOUBOUTIN et des Personnes Concernées pour leur apporter toute l'aide nécessaire en matière de protection des données, notamment en ce qui concerne les BCR.
  4. Le Délégué à la Protection des Données Monde ou la personne de contact doit fournir des conseils, sur demande, en ce qui concerne la réalisation de toute analyse d'impact relative à la protection des données et contrôler sa performance, le cas échéant (voir la Méthodologie d’analyse d'impact relative à la protection des données).
  5. Le Délégué à la Protection des Données Monde rend compte chaque année au Responsable de Traitement Principal de toutes les actions et mesures prises en matière de protection des données (programmes de formation à la protection des données, Registre des activités de Traitement mises en œuvre, gestion des plaintes, etc.)
  6. Le Délégué à la Protection des Données Monde fournit, le cas échéant, tous les modèles appropriés (c'est-à-dire les notices d'information, les clauses contractuelles, etc.) à chaque Responsable de Traitement Local au sein du Groupe CHRISTIAN LOUBOUTIN, à toute fin liée à une question de protection des données.
  7. Le Délégué à la Protection des Données Monde fournit, sur demande, des conseils concernant la réalisation de toute analyse de l'impact relative à la protection des données et le suivi de ses résultats, le cas échéant ;
  8. Le Délégué à la Protection des Données Monde coopère avec les Autorités de Contrôle et fait office de point de contact pour les Autorités de Contrôle sur les questions relatives au Traitement.

En outre, en termes de contrôle de la conformité, des mesures spécifiques seront prises pour assurer la bonne mise en œuvre des BCR :

  1. Le Délégué à la Protection des Données Monde rend régulièrement compte au Responsable de Traitement Principal de la mise en œuvre des BCR au sein de chaque Responsable de Traitement Local et de chaque Sous-Traitant membre du Groupe CHRISTIAN LOUBOUTIN.
  2. Les résultats de tous les rapports établis par le Délégué à la Protection des Données Monde sont communiqués au Responsable de Traitement Principal (en particulier à la direction du Responsable de Traitement Principal) et au Responsable de Traitement Local.
  3. Sur la base des résultats de l'audit (voir la section 5.8 ci-dessus) et des rapports mentionnés ci-dessus, le Responsable de Traitement Principal (en particulier le comité exécutif du Responsable de Traitement Principal), le Délégué à la Protection des Données Monde et le(s) Responsable(s) de Traitement Locaux décident de toute mesure appropriée afin d'améliorer la gestion de la protection des données au sein du Groupe CHRISTIAN LOUBOUTIN, tant au niveau mondial que local. Toute mesure qui serait décidée par l'une des parties prenantes concernées sera prise en coopération avec les autres, qui seront dûment informées de cette décision, le cas échéant.
  4. Le Délégué à la Protection des Données Monde assurera la liaison avec l'Autorité de Contrôle Cheffe de File conformément à l'article 56 du RGPD.

6.3. Droits des tiers bénéficiaires

  1. Une Personne Concernée qui prétend avoir subi un dommage résultant directement d'une violation des dispositions des BCR énumérées ci-dessous et/ou de l'Annexe 1 des présentes BCR, et qui n'est pas satisfaite de la résolution de sa plainte, telle que décrite à la section 5.4, ou qui souhaite contourner le mécanisme interne de plainte et porter sa plainte directement devant l'Autorité de Contrôle compétente, peut chercher à faire valoir ses droits de tiers bénéficiaire devant l'Autorité de Contrôle compétente. La Procédure de gestion des plaintes liées aux BCR doit permettre aux Personnes Concernées de traiter toute plainte relative à la protection des données en interne. Les Personnes Concernées sont toutefois libres de déposer une plainte directement auprès de l'Autorité de Contrôle compétente ou des tribunaux compétents, comme le prévoient le Droit Applicable à la Protection des Données .
  2. Une Personne Concernée a le droit de faire appliquer, en tant que tiers bénéficiaire, les dispositions des BCR relatives à :
    • Les principes de protection des données, en particulier :
      • Limitation des finalités, qualité des données et minimisation des données (voir section 2.2 et Annexe 1) ;
      • Licéité du Traitement des Données Personnelles (y compris en ce qui concerne le Traitement des Catégories Particulières de Données Personnelles (voir la section 2.2 et l'Annexe 1) ;
      • Principe de loyauté et de transparence, et droit à l'information et à un accès facile aux BCR (voir section 2.2 et 5.1 et Annexe 1) ;
      • Limitation de la conservation (voir section 2.2 et Annexe 1) ;
      • Protection des données dès la conception et par défaut (voir section 2.2 et Annexe 1) ;
      • Principes de sécurité et de confidentialité (voir section 5.5).
    • Droits d'accès, de rectification, d'effacement, de limitation du Traitement, d'opposition au Traitement et droit à la portabilité des données (voir section 2.2 et Annexe 1) ;
    • Droits en cas de prise de décision individuelle automatisée (voir section 2.2. et Annexe 1) ;
    • Restrictions sur les Transferts de Données ultérieurs en dehors du Groupe CHRISTIAN LOUBOUTIN (voir section 5.6) ;
    • Législation nationale empêchant le respect des BCR (voir section 7.2)
    • Droit d’adresser une plainte par le biais du mécanisme interne de plainte (voir section 5.4) ;
    • Obligations de coopération avec les Autorités de Contrôle (voir section 6.6) ;
    • Dispositions relatives à la responsabilité et à la compétence (voir sections 6.3 et 6.4).

En règle générale, en ce qui concerne la compétence pour toute réclamation, chaque Personne Concernée a le droit de faire valoir ses droits, à sa meilleure convenance.

    • à l'Autorité de Contrôle compétente (lorsque le RGPD est applicable, il appartient à la Personne Concernée de choisir entre l'Autorité de Contrôle de l'État membre de sa résidence habituelle, de son lieu de travail ou du lieu de l'infraction présumée) ;
    • ou devant le tribunal compétent (lorsque le RGPD est applicable, la Personne Concernée aura le choix d'agir devant les tribunaux de l'État membre de l'UE où le Responsable de Traitement Local ou le Sous-Traitant a un établissement ou dans lequel la Personne Concernée a sa résidence habituelle).
  1. Conformément à ce qui précède, chaque Personne Concernée qui a subi un dommage a le droit d'obtenir réparation et, le cas échéant, d'être indemnisée selon ce que peut ordonner le tribunal compétent ou l'Autorité de Contrôle compétente (par exemple, recours judiciaires) ou selon ce que décide le mécanisme interne de plaintes, s'il est utilisé.
  2. Les BCR doivent toujours être facilement accessibles à chaque Personne Concernée, dans les conditions décrites à la section 5.1.
  3. Les Sociétés CHRISTIAN LOUBOUTIN liées par les BCR se soumettent à une décision d'un tribunal compétent ou d'une Autorité de Contrôle compétente qui est définitive et contre laquelle aucun autre recours n'est possible.

6.4. Responsabilité

Chaque Société CHRISTIAN LOUBOUTIN située dans l'UE qui enfreint les BCR et cause des dommages aux Personnes Concernées sera responsable et devra prendre les mesures correctives nécessaires, à moins que la Société CHRISTIAN LOUBOUTIN concernée puisse démontrer que ces dommages ne peuvent pas lui être imputés, à elle et à ses Fournisseurs, pour toute violation des BCR.

CHRISTIAN LOUBOUTIN SAS assume la responsabilité des actes des autres Sociétés CHRISTIAN LOUBOUTIN situées en dehors de l'UE, et s’engage à prendre les mesures nécessaires pour y remédier, et de payer une compensation pour tout dommage matériel et non matériel résultant de la violation des BCR par ces Sociétés CHRISTIAN LOUBOUTIN, à moins que CHRISTIAN LOUBOUTIN SAS ne puisse démontrer que ces dommages ne peuvent être imputables à une Société CHRISTIAN LOUBOUTIN située en dehors de l'UE ou à ses Fournisseurs.

Lorsque le RGPD est applicable, si une Société CHRISTIAN LOUBOUTIN située en dehors de l'UE viole les BCR, les tribunaux et autres autorités compétentes de l'UE seront compétents et les Personnes Concernées auront les droits et recours contre CHRISTIAN LOUBOUTIN SAS comme si la violation avait été causée par CHRISTIAN LOUBOUTIN SAS.

CHRISTIAN LOUBOUTIN SAS se réserve le droit d'intenter des recours contre les Sociétés CHRISTIAN LOUBOUTIN situées en dehors de l'UE qui ont violé les BCR.

Toutes les Sociétés CHRISTIAN LOUBOUTIN doivent disposer de ressources financières suffisantes pour couvrir le paiement d'indemnités en cas de violation des BCR. La responsabilité entre les parties est limitée aux dommages réels subis. Les dommages indirects (c'est-à-dire les dommages consécutifs tels que les dommages de réputation) ou punitifs (c'est-à-dire les dommages destinés à punir une partie pour sa conduite scandaleuse) sont explicitement exclus.

Les responsabilités susmentionnées ne sont pas affectées par toute action que les Sociétés CHRISTIAN LOUBOUTIN pourraient entreprendre à l'encontre de ses Fournisseurs ou d'autres Tiers potentiellement impliqués dans le traitement des informations.

6.5. Sanctions

Si une violation des BCR est identifiée, que ce soit par des représentants ou des Employés du Responsable de Traitement Local, toute sanction disciplinaire ou action judiciaire appropriée peut être imposée, conformément à la législation locale, à l'initiative du Responsable de Traitement Principal, du Délégué à la Protection des Données Monde et du Responsable de Traitement Local.

Ainsi, le Délégué à la Protection des Données Monde et chaque Responsable de Traitement Local accorderont une attention particulière à tout résultat d'audit (voir la section 5.8) établissant une non-conformité par les représentants ou les Employés, notamment en cas de non-respect des principes de protection des données ou de l'une des directives, procédures et politiques applicables liées à la mise en œuvre des BCR.

6.6. Assistance mutuelle et coopération avec les autorités de contrôle

Les Sociétés CHRISTIAN LOUBOUTIN liées par les BCR s'engagent à coopérer pleinement avec les autorités de surveillance de l'EEE, notamment en répondant dans un délai raisonnable à leurs demandes concernant l'interprétation et l'application des BCR et leurs conseils et recommandations à cet égard, pour autant qu'ils soient conformes au droit applicable.

Les entreprises CHRISTIAN LOUBOUTIN liées par les BCR s'engagent à accepter les audits des autorités de surveillance compétentes de l'EEE et à en fournir les résultats sur demande.

En outre, les membres des Sociétés CHRISTIAN LOUBOUTIN liés par les BCR doivent coopérer et s'entraider pour traiter une demande ou une plainte d'une Personne Concernée (voir la section 5.3) ou une enquête d'une Autorité de Contrôle, sous la supervision du Délégué à la Protection des Données Monde.

Chaque Autorité de Contrôle compétente a le pouvoir de superviser la mise en œuvre des BCR.

7.1. Relations entre les lois nationales et les BCR

CHRISTIAN LOUBOUTIN SAS s'engage à ce que les Sociétés CHRISTIAN LOUBOUTIN et les Employés du Groupe CHRISTIAN LOUBOUTIN se conforment aux dispositions des BCR, ainsi qu'aux dispositions du Droit Applicable à la Protection des Données.

Lorsque le Droit Applicable à la Protection des Données impose un niveau de protection plus élevé pour les Données Personnelles, il prévaut toujours sur les BCR. En cas de doute, les Sociétés CHRISTIAN LOUBOUTIN concernées peuvent consulter les Autorités de Contrôle compétentes et/ou l'Autorité de Contrôle Cheffe de File.

7.2. Actions en cas de législation ou pratique nationale empêchant le respect des BCR

Avant d'utiliser les BCR comme mécanisme de Transfert de Données vers un pays tiers, le Groupe CHRISTIAN LOUBOUTIN s'engage à évaluer, en collaboration avec le Responsable de Traitement Local, s'il existe un élément dans la loi ou la pratique du pays tiers qui pourrait affaiblir l'efficacité des BCR.

À cette fin, ledit Responsable de Traitement Local fera ses meilleurs efforts pour fournir au Groupe CHRISTIAN LOUBOUTIN les sources et informations pertinentes relatives au pays tiers dans lequel il est établi et les lois applicables au Transfert de Données.

  • Une évaluation préalable doit être effectuée avant le Transfert de Données:

Cette évaluation doit prendre en considération :

  • Tous les acteurs participant au Transfert de Données et les canaux de transmission utilisés, ainsi que tout Transfert de Données ultérieur qui pourrait avoir lieu ;
  • Le contexte juridique applicable et les circonstances spécifiques du Transfert de Données, en particulier :
    • Longueur des chaînes de Traitement ;
    • Type de destinataire ;
    • Les finalités pour lesquelles les Données Personnelles sont transférées et traitées (par exemple, la gestion des ressources humaines, la gestion de la paie, la gestion du contrôle d'accès, la gestion des relations avec les clients, prospects et fournisseurs) ;
    • Secteur économique dans lequel le Transfert de Données a lieu ;
    • Catégories de Données Personnelles transférées ;
    • Si les Données Personnelles seront stockées dans le pays tiers ou s'il n'y a qu'un accès à distance aux Données Personnelles stockées dans l'UE/EEE ;
    • Format des Données Personnelles à transférer (c'est-à-dire en texte clair/pseudonymisées ou cryptées) ;
    • Possibilité que les Données Personnelles fassent l'objet de Transferts de Données ultérieurs du pays tiers vers un autre pays tiers ;
    • Toute mesure de protection contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les mesures de protection prévues par les présentes BCR, y compris les mesures appliquées pendant la transmission et au Traitement des Données Personnelles dans le pays de destination.
  • Les lois applicables pour évaluer si elles empiètent sur les engagements contenus dans les BCR, en particulier :
    • Vérifier si les engagements permettant aux Personnes Concernées d'exercer leurs droits dans le cadre des Transferts de Données (tels que les demandes d'accès, de rectification et de suppression des Données personnelles transférées) peuvent être effectivement appliqués en pratique et ne sont pas contrecarrés par une quelconque loi du pays tiers de destination ;
    • Vérifier que le droit de recours accordé à la Personne Concernée en cas d'accès des autorités publiques du pays tiers aux Données Personnelles transférées peut être effectivement appliqué dans la pratique et n'est pas contrecarré par une quelconque loi du pays tiers de destination ;
    • Vérifier que les exigences de divulgation des Données Personnelles aux autorités publiques ou les pouvoirs d'accès aux Données Personnelles accordés à ces autorités publiques (par exemple pour l'application du droit pénal, la supervision réglementaire et la sécurité nationale) sont limités à ce qui est nécessaire et proportionné dans une société démocratique, et ne peuvent pas empiéter sur les engagements contenus dans les BCR ;
  • Les différents aspects du système juridique du pays tiers (énumérés à l'article 45, section 2, du RGPD), tels que :
    • L'État de droit ;
    • L'existence d'une loi complète sur la protection des données ou d'une autorité de contrôle indépendante ;
    • Adhésion aux instruments internationaux prévoyant des garanties en matière de protection des données.

 Lors de l'évaluation spécifique de la loi d'un pays tiers traitant de l'accès aux données par les autorités publiques à des fins de surveillance, le Groupe CHRISTIAN LOUBOUTIN, en collaboration avec le Responsable de Traitement Local, doit prendre en considération :

  • La législation accessible au public ; et,
  • Dans le cas où la législation du pays tiers fait défaut, les facteurs pertinents et objectifs suivants :
    • Éléments démontrant qu'une autorité d'un pays tiers cherchera à accéder aux Données Personnelles avec ou sans la connaissance du Responsable de Traitement Local, à la lumière des précédents, de la législation et de la pratique rapportés ;
    • Éléments démontrant qu'une autorité d'un pays tiers sera en mesure d'accéder aux Données Personnelles par l'intermédiaire du Responsable de Traitement Local ou par l'interception directe du canal de communication à la lumière des précédents rapportés, des pouvoirs juridiques et des ressources techniques, financières et humaines dont elle dispose.

 Ces évaluations seront documentées et seront mises à la disposition de l’Autorité de Contrôle compétente sur demande.

 

  • Mesures à prendre après l'étape d'évaluation, en cas de conflit entre le droit ou les pratiques locales applicables en matière de protection des données et les BCR :
  • Information du Délégué à la Protection des Données Monde et du Responsable du Traitement Principal par le Responsable de Traitement Local.

Si un Responsable de Traitement Local a des raisons de croire que la législation ou les pratiques applicables audit Responsable de Traitement Local l'empêchent de remplir ses obligations en vertu des BCR et ont un effet substantiel sur les garanties fournies par les BCR, le Responsable de Traitement Local doit informer rapidement le Délégué à la Protection des Données Monde et le Responsable de Traitement Principal.

  • Adoption de mesures de protection appropriées par l'Exportateur Local de Données et/ou le Responsable de Traitement Local ou, si cela n'est pas possible, suspension du Transfert de Données.

En cas de conflit entre le droit ou les pratiques locales applicables en matière de protection des données et les engagements pris dans les BCR, le Responsable de Traitement Local doit en informer rapidement le Délégué à la Protection des Données Monde. Le Délégué à la Protection des Données Monde identifiera et suggérera rapidement des mesures appropriées (telles que, par exemple, des mesures de sécurité techniques et organisationnelles pour assurer la sécurité et la confidentialité) qui pourraient être adoptées par l'Exportateur Local de Données et/ou le Responsable de Traitement Local pour faire face à la situation. Si le Délégué à la Protection des Données Monde estime qu'aucune garantie appropriée pour ce Transfert de Données ne peut être assurée, ou si l’Autorité de Contrôle compétente le lui demande, il en informe le Responsable de Traitement et/ou l'Exportateur Local de Données qui, en retour, suspend le Transfert de Données.

  • Notification et information de l'Exportateur Local de Données et de la Personne Concernée.

Plus particulièrement, lorsque toute obligation légale ou pratique à laquelle un Responsable de Traitement Local est soumis dans un pays tiers est susceptible d'avoir un effet négatif substantiel sur les garanties fournies par les BCR, le problème doit être signalé à l'Exportateur Local de Données et, si possible, à la Personne Concernée rapidement. Cela inclut toute demande juridiquement contraignante de divulgation des Données Personnelles par une autorité chargée de l'application de la loi ou un organisme de sécurité de l'État. Comme spécifié à l'article 48 du RGPD, tout jugement d'une cour ou d'un tribunal et toute décision d'une autorité administrative d'un pays tiers exigeant que les Sociétés CHRISTIAN LOUBOUTIN transfèrent ou divulguent des Données Personnelles ne peuvent être reconnus ou exécutoires de quelque manière que ce soit que s'ils sont fondés sur un accord international, tel qu'un traité d'assistance juridique mutuelle, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice des autres motifs de Transfert de Données conformément au chapitre V du RGPD.

Dans ce cas, l'Exportateur Local de Données et, si possible, la Personne Concernée doivent être clairement informés de la demande, y compris des informations sur les Données Personnelles demandées, l'organisme demandeur, la base juridique de la divulgation et la réponse fournie (sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal pour préserver la confidentialité d'une enquête policière - voir ci-dessous).

Si, dans des cas spécifiques, la notification est interdite, le Responsable de Traitement Local sollicité fera ses meilleurs efforts pour obtenir le droit de déroger à cette interdiction afin de communiquer autant d'informations qu'il le peut et dans les meilleurs délais, et sera en mesure de démontrer qu'il l'a fait. Le Responsable de Traitement Local s'engage à documenter ces meilleurs efforts afin d'être en mesure de les démontrer sur demande de l'Exportateur Local de Données.

Si, dans les cas susmentionnés, bien qu'ayant déployé ses meilleurs efforts, le Responsable de Traitement Local demandé n'est pas en mesure d'informer l'Exportateur Local de Données et la Personne Concernée, ce Responsable de Traitement s'engage, lorsque les lois du pays de destination le permettent, à fournir régulièrement autant d'informations pertinentes que possible sur les demandes qu'il a reçues au Responsable de Traitement Principal et à l'Exportateur Local de Données (par exemple, le nombre de demandes de divulgation, le type de Données Personnelles demandées, le demandeur, si les demandes ont été contestées et le résultat de ces contestations, etc.)

 

  • Examen préalable de la légalité d'une demande de divulgation à effectuer avant d'y répondre et respect du principe de minimisation des données lors de la réponse à une telle demande.

 

  • Contrôle préalable de légalité

Le Responsable de Traitement Local s'engage à examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et à contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. Le Responsable de Traitement Local doit, dans les mêmes conditions, exercer des voies de recours. Lorsqu'il conteste une demande, le Responsable de Traitement Local demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les Données Personnelles demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations du Responsable de Traitement Local d'informer rapidement l'Exportateur Local de Données lorsqu'il n'est pas en mesure de se conformer à ces BCR.

 

Le Responsable de Traitement Local accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination l'autorisent, de mettre cette documentation à la disposition de l'Exportateur Local de Données. Il la met également à la disposition de l'Autorité de Contrôle compétente sur demande.

 

  • Respect du principe de minimisation des données

Le Responsable de Traitement Local accepte de fournir le minimum d'informations autorisées lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande. En tout état de cause, les Transferts de Données par un Responsable de Traitement Local à toute autorité publique ne peuvent être massifs, disproportionnés et indiscriminés d'une manière qui irait au-delà de ce qui est nécessaire dans une société démocratique.

7.3. Mises à jour des BCR

En cas de modification des lois, des procédures CHRISTIAN LOUBOUTIN ou du champ d'application des BCR, les termes des BCR peuvent être mis à jour à l'initiative du Responsable de Traitement Principal, en coordination avec le Délégué à la Protection des Données Monde.

Toute mise à jour des BCR est enregistrée et conservée par le Délégué à la Protection des Données Monde. Le Délégué à la Protection des Données Monde tient à jour une liste des membres du Groupe CHRISTIAN LOUBOUTIN. Ces modifications sont également communiquées aux Sociétés CHRISTIAN LOUBOUTIN ayant adhéré aux BCR.

Aucun Transfert de Données basé sur les BCR ne sera effectué vers une nouvelle Société CHRISTIAN LOUBOUTIN tant que cette nouvelle société ne sera pas effectivement liée par les BCR et ne pourra pas s'y conformer.

CHRISTIAN LOUBOUTIN s'engage à ce que toute mise à jour des BCR ou de la liste des membres des BCR soit communiquée aux Autorités de Contrôle compétentes par l'intermédiaire de l'Autorité de Contrôle Cheffe de File, avec une brève explication des raisons justifiant cette mise à jour. En particulier :

  • tout changement qui affecterait le niveau de protection offert par les BCR ou qui affecterait de manière significative les BCR sera communiqué rapidement à l'Autorité de Contrôle Cheffe de File, qui examinera si cela affecte l'approbation précédemment délivrée pour les BCR ;
  • D'autres modifications seront fournies à l’Autorité de Contrôle Cheffe de File une fois par an, le cas échéant.

En outre, les Sociétés CHRISTIAN LOUBOUTIN s'engagent à fournir aux Personnes Concernées, sur demande, les informations nécessaires concernant toute mise à jour des BCR.

7.4. Entrée en vigueur et résiliation

Les BCR prendront effet à la date de leur signature par CHRISTIAN LOUBOUTIN SAS et les Sociétés CHRISTIAN LOUBOUTIN qui signent les présentes BCR à la date des présentes et, en conséquence, sont juridiquement liées. En ce qui concerne les Sociétés CHRISTIAN LOUBOUTIN qui n'ont pas signé les présentes BCR à la date des présentes et qui décident en outre de respecter les présentes BCR, les BCR prendront effet et seront contraignantes à la date de signature de l'accord intra-groupe BCR par la Société CHRISTIAN LOUBOUTIN concernée. 

Chaque Société CHRISTIAN LOUBOUTIN reconnaît être liée par les BCR, à compter de la date de signature des présentes BCR ou, le cas échéant, de la signature de l'Annexe 4 de l’accord intra-groupe BCR et sans autre formalité, à l'égard des autres Sociétés CHRISTIAN LOUBOUTIN déjà liées ou en voie de l'être à compter de leur signature, nonobstant la date et le lieu de signature d'un accord intra-groupe BCR par chaque autre Société CHRISTIAN LOUBOUTIN concernée, et sous réserve que les termes des BCR soient strictement identiques entre eux. Sauf si une Société CHRISTIAN LOUBOUTIN est en mesure de prouver que son accord intra-groupe BCR signé n'est pas strictement identique à celles signées par d'autres entités, elle renonce expressément et irrévocablement à contester la preuve qu'elle est liée par les termes des BCR.

Dans le cas où un Exportateur Local de Données ou un Importateur Local de Données serait trouvé en violation substantielle ou persistante des termes des BCR, le Responsable de Traitement Principal peut suspendre temporairement le Transfert de Données jusqu'à ce que la violation soit corrigée. S'il n'est pas remédié à la violation en temps voulu, le Responsable de Traitement Principal prendra l'initiative de résilier l'accord intra-groupe BCR en ce qui concerne cet Exportateur ou Importateur Local de Données spécifique. Dans ce cas, l'Exportateur Local de Données ou l'Importateur Local de Données prendra toutes les mesures nécessaires afin de se conformer aux règles européennes sur les flux transfrontaliers de données (article 46 du RGPD), par exemple en utilisant les Clauses Contractuelles Types de l'UE approuvées par la Commission européenne.

7.5. Droit applicable / juridiction

Les dispositions des BCR sont régies par le Droit Applicable à la Protection des Données.

Conformément à la section 6.4, la compétence est attribuée aux tribunaux de l'Importateur Local de Données ou de l'Exportateur Local de Données.

7.6. Interprétation des termes

En cas de contradiction entre les BCR et les Annexes, le corps des BCR prévaudra. En cas de contradiction entre les BCR et leurs Annexes et d'autres politiques, procédures, ou directives du Groupe CHRISTIAN LOUBOUTIN au niveau mondial ou local, les BCR prévaudront. En cas de divergence ou d'incohérence, les termes des BCR seront toujours interprétés et régis par les dispositions du RGPD et de la directive 2002/58/CE, tels que modifiés, le cas échéant.

ANNEXE 1 : PRINCIPES DE PROTECTION DES DONNÉES

Dans le cadre des BCR, tout Transfert de Données vers un pays tiers qui n'assure pas un niveau de protection adéquat devra toujours respecter les principes de protection des données suivants, énoncés par le RGPD.

LOYAUTE ET TRANSPARENCE

La loyauté exige que la Personne Concernée soit informée de l'existence du Traitement et de ses finalités.

Toute information et communication relative au Traitement des Données personnelles des Personnes Concernées est fournie sous une forme concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, notamment pour toute information adressée spécifiquement à un enfant. Ce principe concerne notamment l'information des Personnes Concernées sur l'identité du Responsable du Traitement et les finalités du Traitement et d'autres informations permettant d'assurer un Traitement équitable et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des Données Personnelles les concernant qui sont traitées.

Les informations sont fournies par écrit ou par d'autres moyens, y compris, le cas échéant, par voie électronique. À la demande de la Personne Concernée, les informations peuvent être fournies oralement, à condition que l'identité de la Personne Concernée soit prouvée par d'autres moyens.

LIMITATION DES FINALITES

Les Données Personnelles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Le Traitement ultérieur des données à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré comme incompatible, à condition que soient mises en œuvre des garanties appropriées pour les droits et la liberté des Personnes Concernées et notamment des Mesures Techniques et Organisationnelles afin d'assurer la minimisation des données.

MINIMISATION DES DONNÉES, LIMITATION DES DUREES DE CONSERVATION ET QUALITÉ DES DONNÉES

Minimisation des données : Les Données Personnelles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées et/ou traitées.

Les Données Personnelles sont conservées sous une forme permettant l'identification des Personnes Concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées.

Durées de conservation limitées : Les Données Personnelles peuvent être stockées pour des périodes plus longues dans la mesure où elles sont traitées uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques et sous réserve de la mise en œuvre des Mesures Techniques et Organisationnelles appropriées afin de sauvegarder les droits et libertés de la Personne Concernée.

Licéité, loyauté et transparence : Les Données Personnelles sont traitées de manière loyale, licite et transparente à l'égard de la Personne Concernée.

Exactitude : Les Données Personnelles doivent être exactes et, si nécessaire, mises à jour.

PROTECTION DES DONNÉES DÈS LA CONCEPTION ET PROTECTION DES DONNEES PAR DÉFAUT :

Protection des données dès la conception : le Responsable de Traitement Local met en œuvre, tant au moment de la détermination des moyens de Traitement qu'au moment du Traitement lui-même, des Mesures Techniques et Organisationnelles appropriées (telles que la pseudonymisation) destinées à mettre en œuvre les principes de protection des données (tels que la minimisation des données) de manière efficace et à intégrer les garanties nécessaires dans le Traitement.

Protection des données par défaut : le Responsable de Traitement Local doit mettre en œuvre des Mesures Techniques et Organisationnelles appropriées pour garantir que, par défaut, seules les Données Personnelles qui sont nécessaires pour chaque finalité spécifiée du Traitement sont traitées.

LICÉITÉ DU TRAITEMENT DES DONNÉES PERSONNELLES

Les Données Personnelles ne sont traitées que si :

  • la Personne Concernée a donné son consentement au Traitement pour une ou plusieurs finalités spécifiques ;
  • Le Traitement est nécessaire à l'exécution d'un contrat auquel la Personne Concernée est partie ou afin de prendre des mesures à la demande de la Personne Concernée avant de conclure un contrat ;
  • Le Traitement est nécessaire au respect d'une obligation légale à laquelle le Responsable de Traitement Local est soumis ;
  • Le Traitement est nécessaire pour protéger les intérêts vitaux de la Personne Concernée ou d'une autre personne physique ;
  • Le Traitement est nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité publique dont est investi le Responsable de Traitement Local ;
  • Le Traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Responsable de Traitement Local ou par le Tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la Personne Concernée qui exigent la protection des Données Personnelles, en particulier lorsque la Personne Concernée est un enfant.

LICÉITÉ DU TRAITEMENT DES CATÉGORIES PARTICULIÈRES DE DONNÉES PERSONNELLES

Les Catégories Particulières de Données Personnelles, notamment les Données Personnelles concernant la santé, ne sont traitées que si :

  • la Personne Concernée a donné son Consentement explicite à ce Traitement , pour une ou plusieurs finalités déterminées, sauf si les lois applicables l'interdisent ;
  • le Traitement est nécessaire à l'exécution des obligations et à l'exercice des droits spécifiques du Responsable du traitement et de la Personne Concernée en matière de droit du travail et de la sécurité sociale et de la protection sociale dans la mesure où il est autorisé par le droit de l'Union européenne, le droit national ou une convention collective prévoyant des garanties adéquates pour les droits fondamentaux et les intérêts des Personnes Concernées ;
  • le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne Concernée ou d'une autre personne lorsque la Personne Concernée est physiquement ou juridiquement incapable de donner son Consentement ;
  • le Traitement est effectué dans le cadre de ses activités légitimes, avec les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif ayant un objectif politique, philosophique, religieux ou syndical et à condition que le Traitement concerne uniquement les membres ou les anciens membres de l'organisme ou les personnes qui sont en contact régulier avec lui dans le cadre de ses objectifs et que les Données Personnelles ne soient pas divulguées en dehors de l'organisme sans le Consentement des Personnes Concernées ;
  • le Traitement concerne des Catégories Particulières de Données Personnelles qui sont manifestement rendues publiques par la Personne Concernée ;
  • le Traitement de Catégories Particulières de données Personnelles est nécessaire pour la constatation, l'exercice ou la défense de droits en justice ou lorsque les tribunaux agissent dans le cadre de leur capacité judiciaire ;
  • le Traitement des Catégories Particulières de Données Personnelles est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'évaluation de la capacité de travail de l'employé, du diagnostic médical, de la fourniture de soins ou de traitements sanitaires ou sociaux ou de la gestion de systèmes et de services sanitaires ou sociaux sur la base du droit national ou en vertu d'un contrat avec un professionnel de la santé et soumis, en vertu du droit national ou des règles établies par les organismes nationaux compétents, au secret professionnel ou par une autre personne également soumise à une obligation de secret équivalente.

D'autres Catégories Particulières de Données Personnelles peuvent être soumises aux exigences locales de protection des données prévues par la législation nationale. En particulier, le Traitement des données relatives aux condamnations et infractions pénales ou aux mesures de sécurité connexes ne peut être effectué que sous le contrôle d'une autorité officielle, ou lorsque le Traitement est autorisé par le droit national prévoyant des garanties appropriées pour les droits et libertés des Personnes Concernées. En outre, le droit national peut déterminer les conditions spécifiques du traitement d'un numéro d'identification national ou de tout autre identifiant d'application générale. Dans ce cas, le numéro d'identification national ou tout autre identifiant d'application générale ne sera utilisé que dans le cadre de garanties appropriées pour les droits et libertés de la Personne Concernée conformément au droit national.

SÉCURITÉ DES DONNÉES PERSONNELLES

Des Mesures Techniques et Organisationnelles appropriées sont mises en œuvre pour protéger les Données Personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé et contre toute autre forme illicite de Traitement (voir section 5.5).

TRANSFERTS DE DONNEES ULTÉRIEURS VERS DES ORGANISATIONS NON LIÉES PAR LES BCR

Lorsque les Données Personnelles sont destinées à être transférées à une société qui ne fait pas partie du Groupe CHRISTIAN LOUBOUTIN, des garanties adéquates doivent être mises en œuvre (voir la section 5.6).

Le Responsable de Traitement Local est responsable du respect des présents principes de protection des données (responsabilité) et est en mesure de le démontrer.

RESPONSABILITÉ

Le Responsable de Traitement Local est responsable du respect des présents principes de protection des données (responsabilité) et est en mesure de le démontrer.

Le cas échéant, le Responsable de Traitement Local doit mettre en œuvre des politiques appropriées de protection des données.

Afin de démontrer leur conformité, les membres des BCR doivent tenir un Registre des Activités de Traitement effectuées conformément aux exigences énoncées à l'article 30.1 du RGPD.

Afin de renforcer la conformité et lorsque cela est nécessaire, des analyses d'impact relatives la protection des données doivent être réalisées pour les opérations de Traitement susceptibles d'entraîner un risque élevé pour les droits et libertés des personnes physiques (article 35 du RGPD). Lorsqu'une analyse d'impact relative à la protection des données au titre de l’article 35 indique que le Traitement entraînerait un risque élevé en l'absence de mesures prises par le Responsable de Traitement Local pour atténuer le risque, l'Autorité de Contrôle compétente, avant le Traitement, devrait être consultée (article 36 du RGPD).

 

 

ANNEXE 2 : LISTE DES PAYS DANS LESQUELS LES SOCIÉTÉS CHRISTIAN LOUBOUTIN SONT LIMITÉES PAR LES BCR

Chaque Société CHRISTIAN LOUBOUTIN sera liée par les BCR après avoir signé les présentes BCR ou après avoir signé l'accord intra-groupe BCR en Annexe 4. Actuellement, les BCR sont applicables dans tous les pays listés ci-dessous. Dans un souci de transparence, le Groupe CHRISTIAN LOUBOUTIN publiera sur son site Internet un état d'avancement des pays où les Sociétés CHRISTIAN LOUBOUTIN sont liées par les BCR.

Responsable de Traitement Principal

CHRISTIAN LOUBOUTIN SAS

Adresse enregistrée

Représentant légal

Délégué à la Protection des Données Monde du Groupe CHRISTIAN LOUBOUTIN

19, rue Jean-Jacques Rousseau 75001 Paris

Alexis Mourot

Xavier Ragot

 

 

  1. Sociétés CHRISTIAN LOUBOUTIN situées dans l'EEE

 

 

Organismes adhérents
BCR Christian Louboutin

SIRET
14 chiffres

Adresse

CHRISTIAN LOUBOUTIN

N° 38074265000027

19 rue Jean-Jacques Rousseau, 75001 Paris

CHRISTIAN LOUBOUTIN BOUTIQUES FRANCE

N°51369697100011

19 rue Jean-Jacques Rousseau, 75001 Paris

CHRISTIAN LOUBOUTIN CONCESSIONS

N°79925697900011

19 rue Jean-Jacques Rousseau, 75001 Paris

CL SERVICES

N° 53372639400018

19 rue Jean-Jacques Rousseau, 75001 Paris

MINUIT MOINS 7

N° 49196964800055

19 rue Jean-Jacques Rousseau, 75001 Paris

CL CONSEILS

N° 82065135400012

19 rue Jean-Jacques Rousseau, 75001 Paris

CL INFORMATIQUE

N° 82061457600016

19 rue Jean-Jacques Rousseau

CL COMMUNICATION

N°85240883000010

19 rue Jean-Jacques Rousseau

CL EMEI

N°85240041500018

19 rue Jean-Jacques Rousseau

CL MERCHANDISING

N°85240039900014

19 rue Jean-Jacques Rousseau

 

 

Organismes adhérents
BCR Christian Louboutin

 

Adresse

CHRISTIAN LOUBOUTIN Belgique S.A.R.L

0536.869.561 (BCE)

 

21 Place du Grand Sablon, 1000 Bruxelles, Belgique

CHIRSTIAN LOUBOUTIN A.p.s

33376235 (CVR-Nummer)

 

Grønnegade 6 -K,  1107 København, Copenhagen, Danemark

CHRISTIAN LOUBOUTIN GERMANY GMBH

218645

 

Maximilianstraße 38/40, 80539 München, Allemagne

SEYMECHAMLOU S.R.L

MI - 1649172

 

 

Nerviano Via Santa Maria 22 CAP, 20014, Milan, Italie

C.L SERVICES TECHNIQUES S.R.L

MI - 1991879

 

Vialle Bianca Maria n° 24 - 20100 Milan, Italie

CHRISTIAN LOUBOUTIN ITALIA (anciennement BASEROMA S.R.L)

RM - 1249915

 

Piazza di San Lorenzzo in Lucina, 00186, Rome, Italie

LUXCORETAIL SA

B 202651

 

25a rue Philippe II, L2340 Luxembourg

CHRISTIAN LOUBOUTIN NETHERLANDS B.V

857705325

 

96 Pieter Cornelisz Hooftstraat,1071CC Amsterdam, Pays-bas

CHRISTIAN LOUBOUTIN ESPANA SA

A85866283 (NIF)

 

13, calle caudio coello Madrid 28001, Espagne

CHRISTIAN LOUBOUTIN Česká Republika s.r.o.

6677380

 

Široká 97/11, Josefov, 110 00 Praha, République tchèque

CHRISTIAN LOUBOUTIN AUSTRIA GMBH

FN 527147 T

 

 Tuchlauben 12, 1010 Wien, Autriche

 

  1. Sociétés CHRISTIAN LOUBOUTIN Locales situées en dehors de l'EEE

 

Organismes adhérents
BCR Christian Louboutin

Numéro d’immatriculation

Adresse

CHRISTIAN LOUBOUTIN CANADA INC

1169490837

 

800 Place Victoria, Bureau 3700, Montreal Quebec, H4Z1E9, Canada

Christian Louboutin Import México S.A. de C.V

CLI170208QC4

 

Lago Aberto 442 Interior 403 Suite 509, Anahuac I Seccion , Miguel Hidalgo Ciudada De Mexico Mex C.P.11321, Mexique

Christian Louboutin Retail México S.A. de C.V.

CLR170419727

 

Lago Aberto 442 Interior 403 Suite 509, Anahuac I Seccion , Miguel Hidalgo Ciudada De Mexico Mex C.P.11321, Mexique

CHRISTIAN LOUBOUTIN LLC

 

306 West 38th Street - New York NY 10018, USA

CL US DISTRIBUTION CORPORATION

 

2711 Centerville Road, Suite 400, Wilmington, County of New Castle 19808, State of Delaware, USA

Christian Louboutin Japan Co. Ltd

0100-01-127682

 

2-3-14 Kudanminami, Chiyoda-ku - 102 0074 TOKYO, Japan

Christian Louboutin Asia Ltd

50816500-005-03-17-1

 

RM 2206 22/F One Island South
2 Heung Yip Road, Wong Chuk Hang, Hong kong

CL APAC Limited

2417969

 

RM 2207, 22/F One Island South
2 Heung Yip Road, Wong Chuk Hang

CL Shanghai Limited

91310000579168733R

 

2402-2404,Time Square No.93 Huaihai Middle Road - Shanghai China 200021

CHRISTIAN LOUBOUTIN UK LIMITED - UNITED (Irish Branch)

6619840

 

4th Floor Byron House – 7/9 St James’s Street London SW1A 1EE. Ireland

CHRISTIAN LOUBOUTIN UK LIMITED - UNITED

6619840

 

4th Floor Byron House – 7/9 St James’s Street London SW1A 1EE. Grande - Bretagne

CHRISTIAN LOUBOUTIN SUISSE SA

CHE-115.212.209

 

17 Rue du Rhone, 1207 Geneve, Suisse

CL INTERNATIONAL SA

CHE-216.726.701

 

12 Place de Cornavin, 1201 Geneve, Suisse

CL MONACO SARL

13S05917

 

1-3-5, avenue de Grande Bretagne - Immeuble Les Floralies – 98000 Monaco

 

 

  1. Délégué à la Protection des Données Monde

Il s’agit du Directeur Juridique du Groupe CHRISTIAN LOUBOUTIN.

Actuellement, les coordonnées du Délégué à la Protection des Données Monde du Groupe CHRISTIAN LOUBOUTIN sont les suivantes :

Xavier RAGOT
19 rue Jean Jacques Rousseau, 75 001 Paris
[email protected]

 

ANNEXE 3 : NATURE ET FINALITÉS  DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL TRANSMISES DANS LE CADRE DES BCR 

0pération de traitement

Finalité de traitement

Catégories de personne concernée

Catégories de données traitées

Catégories de destinataires

Destination du transfert des données

Service de support informatique

La gestion des droits d’accès aux réseaux/applications, logiciels, la maintenance et le soutien des applications systèmes

Les salariés du groupe

Nom, prénom, intitulé de poste, numéro de poste professionnel, adresse électronique professionnel

Les salariés des entités du groupe

Royaume – Uni

République Tchèque, Canada

Mexique

Monaco

Suisse

Etats-Unis, China

Japan

Hong Kong SAR

 

Gestion de la téléphonie/ Gestion des contacts internes et externes (annuaires)

Permettre la communication au sein du groupe

Les salariés du groupe

Nom, prénom, numéro de téléphone professionnel, adresse électronique professionnel.

Les salariés des entités du groupe

Royaume – Uni,

République Tchèque, Canada,

Mexique,

Monaco,

Suisse,

Etats-Unis, China,

Japan,

Hong Kong SAR

 

Gestion des relations avec les clients, les prospects

Les activités d’achat, la gestion des paiements, les activités de marketing et d’enquêtes de satisfaction, le service client, etc…

Les clients, les prospects

Nom, prénom, genre, Nom de famille, adresse, numéro de téléphone, code postale pays, nationalité, date de naissance (optionnel), e-mail

Les salariés des entités du groupe

Royaume – Uni,

République Tchèque, Canada,

Mexique,

Monaco,

Suisse,

Etats-Unis, China,

Japan,

Hong Kong SAR.

 

La Fraude

La protection contre la fraude et la lutte anti-contrefaçon

Les clients

Nom, prénom, historique d’achat, moyen de contact (courriel, numéro de téléphone…), moyen de paiement (dont les 4 derniers numéros des cartes bancaires le cas échéant), Adresse de facturation, Adresse de livraison

Les salariés des entités du groupe

Royaume – Uni,

République Tchèque, Canada,

Mexique,

Monaco,

Suisse,

Etats-Unis, China,

Japan,

Hong Kong SAR,

Royaume – Uni

République Tchèque, Canada,

Mexique,

Monaco,

Suisse,

Etats-Unis, China,

Japan,

Hong Kong SAR

 

La sécurité de l’information

Assurer la sécurité de l’information des données, la gestion des incidents de sécurité, la prévention des incidents

Les clients, les prospects, les salariés du groupe.

Données d’identification, vie professionnelle, journalisation et donnée de navigation

Les salariés des entités du groupe

Royaume – Uni,

République Tchèque, Canada,

Mexique,

Monaco,

Suisse,

Etats-Unis, China,

Japan,

Hong Kong SAR.