Avis de confidentialité

1.1 Champ d’application

(1) La Politique s'applique au traitement des Données Personnelles des personnes physiques, en particulier les données des clients, des employés, des actionnaires et des partenaires commerciaux et doit créer un niveau de protection adéquat pour le Transfert de Données Personnelles des entités du groupe DHL établies dans l'Union européenne (UE) / l'Espace économique européen (EEE) vers les entités du groupe DHL dans un pays tiers ne disposant pas d'un niveau de protection adéquat. Les catégories de données traitées et les finalités du traitement dépendent de la relation que la Personne concernée entretient avec une ou plusieurs entités du Groupe DHL. Le traitement des données régi par la présente politique concerne principalement la gestion des relations de travail, couvrant un large éventail d'aspects possibles, depuis le début de l'emploi jusqu'aux possibilités de carrière et de développement, ainsi que la gestion de la relation client, qui peut inclure divers services à la clientèle.

(2) La liste des finalités couvertes par la politique est fournie à l'annexe 2, avec des détails sur les catégories pertinentes de personnes concernées et les données personnelles traitées pour chaque finalité. La liste des finalités couvertes par la Politique figure à l’Annexe 2 et peut être mise à jour à tout moment conformément à la section 5.

(3) La Politique ne s’applique pas aux transferts de données soumis à des dérogations légales.

(4) Elle ne s’applique pas non plus aux Données à caractère personnel collectées et traitées en dehors de l’EEE et hors du champ du Règlement général sur la protection des données (RGPD), sauf si ces données font l’objet d’un transfert ultérieur conformément à la section 1.4.

(5) Outre la protection des transferts vers des pays tiers, la Politique fait partie intégrante du Système de gestion de la protection des données du Groupe DHL et définit les principes et procédures nécessaires au respect des lois applicables. En ce sens, la Politique définit non seulement les principes que doivent suivre les entités du groupe DHL lors du traitement des données personnelles, mais renvoie également aux procédures pertinentes conçues pour garantir la conformité du groupe DHL aux lois applicables en matière de protection des données et, en particulier, au RGPD.

1.2 Effet juridiquement contraignan

(1) La politique est fondée sur l'autorisation du conseil d'administration du groupe DHL et entre en vigueur dès sa publication.

(2) La Politique devient contraignante pour chaque entité du groupe DHL et ses employés dès que la direction de l’entité du groupe DHL concernée déclare son adhésion à la Politique et confirme sa mise en œuvre en son sein. Une liste des entités du groupe DHL qui sont liées par la politique est jointe à l'annexe 3.

(3) Tous les employés du groupe DHL sont liés par la politique par le biais de leur contrat de travail et/ou par l'obligation de se conformer aux politiques du groupe DHL, y compris le code de conduite du groupe DHL qui fait référence à la politique. Les entités du groupe DHL doivent sensibiliser leurs employés à cette politique et aux obligations qui en découlent par le biais de la communication interne et de formations obligatoires. Cette entité du groupe DHL veillera à ce que des sanctions soient appliquées aux employés qui ne respectent pas les obligations prévues par la politique, conformément aux lois et réglementations locales.

( 4) L'effet contraignant prend fin avec le retrait de la police ou si l’entité du groupe DHL concernée se retire du groupe DHL. Toute entité du groupe DHL qui n'est plus liée par la présente politique doit restituer ou supprimer les données personnelles reçues en vertu de la présente politique en tant qu'importateur de données DHL. L'importateur de données DHL qui cesse de collaborer avec nous ne peut conserver les données personnelles qu’a condition d’accepter d'être lié par d'autres garanties appropriées (telles que, mais sans s'y limiter, les clauses contractuelles standard). Il en sera de même pour les transferts de données ultérieurs effectués par l'importateur de données DHL qui cesse son activité.

1.3 Lois locales applicables et leurs effets sur le respect de la politique

(1) Les principes de la Politique ne remplacent pas les lois et règlements régissant le traitement des données personnelles. Lorsque les lois et réglementations locales exigent un niveau de protection plus élevé pour les données personnelles, elles prévalent sur la présente politique. Dans tous les cas, les entités du groupe DHL traiteront les données personnelles conformément aux lois et réglementations en vigueur.

(2) La légalité du traitement des données en ce qui concerne les transferts de données vers des pays tiers et les transferts de données ultérieurs sera déterminée par les lois et règlements du pays de l'EEE dans lequel l'exportateur de données DHL a son siège social.

(3) Chaque entité du groupe DHL est responsable de la vérification de la légalité de son traitement des données, y compris toute exigence existante de notification aux autorités de contrôle nationales ou à d'autres régulateurs, conformément aux lois et réglementations locales pertinentes. Si une entité du groupe DHL a le moindre doute sur le fait que les lois et règlements peuvent l'empêcher de remplir ses obligations en vertu de la politique, elle doit en informer le responsable de la protection des données ou le conseiller juridique en matière de protection des données compétent, à moins qu'une autorité chargée de l'application de la loi ne le lui interdise.

(4) Si une entité du groupe DHL est soumise à des exigences légales locales qui compromettent les garanties fournies par la Politique (y compris les demandes contraignantes de divulgation de données personnelles), elle doit mettre tout en oeuvre pour en informer le délégué à la protection des données de l'entreprise, qui l'aidera à informer l'autorité de contrôle compétente, sauf si les lois et règlements l'interdisent.

1.4 Transfert ultérieur de données

(1) Si l'importateur de données DHL transfère des données personnelles à un autre importateur de données DHL, ce dernier doit s'assurer que le transfert ultérieur de données est conforme à la présente politique.

(2) En cas de transferts de données ultérieurs à des tiers, les importateurs de données de DHL doivent conclure les clauses contractuelles types de l'UE (EU SCCs) ou appliquer d'autres garanties appropriées conformément aux lois applicables en matière de protection des données. En l'absence de telles garanties, des transferts ultérieurs de données peuvent avoir lieu si une dérogation au titre du RGPD s'applique. Nonobstant ce qui précède, les données personnelles ne peuvent être transférées que conformément aux exigences des lois applicables en matière de protection des données et aux dispositions relatives aux analyses d'impact sur les transferts énoncés à la section 1.5.

(3) Les dispositions précédentes ne s'appliquent pas dans la mesure où les Lois et Règlements locaux, notamment pour des raisons de sécurité nationale, de défense, de sûreté publique, ou pour la prévention, la constatation et la poursuite d'actes criminels, prévoient expressément le Transfert de Données à caractère personnel à ces fins.

1.5 Évaluation de l'impact du transfert

(1) Les exportateurs de données DHL ne transféreront des données personnelles aux importateurs de données DHL établis dans un pays tiers, conformément à la politique, que s'il a été évalué que les lois et réglementations de ce pays tiers n'empêchent pas l'importateur de données DHL de remplir ses obligations en vertu de la politique.

(2) Les entités du groupe DHL fondent leur évaluation des lois et règlements du pays tiers sur l'idée que ces lois et règlements respectent l'essence des droits et libertés fondamentaux des personnes physiques et n'excèdent pas ce qui est nécessaire et proportionné dans une entité démocratique pour sauvegarder l'un des objectifs d'intérêt public.

(3) Lorsqu'elles procèdent à une évaluation de l'impact du transfert (EIT) dans le cadre de l'évaluation de l'impact sur la vie privée (EIVP), les entités du groupe DHL doivent tenir compte des éléments suivants :

a) Les circonstances spécifiques du ou des transferts de données ou de l'ensemble des transferts de données et de tout transfert ultérieur de données envisagé au sein du même pays tiers ou vers un autre pays tiers, y compris :

• les finalités pour lesquelles les données sont transférées et traitées (par exemple, RH, support informatique, etc.) ;
• les types d'entités impliquées dans le traitement des données ;
• le secteur économique dans lequel le transfert de données ou l'ensemble de transferts de données a lieu ;
• les catégories et le format des données personnelles;
• l'emplacement transférées du traitement des données, y compris le stockage ; et
• les canaux de transmission utilisés.

b) Les Lois et Règlements du Pays tiers de destination en rapport avec les circonstances du Transfert de données, y compris ceux qui exigent la divulgation des Données personnelles aux autorités publiques ou autorisent leur accès, et ceux qui permettent l'accès à ces Données personnelles pendant le Transfert de données, ainsi que les restrictions et sauvegardes applicables.

c) Toute mesure de protection contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les mesures de protection prévues par la Politique, y compris les mesures appliquées pendant la transmission et au traitement des Données à caractère personnel dans le Pays tiers de destination. Si l'EIT conclut que des mesures supplémentaires doivent être mises en œuvre en plus de celles prévues par la politique, l'importateur de données DHL et le responsable de la protection des données seront notifiés et impliqués dans la mise en œuvre de ces garanties. La documentation de l'EIT doit être mise à la disposition de l'autorité de surveillance compétente sur demande.

(4) Les importateurs de données DHL doivent surveiller en permanence les lois et règlements de leur pays lorsqu'ils utilisent la Politique comme outil pour les transferts de données, afin d'identifier tout changement qui nécessiterait une mise à jour des accords de transfert de données et la mise en œuvre de mesures supplémentaires. Lorsqu'un importateur de données DHL a des raisons de croire qu'il a été soumis à des lois et règlements qui l'empêcheraient de se conformer à ses obligations en vertu de la politique, il en informe le responsable de la protection des données compétent et l’entitédu groupe DHL concernée afin de s'assurer que chaque transfert de données à caractère personnel vers le pays tiers respectif fait l'objet de mesures supplémentaires appropriées. Il en va de même si un exportateur de données DHL a des raisons de croire que l'importateur de données DHL ne peut plus remplir ses obligations en vertu de la politique. Le responsable de la protection des données concerné conseillera les entités du groupe DHL agissant en tant qu'exportateur et importateur de données afin d'identifier et de mettre en œuvre des mesures supplémentaires appropriées. En outre, le responsable de la protection des données informe également le délégué à la protection des données de l'entreprise.

(5) Si une entité du groupe DHL conclut que la Politique ne peut plus être respectée - même si des mesures supplémentaires ont été mises en œuvre - pour un transfert de données spécifique ou un ensemble de transferts de données, ou si l'autorité de contrôle compétente lui en donne l'instruction, elle suspendra ce transfert de données ou cet ensemble de transferts de données jusqu'à ce que le respect de la Politique soit assuré ou que le transfert de données soit terminé. En outre, le fonctionnaire compétent en matière de protection des données, ainsi que le délégué à la protection des données de l'entreprise sont informés.

(6) Si le respect de la Politique n'est pas rétabli dans un délai d'un mois après la suspension, le transfert de données ou l'ensemble de transferts de données doit être résilié. L'exportateur de données DHL peut décider si les données personnelles transférées avant la suspension et les copies de celles-ci doivent être renvoyées ou détruites.

(7) Dans la pratique, les évaluations des lois et règlements des pays tiers, ainsi que les EIT spécifiques menées pour un transfert de données ou un ensemble de transferts de données et les mesures supplémentaires identifiées et mises en œuvre, ainsi que toute la documentation pertinente, seront mises à la disposition de toutes les entités du groupe DHL et des responsables de la protection des données afin de garantir le respect de la politique et la cohérence de sa mise en œuvre dans l'ensemble du groupe DHL. Cela comprend également l'information selon laquelle, lorsque des mesures supplémentaires efficaces n'ont pas pu être mises en place, les transferts de données en jeu seront suspendus ou terminés. Sur demande, la documentation des évaluations ainsi que les mesures supplémentaires sélectionnées et mises en œuvre sont mises à la disposition de l'autorité de surveillance compétente.

1.6 Demandes d'accès émises par les autorités publiques d'un pays tiers

(1) Conformément aux lois et règlements, l'importateur de données DHL notifiera rapidement l'exportateur de données DHL (et son responsable de la protection des données) et, si possible, la personne concernée s'il :

a) reçoit une demande juridiquement contraignante d'une autorité publique pour la divulgation des données personnelles transférées en vertu de la politique.

b) prend connaissance de tout accès direct des autorités publiques aux Données à caractère personnel transférées en vertu de la Politique.

(2) La notification comprend toutes les informations dont dispose l'importateur de données DHL, y compris, en particulier, les Données à caractère personnel demandées, l'autorité publique requérante, la base juridique de la demande et la réponse apportée.

(3) Importateur de données DHL mettra tout en œuvre pour obtenir une dérogation s'il lui est interdit de notifier Exportateur de données DHL et/ou la personne concernée, dans le but de fournir autant d'informations que possible et documentera ses efforts déployés afin de pouvoir les démontrer à la demande de Exportateur de données DHL.

(4) Importateur de données DHL fournit régulièrement à Exportateur de données DHL ainsi qu'au délégué à la protection des données de l'entreprise des informations pertinentes sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité publique requérante, si les demandes ont été contestées et le résultat de ces contestations, etc.) ou informe sans délai excessif Exportateur de données DHL s'il lui est interdit de fournir de telles informations.

(5) Importateur de données DHL conservera les informations susmentionnées aussi longtemps que les Données à caractère personnel seront soumises aux garanties de la Politique et les mettra à la disposition de toute autorité publique compétente qui en fera la demande.

(6) Importateur de données DHL examinera la légalité d'une demande d'accès ou de divulgation de Données à caractère personnel, la contestera si elle est jugée illégale et poursuivra les possibilités de recours. Lorsqu'il conteste une demande, l'importateur de données cherche à obtenir des mesures provisoires en vue de suspendre les effets de la demande dans l'attente d'une décision sur le fond par une autorité judiciaire compétente. Elle ne divulguera pas les données personnelles demandées tant qu'elle ne sera pas tenue de le faire en vertu des règles de procédure applicables.

(7) Lorsque Importateur de données DHL est obligé de répondre à une demande, il doit fournir le minimum d'informations autorisé. En outre, tout transfert de données effectué par une entité du groupe DHL pour répondre à une demande d'une autorité publique ne doit pas être massif, disproportionné ou indiscriminé d'une manière qui irait au-delà de ce qui est nécessaire dans une entité démocratique.

2.1 Transparence du traitement des données

(1) Le responsable du traitement DHL doit informer les personnes concernées de la manière dont leurs données à caractère personnel sont traitées. Cela comprend également la publication de la politique. Inclut également la publication de la politique.

(2) DHL Data Controller fournira les informations suivantes aux personnes concernées :

a) l'identité et les coordonnées du contrôleur des données de DHL ;

b) les coordonnées du délégué à la protection des données, le cas échéant ;

c) l'objectif et la portée du traitement des données ;

d) la base juridique du traitement des données :

e) lorsque le Traitement des données est fondé sur des intérêts légitimes, les intérêts légitimes poursuivis par le Responsable du traitement DHL ou par un Tiers ;

f) les destinataires ou les catégories de destinataires des données personnelles ;

g) le cas échéant, le fait que le responsable du traitement DHL a l'intention de transférer des données personnelles vers un pays tiers ou une organisation internationale et l'existence ou l'absence d'une décision d'adéquation de la Commission de l'UE, la référence aux garanties appropriées ou adéquates et les moyens d'en obtenir une copie ou lorsqu'elles ont été mises à disposition ;

h) la période pendant laquelle les données personnelles seront stockées, ou si cela n'est pas possible, les critères utilisés pour déterminer cette période ;

i) l'existence du droit de demander au responsable du traitement DHL l'accès et la rectification ou l'effacement des données personnelles ou la restriction du traitement des données concernant la personne concernée ou de s'opposer au traitement des données ainsi que le droit à la portabilité des données ;

j) lorsque le traitement des données est fondé sur le consentement, l'existence du droit de retirer le consentement à tout moment, sans affecter la légalité du traitement des données fondé sur le consentement avant son retrait ;

k) le droit de déposer une plainte auprès d'une autorité de surveillance ;

l) si la fourniture de données personnelles est une exigence légale ou contractuelle, ou une exigence nécessaire à la conclusion d'un contrat, ainsi que si la personne concernée est obligée de fournir les données personnelles et des conséquences possibles de la non-fourniture de ces données ;

m) l'existence d'une prise de décision automatisée, y compris le Profilage et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que l'importance et les conséquences envisagées de ce Traitement des données pour la Personne concernée ;

n) lorsque les Données à caractère personnel n'ont pas été obtenues auprès de la Personne concernée, les catégories de Données à caractère personnel concernées et de quelle source proviennent les Données à caractère personnel, et le cas échéant, si elles proviennent de sources accessibles au public ;

o) lorsqu'il est prévu de traiter ultérieurement les données personnelles dans un but autre que celui pour lequel les données personnelles ont été collectées, la personne concernée doit recevoir, avant ce traitement ultérieur des données, des informations sur cet autre but.

(3) Les informations peuvent être omises si la personne concernée dispose déjà de ces informations.

Dans le cas où les données personnelles n'ont pas été obtenues auprès de la personne concernée, les informations peuvent être omises si

a) la fourniture de ces informations s'avère impossible, ou bien elle entraînerait une dépense disproportionnée,

b) l'obtention ou la divulgation est expressément prévue par les lois et réglementations locales auxquelles le contrôleur est soumis et qui prévoient des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, ou bien

c) Les données personnelles doivent rester confidentielles sous réserve d'une obligation de secret professionnel réglementée par les lois et règlements locaux, y compris une obligation légale de secret.

(4) Le responsable du traitement DHL doit fournir les informations à la personne concernée au moment où les données personnelles sont collectées. Lorsque les données personnelles n'ont pas été obtenues auprès de la personne concernée, les informations sont fournies au plus tard dans un délai d'un mois après l'obtention des données personnelles, compte tenu des circonstances spécifiques dans lesquelles les données personnelles sont traitées. Si les données personnelles doivent être utilisées pour communiquer avec la personne concernée, le responsable du traitement des données de DHL fournira des informations au plus tard au moment de la première communication avec cette personne concernée. Si une divulgation à un autre destinataire est envisagée, le responsable du traitement des données de DHL fournira des informations au plus tard lors de la première divulgation des données à caractère personnel.

2.2 Équité et légalité du traitement

(1) Les entités du groupe DHL traitent les données à caractère personnel de manière licite, loyale et transparente par rapport à la personne concernée, en exigeant qu'une ou plusieurs des conditions suivantes soient remplies :

a) La personne concernée a donné son consentement au traitement de ses données personnelles à une ou plusieurs fins spécifiques.

b) Le traitement des Données à caractère personnel est nécessaire à l'exécution d'un contrat auquel la Personne concernée est partie, y compris les informations contractuelles et/ou les obligations accessoires, ou à la mise en œuvre de mesures pré et/ou post-contractuelles qui sont effectuées à la demande de la Personne concernée pour l'initiation ou l'exécution de la relation contractuelle.

c) Le traitement des données personnelles est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement DHL est soumis.

d) Le traitement des Données à caractère personnel est nécessaire pour protéger les intérêts vitaux de la Personne concernée ou d'une autre personne physique.

e) Le traitement des données personnelles est nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité officielle dont est investi le responsable du traitement DHL ou le tiers auquel les données personnelles sont divulguées.

f) Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement de données DHL ou par un tiers, sauf si ces intérêts sont supplantés par les intérêts de la personne concernée qui nécessitent une protection.

(2) Le traitement des Données à caractère personnel collectées dans l'EEE concernant les condamnations pénales et les infractions, ou les mesures de sécurité connexes, sur la base de la section 2.2.1 de la présente Politique, ne peut être effectué que sous le contrôle d'une autorité officielle de l'EEE ou lorsqu'il est autorisé par le droit de l'UE ou le droit d'un État membre de l'UE, qui fournit des garanties appropriées pour les droits et les libertés des Personnes concernées.

2.3 Conditions générales d'admissibilité pour le traitement des données personnelles

Les entités du groupe DHL se conforment aux principes de protection des données énoncés ci-dessous.

2.3.1 Minimisation des données

Les entités du groupe DHL prennent en compte la finalité du traitement des données à caractère personnel et ne traitent les données à caractère personnel que si elles sont adéquates et pertinentes et n'excèdent pas ce qui est nécessaire au regard du traitement. Les principes du traitement des données, y compris le principe de minimisation des données, s'appliquent également aux données personnelles archivées.

2.3.2 Anonymisation et pseudonymisation

Lorsque cela est possible et économiquement raisonnable, les entités du groupe DHL utilisent des procédures pour supprimer les éléments d'identification qui peuvent être utilisés pour identifier les personnes concernées (Anonymisation) ou pour remplacer les éléments d'identification par des identifiants (Pseudonymisation). 

2.3.3 Limitation de l'objectif

Les entités du groupe DHL ne collectent et ne traitent les données à caractère personnel que pour des finalités déterminées, explicites et légitimes. Il ne peut être utilisé qu'aux fins pour lesquelles il a été initialement collecté. Les modifications de la finalité ne sont admissibles qu'avec le consentement de la Personne concernée, si elles sont autorisées par les Lois et Règlements locaux ou si le Traitement des données pour une autre finalité est compatible avec la finalité pour laquelle les Données à caractère personnel sont initialement collectées.

2.3.4 Consentement

(1) Les entités du groupe DHL doivent obtenir le consentement de la personne concernée au plus tard à la date à laquelle le traitement des données personnelles commence.

(2) Le consentement doit être donné librement, spécifique, sans ambiguïté et fourni en connaissance de cause, en indiquant clairement à la Personne concernée l'étendue du Traitement des données couvert par le consentement et les conséquences possibles d'un refus de consentement. Le langage du consentement doit être suffisamment clair et informer la personne concernée de son droit de retirer son consentement à tout moment.

(3) Le consentement doit être obtenu sous une forme adaptée aux circonstances (par écrit ou par voie électronique). Exceptionnellement, il peut également être fourni verbalement si le fait que le consentement a été fourni par la personne concernée et les circonstances spécifiques qui exigent que le consentement soit obtenu par une déclaration orale sont documentés. Si le consentement est donné en même temps que d'autres déclarations, cela doit être clairement mis en évidence.

2.3.5 Limitation de la conservation

Les entités du groupe DHL conserveront les données à caractère personnel sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités du traitement.

2.3.6 Sous-traitant

(1) Si une entité du groupe DHL ou un prestataire externe traite des données à caractère personnel pour le compte d'une entité du groupe DHL, les obligations des deux parties contractuelles seront régies par un contrat répondant aux exigences des lois applicables en matière de protection des données (accord entre le responsable du traitement et le sous-traitant). L’accord entre le responsable du traitement et le sous-traitant est conclu en plus d'un accord de service qui peut être conclu par écrit ou sous une autre forme équivalente. Il stipule notamment que le sous-traitant :

a) traite les Données personnelles uniquement sur instructions documentées du Contrôleur, y compris en ce qui concerne les transferts de Données personnelles vers un Pays tiers, sauf si les Lois et Règlements applicables auxquels le Sous-traitant est soumis l'exigent ; dans ce cas, le Sous-traitant informe le Contrôleur de cette exigence légale avant le traitement, sauf si les Lois et Règlements applicables interdisent une telle information pour des motifs importants d'intérêt public ;

b) s'assure que les personnes autorisées à traiter les Données Personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;

c) prend toutes les mesures techniques et organisationnelles requises en vertu des Lois et Règlements applicables ;

d) respecte les conditions d'engagement d'un autre sous-traitant ;

e) compte tenu de la nature du traitement, assiste le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée énoncées à l'article 2.6 ;

f) aide le responsable du traitement à assurer le respect des obligations en vertu des lois et règlements applicables en tenant compte de la nature du traitement et des informations dont dispose le responsable du traitement ;

g) au choix du responsable du traitement, supprime ou renvoie toutes les données personnelles au responsable du traitement après la fin de la prestation des services relatifs au traitement, et supprime les copies existantes, sauf si les Lois et Règlements applicables exigent le stockage des données personnelles ;

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans la présente section et permettre les audits, y compris les inspections, menés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement, et y contribuer.

(2) Sans autorisation préalable du responsable du traitement de données DHL, le sous-traitant ne peut pas traiter les données personnelles, qui lui ont été transmises, à ses propres fins ou à celles d'un tiers. Les obligations énoncées dans l’accord entre le responsable du traitement et le sous-traitant pour ce dernier sont imposées à tout autre sous-traitant mandaté par le sous-traitant. Le sous-traitant et tout sous-sous-traitant sont sélectionnés sur la base de leur capacité à se conformer aux obligations énoncées dans l’accord entre le responsable du traitement et le sous-traitant.

(3) Si les entités du groupe DHL concluent des contrats avec des sous-traitants et/ou des sous-traitants secondaires externes dans des pays tiers, des garanties adéquates telles que stipulées dans le cadre du GDPR, et des lois sur la protection des données applicables seront mises en œuvre en ce qui concerne les droits et libertés des personnes concernées et l'exercice de leurs droits.

2.3.7 Responsabilité

(1) Chaque entité du groupe DHL doit s'assurer et être en mesure de démontrer qu'elle respecte les exigences applicables en vertu de la politique.

(2) Toutes les entités du groupe DHL doivent tenir un registre de toutes les catégories d'activités de traitement des données (registre de protection des données, "RPD") effectuées dans le cadre de la politique. Le RPD comprend, au minimum, les éléments suivants :

a) le nom et les coordonnées du responsable du traitement / sous-traitant de données DHL (le cas échéant, le contrôleur conjoint, le représentant du responsable du traitement de données DHL et le délégué à la protection des données) ;

b) les finalités du traitement des données;

c) une description des catégories de personnes concernées et des catégories de données personnelles ;

d) les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées ;

e) le cas échéant, les transferts de données personnelles vers un pays tiers ou une organisation internationale ;

f) si possible, les délais envisagés pour l'effacement des différentes catégories de Données à caractère personnel ;

g) si possible, une description générale des mesures de sécurité techniques et organisationnelles.

Les entités du groupe DHL veillent à ce que tous les RPD soient conservés par écrit, y compris sous forme électronique. À cette fin, les entités du groupe DHL disposent d'un outil de documentation central et d'une plateforme connue sous le nom de portail de confidentialité du groupe DHL. Les RPD sont mis à la disposition de l'autorité de surveillance compétente sur demande.

(3) Afin de démontrer leur conformité, les entités du groupe DHL doivent s'assurer que des AIPD sont menées pour toutes les activités de traitement des données impliquant des données à caractère personnel transférées en vertu de la Politique. En particulier, une AIPD est effectuée pour les opérations de traitement des données susceptibles d'entraîner un risque élevé pour les droits et libertés des personnes physiques. À cette fin, le portail de confidentialité du groupe DHL doit aider les entreprises du groupe DHL à remplir leurs obligations en matière de documentation et de responsabilité et faciliter la réalisation des AIPD.

(4) L’entité du groupe DHL doit consulter l'autorité de contrôle avant le traitement des données si une analyse d'impact sur la vie privée indique que le traitement des données entraînerait un risque élevé en l'absence de mesures prises par l’entitédu groupe DHL pour atténuer le risque.

(5) Les entités du groupe DHL doivent adopter et mettre en œuvre des mesures techniques et organisationnelles appropriées, conçues pour intégrer les principes de protection des données et pour soutenir le respect des exigences décrites dans la politique. Ces mesures doivent être mises en œuvre dans la pratique, afin de garantir le respect de la vie privée dès la conception et par défaut.

2.4 Cas particuliers de traitement des données

2.4.1 Catégories spéciales de données personnelles

Les entités du groupe DHL ne traitent les catégories spéciales de données à caractère personnel que si cela est strictement nécessaire et légalement requis ou si la personne concernée a donné son consentement explicite. Les entités du groupe DHL doivent mettre en œuvre des mesures techniques et organisationnelles pour assurer la sécurité du traitement des données.

2.4.2 Décisions automatisées dans des cas individuels

(1) Les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée uniquement sur le Traitement automatisé des données, y compris le Profilage, qui produit des effets juridiques les concernant ou les affecte de manière significative. Ce droit ne s'applique pas si la décision est :

a) nécessaires à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement DHL,

b) autorisé par les Lois et Règlements locaux auxquels le responsable du traitement de données DHL est soumis et qui prévoit également des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée, ou

c) sur la base du consentement explicite de la personne concernée.

(2) L’entité du groupe DHL informe la personne concernée de l'existence d'une prise de décision automatisée, y compris le profilage, de la logique sous-jacente impliquée, ainsi que de l'importance et des conséquences envisagées de ce traitement des données pour la personne concernée.

(3) Dans les cas visés au paragraphe (1)(a) et (c) ci-dessus, le responsable du traitement des données de DHL met en œuvre des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée, au moins le droit d'obtenir une intervention humaine de la part du responsable du traitement de données DHL, d'exprimer son point de vue et de contester la décision.

(4) Dans le cas de décisions automatisées basées sur des catégories spéciales de données à caractère personnel, celles-ci ne sont autorisées que si elles sont fondées sur le consentement de la personne concernée ou si elles sont nécessaires pour des raisons d'intérêt public important, sur la base des lois sur la protection des données applicables.

2.5 Qualité des données / sécurité du traitement des données

2.5.1 Qualité des données

Les entités du groupe DHL doivent respecter les principes de qualité des données, tels que l'exactitude, l'exhaustivité et la pertinence. Les Données Personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traitées. Les Entités du Groupe DHL prendront des mesures raisonnables pour s'assurer que les Données Personnelles inexactes ou incomplètes sont effacées, rectifiées, complétées ou mises à jour sans délai, compte tenu du Traitement des Données envisagé et des intérêts de la Personne concernée.

2.5.2 Confidentialité

Seuls les employés qui sont autorisés et qui se sont engagés à respecter les principes de protection des données et de confidentialité sont autorisés à traiter les données personnelles. Tout traitement des Données Personnelles à des fins d'avantage personnel, toute divulgation non autorisée, ou le fait de les rendre accessibles de toute autre manière non conforme aux Lois et Règlements est strictement interdit. Cela inclut le transfert de données personnelles à des parties non autorisées ou le fait de les rendre accessibles à ces dernières de toute autre manière. Dans ce contexte, les parties " non autorisées " peuvent également inclure les employés de la même entité ou d'une autre entité du groupe DHL si les données ne sont pas requises et nécessaires pour leur domaine de travail ou leurs tâches spécialisées ou lorsque le traitement des données n'est pas légitimé par les Lois et Règlements.

2.5.3 Mesures techniques et organisationnelles

Lorsqu'elles traitent des données personnelles, les entités du groupe DHL mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles et les protéger contre l'accès illicite, la perte, la destruction ou l'altération. À cette fin et conformément aux normes internes respectives, les entités du groupe DHL mettent en œuvre toutes les mesures nécessaires.

Ces mesures comprennent :

• Refuser l'accès aux personnes non autorisées aux installations de traitement des données où les Données Personnelles sont traitées ou utilisées (contrôle d'entrée).
• Empêcher les personnes non autorisées d'utiliser les systèmes de traitement des données (contrôle de l'utilisation).
• Veiller à ce que les utilisateurs autorisés d'un système de traitement des données puissent accéder aux données personnelles uniquement dans le cadre de leurs droits d'accès, et que les données personnelles stockées dans le système de traitement des données ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation, que ce soit pendant le traitement ou l'utilisation ou lorsqu'elles sont stockées (contrôle d'accès).
• Veiller à ce que les données personnelles ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le transfert électronique de données ou pendant le processus de transmission ou de stockage sur des supports de données, et qu'il soit possible de vérifier et d'établir où le transfert de données personnelles est pris en charge par des installations de transfert de données (contrôle du transfert).
• Veiller à ce qu'il puisse être examiné et établi rétrospectivement si, et par qui, des Données Personnelles ont été fournies, modifiées ou supprimées des systèmes de traitement des données (contrôle des entrées).
• Veiller à ce que les données personnelles traitées pour le compte du responsable du traitement DHL ne puissent être traitées que conformément aux instructions du responsable du traitement DHL (contrôle des processus).
• Veiller à ce que les données personnelles soient protégées contre la destruction accidentelle ou la perte (contrôle de la disponibilité).
• Veiller à ce que les éléments de données collectés à des fins différentes soient traités séparément (exigence de séparation).
• Fournir la possibilité de pseudonymisation et de cryptage des données personnelles.
• Fournir la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement, y compris la capacité de restaurer la disponibilité et l'accès aux Données Personnelles.
• Fournir un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles garantissant la sécurité du traitement des données.

2.5.4 Violation de données personnelles

Comme indiqué ci-dessus, la confidentialité et la sécurité des données sont des aspects essentiels du système de gestion de la protection des données du groupe DHL. Toutefois, en cas de violation de données à caractère personnel, l’entité du groupe DHL concernée doit documenter la violation de données à caractère personnel dans un registre dédié et la notifier à la direction compétente et au responsable de la protection des données, conformément au processus de violation de données à caractère personnel du groupe DHL. Lorsque la violation de données personnelles est susceptible d'entraîner un risque pour les droits et libertés des personnes physiques, l’entité du groupe DHL concernée doit en informer l'autorité de contrôle compétente (pour l'EEE, dans les 72 heures après en avoir pris connaissance, mais cela peut différer pour d'autres juridictions). Lorsque la violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, l’entité du groupe DHL concernée notifie en outre la personne concernée, conformément aux lois applicables en matière de protection des données. Dans le cas où l’entité du groupe DHL concernée agit en tant que sous-traitant, elle doit notifier l’entité du groupe DHL agissant en tant que contrôleur lorsqu'elle prend connaissance de la violation de données à caractère personnel.

2.6 Droits de la personne concernée

2.6.1 Obligations générales

(1) Le responsable du traitement des données de DHL prend les mesures appropriées pour fournir à la personne concernée les informations et les communications relatives au traitement des données sous une forme concise, transparente, intelligible et facilement accessible. Les informations sont fournies par écrit ou par d'autres moyens, selon le cas.

(2) Le responsable du traitement DHL doit fournir des informations ou prendre des mesures sur demande conformément aux articles 2.6.2 à 2.6.4 sans retard excessif et, dans tous les cas, dans un délai d'un mois à compter de la réception de la demande. Si nécessaire, compte tenu de la complexité et du nombre de demandes, cette période peut être prolongée de deux mois supplémentaires. La personne concernée est informée de cette prolongation dans un délai d'un mois à compter de la réception de la demande, ainsi que des raisons du retard.

2.6.2 Droit d'accès

(1) Chaque personne concernée a le droit d'obtenir du responsable du traitement de données DHL la confirmation que ses données à caractère personnel font l'objet d'un traitement et, lorsque c'est le cas, d'accéder à ses données à caractère personnel et de recevoir des informations supplémentaires, notamment sur leur origine, la finalité du traitement, les destinataires auxquels elles ont été communiquées et, lorsque c'est possible, la période envisagée pour la conservation des données ou les critères permettant de déterminer cette période. En outre, la personne concernée reçoit un accès aux informations si la prise de décision automatisée, y compris le profilage, est effectuée. Lorsque c'est le cas, ils reçoivent des informations supplémentaires sur la logique impliquée ainsi que sur l'importance et les conséquences envisagées de ce traitement des données. La personne concernée est également informée des garanties appropriées relatives au transfert de données à caractère personnel vers un pays tiers, le cas échéant.

(2) À la demande de la personne concernée, le responsable du traitement de données DHL fournira une copie des données personnelles faisant l'objet d'un traitement de données. Pour toute autre copie demandée par la personne concernée, le responsable du traitement peut imposer des frais raisonnables pour la délivrance de ces informations, sur la base des coûts administratifs.

2.6.3 Droit de rectification, de restriction, d'effacement (droit à l'oubli) et de portabilité des données

(1) La personne concernée a le droit d'exiger la rectification si les données stockées à son sujet sont incomplètes et/ou incorrectes.

(2) La personne concernée a le droit de demander au responsable du traitement de données DHL la restriction du traitement des données lorsque :

a) L’exactitude des données personnelles est contestée,

b) les données à caractère personnel ne sont plus nécessaires au responsable du traitement de données DHL,

c) le traitement des données est illégal, ou

d) lorsque la personne concernée s'est opposée au traitement des données conformément à la section 2.6.4.

(3) En outre, la personne concernée a le droit de demander la suppression de ses données personnelles si le traitement des données était inadmissible ou si les données personnelles ne sont plus nécessaires aux fins du traitement des données, ou si toute autre raison prévue par les lois et règlements s'applique.

Lorsque le responsable du traitement de données DHL a rendu les données personnelles publiques, il doit - en tenant compte de la technologie disponible et des coûts de mise en œuvre - prendre des mesures raisonnables pour informer les autres responsables du traitement qui traitent les données personnelles que la personne concernée a demandé à supprimer tout lien vers ces données personnelles, ou toute copie ou réplication de ces données personnelles (droit à l'oubli). Les obligations ci-dessus ne s'appliquent pas lorsque le Traitement des données est nécessaire au respect des obligations légales par les Lois et Règlements qui exigent le traitement.

(4) La personne concernée a le droit de recevoir ses données personnelles fournies au responsable du traitement DHL dans les conditions mentionnées dans les lois et règlements dans un format structuré, couramment utilisé et lisible par machine (portabilité des données).

2.6.4 Droit d'opposition

(1) La Personne concernée a le droit de s'opposer à tout moment au traitement de ses Données à caractère personnel, qui est fondé sur l'intérêt public ou l'exercice de l'autorité officielle dont est investi un Responsable du traitement de données DHL, ou fondé sur les intérêts légitimes poursuivis par le Responsable du traitement des données de DHL ou par un Tiers. À moins que le responsable du traitement de données DHL ne démontre des motifs légitimes impérieux pour le traitement des données qui l'emportent sur les intérêts de la personne concernée ou ne démontre la nécessité d'établir, d'exercer ou de défendre des réclamations légales, le responsable du traitement de données DHL ne traitera plus les données à caractère personnel.

(2) Lorsque les Entités du Groupe DHL traitent des Données à caractère personnel à des fins de marketing direct, la Personne concernée a le droit de s'opposer à tout moment au Traitement des données, qui inclut le Profilage, dans la mesure où il est lié à ce marketing direct. En cas d'opposition de la personne concernée, les entités du groupe DHL ne traiteront plus les données à caractère personnel à des fins de marketing direct.

2.6.5 Interdiction de la discrimination

Les entités du groupe DHL traitent les personnes concernées de manière juste et équitable lorsqu'elles font valoir leurs droits.

2.6.6 Assertion

(1) La personne concernée peut à tout moment contacter le responsable de la protection des données du responsable du traitement de données DHL concerné (via le formulaire de demande sous Avis de confidentialité sur dhl.com) concernant le traitement des données personnelles de la personne concernée ou avec des questions concernant la politique, y compris lorsqu'elle souhaite se plaindre du traitement des données.

(2) Pour les demandes de renseignements et les réclamations par courrier, les personnes concernées peuvent utiliser l'adresse de contact suivante :

Deutsche Post AG
Global Data Protection
53250 Bonn

Les demandes de renseignements et les plaintes seront transmises à l’entité du groupe DHL concernée.

(3) Les personnes concernées peuvent déposer leurs demandes et leurs plaintes directement auprès du responsable du traitement de données DHL. Dans ce cas, le responsable du traitement de données DHL, s'engage à traiter ces demandes et plaintes sans retard excessif dans un délai d'un mois à compter de la réception de la demande. En tenant compte de la complexité et du nombre de demandes, les entités du groupe DHL peuvent prolonger le délai d'un mois au maximum de deux mois supplémentaires, auquel cas la personne concernée sera informée en conséquence dans un délai d'un mois à compter de la réception de la demande, ainsi que des raisons du retard.

(4) Les personnes concernées sont dûment informées de la procédure de traitement des plaintes et de la manière de déposer une plainte par le biais de la politique et des avis de confidentialité publiés par les entités du groupe DHL sur les sites Internet respectifs.

(5) Nonobstant ce qui précède, la Personne concernée a également le droit de déposer une plainte auprès de l'Autorité de contrôle compétente et/ou d'intenter une action en justice.

3.1 Délégué à la protection des données de l'entreprise

(1) Le délégué à la protection des données de l'entreprise coordonne la coopération et l'accord sur toutes les questions concernant la politique. En particulier, le délégué à la protection des données de l'entreprise est un représentant vis-à-vis des parties externes et des autorités de contrôle nationales/internationales pour toutes les questions relatives à la politique. Indépendamment de cela, les responsables de la protection des données qui sont nommés conformément aux lois et règlements conservent leur indépendance et leur liberté d'action.

(2) Le délégué à la protection des données de l'entreprise surveille la mise en œuvre de la politique sur la base d'audits conformément à la section 3.5 ci-dessous, ainsi que d'autres instruments appropriés, et fait rapport au conseil d'administration du groupe DHL. Les entités du groupe DHL soutiennent le délégué à la protection des données de l'entreprise dans l'exécution de ces tâches.

(3) Les entités du groupe DHL informent le délégué à la protection des données de l'entreprise si et quand elles adhèrent ou se retirent de la politique. Chaque année, et sur demande, le délégué à la protection des données de l'entreprise fournit à l'autorité de contrôle la liste des entités du groupe DHL qui ont adhéré.

(4) Le délégué à la protection des données de l'entreprise est également responsable de la mise à jour de la politique, comme décrit au chapitre 5 ci-dessous, ainsi que de l'organisation des formations obligatoires à cet égard.

3.2 Comité de pilotage sur la protection des données

Afin de mettre en œuvre la politique et de parvenir à une intégration continue des exigences en matière de protection des données dans les processus opérationnels, un comité de pilotage de la protection des données, composé de représentants des divisions, a été mis en place. En particulier, le comité directeur de la protection des données soutient et échange avec le délégué à la protection des données de l'entreprise pour établir et maintenir le système de gestion de la protection des données du groupe DHL.

3.3 Les responsables de la protection des données et les conseillers juridiques en matière de protection des données

(1) Chaque entité du groupe DHL doit nommer un responsable de la protection des données indépendant. Le responsable de la protection des données est chargé de la mise en œuvre des normes et des réglementations et doit avoir la possibilité de rendre compte au directeur général de l’entitédu groupe DHL concernée.

(2) Afin de garantir le respect de la politique, les entités du groupe DHL impliqueront les responsables de la protection des données à un stade précoce du développement et de la conception de processus opérationnels, de produits, de services et de mesures de marketing nouveaux et modifiés. Pour assurer l'exécution de ces tâches, les entités du groupe DHL informent le responsable de la protection des données concerné de tout développement pertinent.

(3) Les entités du groupe DHL informent le responsable de la protection des données de l’entitédu groupe DHL concernée des violations (présumées) des dispositions relatives à la protection des données et de la politique sans retard excessif.

(4) En ce qui concerne les incidents violant la politique qui concernent plus d'une entité du groupe DHL, le responsable de la protection des données informe également le responsable de la protection des données de l'entreprise et le conseiller juridique compétent en matière de protection des données. En particulier, les responsables de la protection des données informent le délégué à la protection des données de l'entreprise si les lois applicables à une entité du groupe DHL changent de manière substantielle et désavantageuse et si cela a un effet sur la protection des données ou l'adhésion à la politique.

(5) Les responsables de la protection des données se soutiennent mutuellement dans la mise en œuvre et la gestion du système de gestion de la protection des données du groupe DHL. Avec les conseillers juridiques, ils font partie du réseau de confidentialité des données du groupe DHL.

(6) Les conseillers juridiques en matière de protection des données qui ont une expérience juridique soutiennent les fonctionnaires chargés de la protection des données dans l'accomplissement de leurs tâches. En particulier, en ce qui concerne les questions réglementaires, les responsables de la protection des données demandent l'avis des conseillers juridiques en matière de protection des données.

3.4 Formations

(1) Le délégué à la protection des données de l'entreprise propose des formations obligatoires, appropriées et actualisées sur la protection des données, ainsi que des formations continues et des mesures de sensibilisation. Le cycle de formation pour les formations obligatoires est de deux ans pour les salariés en situation de travail actif.

(2) Les responsables de la protection des données doivent, régulièrement et conformément au concept de formation respectif, former de manière adéquate les employés respectifs des entités du groupe DHL qui ont un accès permanent ou régulier aux données personnelles ou qui sont impliqués dans la collecte des données personnelles ou dans le développement d'outils utilisés pour traiter les données personnelles sur l'application de la politique.... La mise en œuvre des formations doit être documentée par le responsable de la protection des données concerné et faire l'objet d'un rapport au moins une fois par an au délégué à la protection des données de l'entreprise.

(3) Les formations comprennent, sans s'y limiter, des formations sur la gestion des demandes d'accès par les autorités publiques ainsi que sur la gestion de l'accès aux Données Personnelles.

3.5 Audits

(1) Les entités du groupe DHL vérifieront la mise en œuvre de la politique et de tous les éléments du système de gestion de la protection des données du groupe DHL de manière régulière et conformément au programme d'audit de la protection des données. Il se compose du concept d'audit de la protection des données, élaboré par le délégué à la protection des données de l'entreprise, et des plans d'audit annuels, préparés par le délégué à la protection des données de l'entreprise et les divisions du groupe DHL, qui précisent les activités d'audit régulières, les auditeurs et leur fréquence.

(2) Le rapport d'audit, y compris les mesures correctives proposées pour traiter et atténuer les risques, doit être communiqué et - en fonction du type et de la portée de l'audit - au responsable de la protection des données concerné et au directeur général de l’entitédu groupe DHL concernée et, le cas échéant, au conseil d'administration du groupe DHL. Il est également mis à la disposition de l'autorité de contrôle compétente sur demande.

(3) Les audits sont effectués soit par des auditeurs internes, soit par des auditeurs externes qualifiés, sans aucun conflit d'intérêts. En outre, le délégué à la protection des données de l'entreprise et les responsables de la protection des données approuvent et soutiennent les audits généraux de conformité, en particulier les audits réalisés par le service d'audit interne ou les audits réalisés par des auditeurs externes. Dans le cas où un audit identifie une non-conformité importante aux principes énoncés dans la politique, l’entitédu groupe DHL concernée qui est jugée non conforme doit rapidement mettre en œuvre les actions correctives nécessaires pour se mettre en conformité.

(4) En plus des audits prévus dans la présente section, des audits ad hoc peuvent être lancés par le délégué à la protection des données de l'entreprise de temps à autre.

(5) Sur demande, le délégué à la protection des données de l'entreprise fournit à l'autorité de contrôle le rapport d'audit correspondant. Une autorité de contrôle compétente peut demander au délégué à la protection des données de l'entreprise d'effectuer ou de faire effectuer - conformément aux lois et règlements - un audit dans une entité du groupe DHL pour vérifier le respect de la politique. L’entitédu groupe DHL concernée doit accepter un tel audit et procéder à des ajustements pour répondre à toute suggestion d'amélioration identifiée par l'audit.

3.6 Conformité

Les entités du groupe DHL s'engagent à respecter les obligations suivantes :

(1) Aucun transfert de données en vertu de la Politique n'est effectué vers un importateur de données DHL à moins qu'il ne soit effectivement lié par la Politique et qu'il puisse en assurer le respect.

(2) L'exportateur de données DHL sera rapidement informé par l'importateur de données DHL si ce dernier n'est pas en mesure de se conformer à la politique. Lorsque l'importateur de données DHL enfreint la politique ou n'est pas en mesure de s'y conformer, l'exportateur de données DHL doit suspendre le transfert de données.

(3) Exportateur de données DHL doit également suspendre le transfert de données à Importateur de données DHL lorsque Importateur de données DHL enfreint de manière substantielle ou persistante la Politique ou que Importateur de données DHL ne respecte pas une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle compétente.

(4) Lorsque Exportateur de données DHL a suspendu le transfert de données à caractère personnel et que la conformité n'est pas rétablie dans le mois suivant la suspension, Importateur de données DHL doit, à la discrétion de Exportateur de données DHL, immédiatement retourner ou supprimer toutes les données à caractère personnel qui ont été transférées en vertu de la politique. Importateur de données DHL appliquera les mêmes engagements à toute copie de données, certifiera la suppression des données à Exportateur de données DHL et veillera au respect de la Politique jusqu'à ce que les Données Personnelles soient supprimées ou restituées.

(5) Si les lois locales interdisent à Importateur de données DHL de renvoyer ou de supprimer les données personnelles transférées, Importateur de données DHL s'assurera du respect continu de la Politique et ne traitera les données personnelles que pendant la durée et selon les exigences de la loi locale.

3.7 La coopération avec les autorités de contrôle compétentes

(1) Les entités du groupe DHL acceptent de coopérer de bonne foi et dans la mesure où cela est admissible selon les lois et règlements avec l'autorité de surveillance compétente.

(2) Les entités du groupe DHL acceptent d'être auditées et inspectées, y compris si nécessaire et conformément aux lois et règlements, sur place, par les autorités de contrôle compétentes. Ils prennent en compte leurs conseils et, si nécessaire et conformément aux Lois et Règlements, se conforment aux décisions de ces Autorités de surveillance sur toute question liée à la Politique. Sur demande, les entités du groupe DHL fourniront aux autorités de contrôle compétentes toute information sur les opérations de traitement couvertes par la politique.

(3) En cas de modification des lois et règlements applicables à une entité du groupe DHL susceptible d'avoir un effet négatif important sur les garanties fournies dans le cadre de la politique, l’entitédu groupe DHL doit informer le délégué à la protection des données de l'entreprise, qui contactera l'autorité de contrôle de l'UE compétente.

(4) Tous les litiges liés au contrôle du respect de la présente politique par les autorités de contrôle compétentes sont tranchés par les tribunaux de l'État membre de l'UE de l'autorité de contrôle, conformément au droit procédural de cet État membre. Les entités du groupe DHL acceptent de se soumettre à l'autorité de ces tribunaux.

(5) Le fonctionnaire responsable de la protection des données et, dans la mesure où cela est nécessaire, le conseiller juridique en matière de protection des données sont impliqués dans toutes les questions liées au traitement des activités des autorités de contrôle.

4.1 Responsabilité des entités du groupe DHL

(1) Chaque exportateur de données DHL est responsable, à l'égard des personnes concernées, de toute violation de la politique et / ou des dommages matériels ou immatériels résultant de ces violations, indépendamment de la personne qui en est à l'origine.

(2) Chaque entité du groupe DHL devra prouver qu'elle n'a pas enfreint la politique. Si la réclamation de la personne concernée porte sur un acte ou une omission d'un importateur de données DHL, l'exportateur de données DHL ne sera exonéré de toute responsabilité envers la personne concernée (en tout ou en partie) que s'il peut prouver que l'importateur de données DHL n'a pas enfreint la politique. 

(3) Si une personne concernée, sur la base d'une violation commise par l'importateur de données DHL ou son sous-traitant, n'est pas en mesure d'intenter une action en réparation et en compensation, le cas échéant, contre l'exportateur de données DHL, parce que l'exportateur de données DHL a disparu dans les faits ou cesse d'exister en droit ou est devenu insolvable, l'importateur de données DHL donnera à la personne concernée le droit de poursuivre l'importateur de données DHL en lieu et place de ce dernier. Si une autre entité a repris les responsabilités légales de l'exportateur de données DHL par contrat ou par la loi, la personne concernée peut faire valoir ses droits contre cette entité successeur.

(4) L'importateur de données ne peut pas se prévaloir d'un manquement d'un sous-traitant secondaire à ses obligations, afin de se soustraire à sa propre responsabilité. La responsabilité du Sous-Traitant est limitée à ses propres opérations de traitement des données dans le cadre de la Politique.

(5) Le versement de dommages-intérêts punitifs, en vertu desquels une entité du groupe DHL serait obligée d'effectuer des paiements à une personne concernée dépassant les dommages réels subis, est expressément exclu.

(6) La personne concernée a le droit de mandater un organisme à but non lucratif, une organisation ou une association qui a été dûment constituée conformément aux lois et règlements, et qui a des objectifs statutaires qui sont dans l'intérêt public et qui est active dans le domaine de la protection des droits et libertés des personnes concernées, avec l'application de leurs droits. Cela peut inclure le dépôt de plaintes, l'exercice de leurs droits de personne concernée et l'introduction de demandes de réparation et d'indemnisation, le cas échéant, en leur nom, lorsque cela est prévu par les Lois et les Règlements.

4.2 Charge de la preuve

Dans tous les cas et lorsqu'une personne concernée a démontré qu'elle a subi un préjudice susceptible d'avoir été causé par une violation de la politique, la charge de la preuve du traitement des données personnelles de la personne concernée conformément à la politique incombe à l'exportateur de données DHL concerné.

4.3 Droits des tiers

(1) Si la personne concernée n'a pas de droits directs, elle a le droit de faire valoir, en tant que tiers bénéficiaire, ses droits en vertu de la politique à l'encontre de l’entitédu groupe DHL qui a violé ses obligations contractuelles à l'égard de la personne concernée.

(2) Les personnes concernées peuvent faire appliquer les dispositions de la politique, en tant que tiers bénéficiaires, comme détaillé ci-dessous :

a) les principes de protection des données détaillés dans la section 2 ;

b) le fait que le groupe DHL accorde un accès facile à la politique, comme détaillé dans la section 1.6 ;

c) les droits d'accès, de rectification, d'effacement, de restriction, d'opposition au Traitement, et le droit de ne pas faire l'objet de décisions uniquement fondées sur un Traitement automatisé accordés aux Personnes concernées, comme détaillé dans la section 2.6 ;

d) l'obligation, pour chaque entité du groupe DHL, de notifier l'autorité de contrôle compétente en cas de conflit entre la législation locale et la politique, comme détaillé dans la section 1.3 ;

e) le droit pour les personnes concernées de se plaindre par le biais de la procédure de plainte interne du groupe, comme détaillé dans la section 2.6.6;

f) l'obligation pour les entités du groupe DHL de coopérer avec les autorités de contrôle, comme détaillé dans la section 3.7 ;

g) l'obligation pour chaque entité du groupe DHL de l'EEE transférant des données à caractère personnel à une entité du groupe DHL hors EEE sur la base de la politique, d'accepter la responsabilité de tout manquement à la politique par l’entitédu groupe DHL hors EEE qui a reçu les données à caractère personnel, comme détaillé dans la section 4 ;

h) l'obligation d'informer les personnes concernées de toute mise à jour de la politique et de ses membres, comme détaillé dans la section 5 ;

i) le droit à des recours judiciaires, à des réparations et à des indemnisations, comme détaillé dans la section 4.1.

j) l'obligation pour tout transfert ultérieur de données à caractère personnel par une entité du groupe DHL hors EEE à un tiers de s'assurer que ce tiers est tenu de fournir le même niveau de protection des données que celui énoncé dans la présente politique.

4.4 Lieu de juridiction

À la discrétion de l'individu, la personne concernée a le droit de déposer une plainte :

• auprès d'une autorité de contrôle, en particulier dans l'État membre de l'UE de la résidence habituelle de la personne concernée, de son lieu de travail ou du lieu de la violation présumée, ou de l'autorité de contrôle compétente des États membres de l'UE dans lesquels l'exportateur de données DHL ou l'importateur de données DHL possède un établissement, et
• devant le tribunal compétent des États membres de l'UE où l'exportateur de données DHL ou l'importateur de données DHL possède un établissement, ou où la personne concernée a sa résidence habituelle.

4.5 Règlement extrajudiciaire des litiges

(1) Les personnes concernées qui estiment que leur droit à la protection de leur vie privée a été compromis par un traitement réel ou présumé de leurs données personnelles, peuvent déposer une plainte auprès du responsable de la protection des données compétent de l’entitédu groupe DHL concernée. Le délégué à la protection des données examine la légitimité de la plainte et informe la personne concernée de ses droits. Dans ce contexte, le délégué à la protection des données préserve la confidentialité des autres données personnelles dont le délégué à la protection des données a été informé par le plaignant, dans la mesure où ce dernier ne libère pas le délégué à la protection des données de cette obligation. À la demande de la personne concernée, l’entitédu groupe DHL peut essayer de parvenir à un règlement de la plainte avec la personne concernée sous l'implication du responsable de la protection des données.

(2) Le droit de la personne concernée de déposer une plainte auprès de l'autorité de contrôle de la protection des données compétente et/ou d'intenter une action n'est pas affecté par cette disposition.

(1) La Politique peut être modifiée de temps à autre, lorsque et dans la mesure nécessaire, notamment pour se conformer aux lois sur la protection des données en vigueur ou pour intégrer des changements au sein du groupe DHL.

(2) En cas de mises à jour nécessaires, le délégué à la protection des données de l'entreprise informe le comité directeur de la protection des données et lui soumet des propositions pertinentes. Le délégué à la protection des données de l'entreprise doit également initier d'autres alignements de la direction, si nécessaire, en fonction de la substance des changements nécessaires.

(3) Toute modification importante de la politique doit être signalée à l'avance et accompagnée d'une brève explication des raisons à l'autorité de surveillance. Toute autre modification apportée à la présente politique (le cas échéant), telle que celle visant à aligner la politique sur les recommandations actualisées de l'EDPB concernant les règles d'entreprise contraignantes, doit être signalée avec une brève explication des raisons à l'autorité de surveillance une fois par an.Cela peut s'appliquer lorsque les changements pertinents affectent potentiellement la conformité de l’entitédu groupe DHL avec les lois applicables en matière de protection des données, ou lorsque les changements sont potentiellement préjudiciables aux droits des personnes concernées.

(4) Des informations claires et facilement accessibles concernant ces changements importants doivent être mises à la disposition de toutes les entités du groupe DHL et de leurs employés.

(5) Une version actuelle de la politique et la liste des membres de la politique seront publiées sur les sites Internet du groupe DHL.

(1) En cas de litige, la politique est soumise au droit procédural de la République fédérale d'Allemagne.

(2) Si certaines dispositions de la politique sont ou deviennent nulles, elles sont réputées avoir été remplacées par les dispositions qui se rapprochent le plus des intentions initiales de la politique et des dispositions nulles. En cas de doute, les lois sur la protection des données de l'Union européenne s'appliquent dans ces cas ou en l'absence de dispositions pertinentes.