Notice d’information relative au traitement des données de contact dans les contrats Thales

Préambule

La protection des données personnelles est d’une grande importance pour Thales qui s’assure que les données personnelles des personnes concernées sont traitées en toute sécurité et confidentialité, conformément à la législation applicable à la protection des données personnelles.

A cet égard, Thales a adopté des Règles d’Entreprise Contraignantes ou « BCR » (selon l’acronyme de la terminologie anglaise « Binding Corporate Rules »). Les BCR de Thales constituent la politique globale du Groupe Thales en matière de protection des données personnelles, définissant les principes et les procédures que Thales s’engage à respecter.

Définitions

« BCR » : Désigne les Règles d’Entreprise Contraignantes applicables lorsque Thales est Responsable du Traitement telles qu’approuvées par la Commission Nationale de l’Informatique et des Libertés par délibération n° 2023-144 en date du 21 décembre 2023. Les BCR de Thales sont accessibles en cliquant ici.

« Contrat » : Désigne tout contrat, offre, lettre d’intention ou accord signé par une Société Thales avec un client, fournisseur, partenaire, prospect ou tout autre tiers.

« Données Personnelles » : Désigne toute information se rapportant à une Personne Concernée. 

« EEE » : Désigne l’Espace Economique Européen.

« Législation Applicable à la Protection des Données » : Désigne toute réglementation relative à la protection des données personnelles applicable au Contrat, notamment, le cas échéant, le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné « le RGPD ») ainsi que les lois et règlements adoptés pour mettre en œuvre le RGPD.

« Parties » : Désigne les Parties au Contrat.

« Pays Tiers » : Désigne un pays situé en dehors de l’EEE et du Royaume Uni.

« Personne Concernée » : Désigne une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, une adresse e-mail, des données de localisation, un numéro d’identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

« Responsable du Traitement » : Désigne les Parties au Contrat qui déterminent respectivement les finalités et les moyens du Traitement de Données Personnelles.

« Thales » ou « Société Thales » : Désigne Thales SA, société anonyme ayant son siège social sis 4, rue de la Verrerie, 92190 Meudon, France, immatriculée au registre du commerce et des sociétés de Nanterre, France, sous le numéro 552 059 024 et/ou, toute entité légale contrôlée directement ou indirectement par Thales SA. Le terme “contrôle” signifie que Thales SA détient directement ou indirectement plus de 50% (cinquante pour cent) des droits de vote ou des droits économique de l’entité légale concernée.

« Traitement » : Désigne toute opération et/ou ensemble d’opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données Personnelles ou à des ensembles de Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Finalité du Traitement de Données Personnelles

La présente notice d’information est applicable au Traitement de Données Personnelles réalisé par toute Société Thales pour les besoins de la gestion administrative du Contrat qu’elle signe et des échanges d’informations réalisés dans le cadre de l’exécution dudit Contrat.

A ce titre, la Société Thales agit en tant que Responsable du Traitement.

Catégories de Données Personnelles traitées et Personnes Concernées

Les Données Personnelles traitées par Thales comprennent les données de contact de ses salariés, des salariés de son/ses co-contractant(s) et/ou de tout tiers intervenant à l’exécution et/ou à la gestion administrative du Contrat telles que leur nom, prénom, identifiant professionnel, adresse e-mail professionnelle, adresse postale professionnelle, numéro de téléphone.

Dans certains cas, lorsque le Contrat exige la fourniture de références complémentaires concernant les salariés intervenant à son exécution, les Données Personnelles comprennent en outre des informations telles que la nationalité, la date de naissance, la formation, les postes occupés, l’adresse et le lieu de résidence du salarié.

Base légale du Traitement de données Personnelles

Les Données Personnelles sont utilisées dans le cadre de l’échange d’informations et/ou de documents, pour les besoins de la livraison et la facturation des produits et services objet du Contrat et/ou toute autre tâche afférant à la gestion administrative ou à l’exécution du Contrat.

Thales réalise le Traitement des Données Personnelles sur la base de son intérêt légitime.

Durée de conservation des Données Personnelles

Les Données Personnelles sont conservées par Thales pendant une durée de cinq (5) ans après le terme du Contrat.

Destinataires des Données Personnelles

Sont destinataires de tout ou partie des Données Personnelles faisant l’objet du Traitement les Parties au Contrat et le cas échéant le client final, les sous-traitants, prestataires et/ou fournisseurs intervenant à l’exécution du Contrat.

Transferts de Données Personnelles en dehors de l'Espace Economique Européen

Le partage des Données Personnelles avec certains destinataires peut nécessiter le transfert des Données Personnelles en dehors de l’EEE et du Royaume-Uni.

Lorsque les Données Personnelles sont transférées par une Société Thales établie dans l’EEE ou au Royaume-Uni vers une société Thales établie dans un Pays tiers, qui n'a pas été reconnu comme offrant un niveau de protection adéquat par une décision d'adéquation de la Commission européenne ou du Parlement britannique, le cas échéant, ce transfert repose sur les BCR de Thales.

Grâce aux BCR de Thales, quel que soit le lieu où les Données Personnelles sont traitées au sein du Groupe Thales, celles-ci bénéficient du même standard de protection.

Lorsque les Données Personnelles sont transférées par une Société Thales établie dans l’EEE vers une société tierce établie dans un Pays Tiers, qui n'a pas été reconnu comme offrant un niveau de protection adéquat par une décision d'adéquation de la Commission européenne, ce transfert est régi par les Clauses Contractuelles Types de l'Union européenne telles qu’adoptées par la Commission européenne (ci-après les «CCT») ou toute autre garantie appropriée.

Lorsque les Données Personnelles sont transférées par une Société Thales établie au Royaume-Uni vers une société tierce établie dans un Pays Tiers qui n'a pas été reconnu comme offrant un niveau de protection adéquat par une décision d'adéquation du Parlement britannique, ce transfert est régi par l’International Data Transfer Agreement ou par l’International Data Transfer Addendum aux CCT publiés par l’Information Commissioner’s Office du Royaume-Uni.

Les CCT signées par Thales peuvent être obtenues sur demande en cliquant ici

Droits des Personnes Concernées

Les Personnes Concernées disposent d’un droit d’accès à leur Données Personnelles ainsi que d’un droit de rectification et d’effacement de leurs Données Personnelles. Elles bénéficient en outre du droit de s’opposer au Traitement de leurs Données Personnelles ou de solliciter une limitation dudit Traitement

Toute demande d’exercice de droit ou réclamation doit être effectuée par courrier électronique à l’adresse du point de contact mentionné dans le Contrat

A défaut de mention dans le Contrat, la demande peut être effectuée en cliquant ici.

Elle peut aussi être effectuée auprès du Délégué à la Protection des Données du Groupe par courrier électronique à l’adresse dataprotection@thalesgroup.com.

En tout état de cause, il est possible d’introduire une réclamation auprès de l'autorité compétente de protection des données.

Mise à jour de la notice Septembre 2024