Services juridiques Oracle

Téléchargements Oracle
Avis juridiques

La protection des renseignements personnels chez Oracle
Politique de protection des renseignements personnels d’Oracle quant aux services

Cette Politique de protection des renseignements personnels d’Oracle quant aux services d’Oracle (« Politique de protection des renseignements personnels quant aux services ») est organisée en trois sections :

I. La première section (Modalités de traitement des renseignements personnels quant aux services) décrit les pratiques en matière de protection des renseignements personnels et de sécurité qu’Oracle Corporation et ses sociétés affiliées (« Oracle ») utilisent lors du traitement des renseignements personnels de services (tel que défini ci-dessous) pour la prestation du soutien technique, de services-conseils, de services en nuage ou d’autres services (les « services ») fournis aux clients d’Oracle (« vous » ou « votre ») pendant la durée de votre commande de services.

Les renseignements personnels de services sont les renseignements personnels qui sont fournis par vous, qui se trouvent sur les systèmes et les environnements d’Oracle, d’un client ou d’un tiers, et qui sont traités par Oracle en votre nom afin d’exécuter les services. Les renseignements personnels des services peuvent comprendre, selon le service : les renseignements concernant la famille, le style de vie et le contexte social, les détails d’emploi, les détails financiers, les identifiants en ligne comme les ID d’appareils mobiles et les adresses IP, ainsi que le comportement en ligne et les données d’intérêts de premier tiers. Les renseignements personnels de services pourraient être liés à vos représentants et utilisateurs finaux, comme vos employés, candidats, employés contractuels, collaborateurs, partenaires, fournisseurs et clients.

II. La deuxième section (Modalités de traitement des données d’opérations du système) décrit les pratiques en matière de protection des renseignements personnels et de sécurité qui s’appliquent aux renseignements personnels qui peuvent être accessoirement contenus dans les données d’opérations des systèmes qui sont générés par l’interaction des utilisateurs (finaux) de nos services (les « utilisateurs ») avec les systèmes et les réseaux d’Oracle utilisés pour surveiller, protéger et livrer les services à notre clientèle.

Les données d’opérations des systèmes peuvent comprendre les fichiers journaux, les fichiers d’événements et d’autres fichiers de trace et de diagnostic, ainsi que les renseignements statistiques et agrégés qui se rapportent à l’utilisation et au fonctionnement de nos services et aux systèmes et réseaux sur lesquels ces services s’exécutent.

III. La troisième section (Communications et avis aux clients et aux utilisateurs) s’applique à la fois aux renseignements personnels de services et aux renseignements personnels contenus dans les données d’opérations des systèmes, décrit comment Oracle gère les demandes de divulgation requises par la loi et vous informe vous et les utilisateurs de la manière de communiquer avec l’agent de protection de données mondiales d’Oracle ou de la manière de déposer une plainte.

Liens rapides – Modalités de traitement des données d’opérations des systèmes

Les définitions de renseignements personnels de services et de données d’opérations des systèmes ne comprennent pas vos coordonnées et renseignements connexes ou ceux de l’utilisateur collectés à partir de l’utilisation des sites Web d’Oracle ou de vos interactions ou de celles de l’utilisateur avec nous lors du processus contractuel. Le traitement par Oracle de ces renseignements est assujetti aux modalités de la Politique générale de protection des renseignements personnels d’Oracle.

I. MODALITÉS DE TRAITEMENT DES RENSEIGNEMENTS PERSONNELS DES SERVICES

Oracle traite tous les renseignements personnels des services conformément aux modalités des sections I et III de la présente politique et de votre commande de services.

En cas de conflit entre les modalités de cette Politique de protection des renseignements personnels des services et les modalités de protection des renseignements personnels incorporées dans votre commande de services, incluant une Convention de traitement de données d’Oracle, les modalités pertinentes de protection des renseignements personnels de votre commande de services auront préséance.

1. Exécution des services

Oracle peut traiter les renseignements personnels des services pour les activités de traitement nécessaires pour exécuter les services, y compris pour mettre à l’essai et appliquer de nouveaux produits ou de nouvelles versions de système, correctifs, mises à jour et mises à niveau, et pour résoudre des bogues et d’autres problèmes que vous avez signalés à Oracle.

2. Directives pour les clients

Vous êtes responsable des renseignements personnels des services traités par Oracle pour fournir les services. Oracle traitera vos renseignements personnels des services comme précisé dans votre commande de services et dans vos instructions écrites supplémentaires documentées dans la mesure nécessaire pour qu’Oracle (i) se conforme à ses obligations de traitement en vertu de la loi applicable en matière de protection des données ou (ii) vous aide à vous conformer à vos obligations de responsable en vertu de la loi en matière de protection des données applicable à votre utilisation des services. Oracle vous informera sans délai si, à son avis, vos instructions enfreignent la loi applicable en matière de protection des données. Des frais supplémentaires peuvent s’appliquer.

3. Droits des clients

Vous contrôlez l’accès de vos utilisateurs finaux à vos renseignements personnels des services; toute demande de leur part visant leurs renseignements personnels de services doit vous être adressée. Dans la mesure où cet accès n’est pas disponible pour vous, Oracle vous fournira une aide raisonnable avec les demandes provenant de personnes pour accéder, supprimer, effacer, restreindre, rectifier, recevoir, transmettre, bloquer l’accès ou refuser le traitement des renseignements personnels des services sur les systèmes d’Oracle.

4. Sécurité et confidentialité

Oracle a mis en œuvre et maintiendra des mesures techniques et organisationnelles conçues pour empêcher la destruction accidentelle ou illégale, la perte, la modification, la divulgation et l’accès non autorisés aux renseignements personnels des services. Ces mesures, qui sont généralement conformes aux normes ISO/IEC 27001:2013, régissent tous les aspects en matière de sécurité applicables aux services, y compris l’accès physique, l’accès au système, l’accès aux données, la transmission, la saisie, la surveillance et l’application.

Les employés d’Oracle ont l’obligation de préserver la confidentialité des renseignements personnels. Les obligations des employés impliquent notamment de signer une entente de confidentialité écrite, de suivre des formations périodiques sur la protection des renseignements personnels et de se conformer aux politiques de protection des renseignements confidentiels.

D’autres détails concernant les mesures de sécurité précises qui s’appliquent aux services sont définis dans les pratiques en matière de sécurité pour ces services, y compris au sujet de la conservation et de la suppression des données, sont disponibles pour consultation ici.

5. Gestion des incidents et avis de violations des données.

Oracle s’engage à évaluer et à résoudre promptement les incidents qui laissent penser ou indiquent qu’on a pu consulter ou traiter sans autorisation des renseignements personnels des services.

Si Oracle apprend et détermine qu’un incident impliquant les renseignements personnels des services peut être considéré comme une violation de la sécurité entraînant le détournement, la destruction, la perte, la falsification, la divulgation ou la consultation non autorisés, accidentels ou illicites, de renseignements personnels des services transmis, stockés ou autrement traités par les systèmes d’Oracle d’une façon qui compromet la sécurité, la confidentialité ou l’intégrité de ces renseignements personnels des services, Oracle s’engage à vous informer de cette violation sans retard indu.

À mesure que les renseignements relatifs à la violation sont recueillis ou deviennent raisonnablement disponibles à Oracle et dans la mesure permise par la loi, Oracle vous fournira d’autres renseignements pertinents raisonnablement connus ou disponibles par Oracle concernant la violation.

6. Sous-traitants ultérieurs

Dans la mesure où Oracle engage des sous-traitants ultérieurs tiers pour avoir accès aux renseignements personnels des services afin d’assister à la prestation des services, ces sous-traitants ultérieurs seront assujettis au même niveau de protection des données et de sécurité qu’Oracle conformément aux modalités de votre commande de services. Oracle est responsable du respect par ses sous-traitants ultérieurs des modalités de votre commande de services.

Oracle conserve des listes de sociétés affiliées et de sous-traitants ultérieurs pouvant traiter des renseignements personnels des services. Des informations supplémentaires sont mises à votre disposition dans le document 2121811.1 sur My Oracle Support (https://support.oracle.com) ou par l’intermédiaire de tout autre outil de soutien principal accompagnant les services.

7. Transfert de données entre instances

Oracle peut transférer et stocker les données personnelles des services à l’échelle mondiale et y accéder comme nécessaire pour exécuter les services.

Dans la mesure où cet accès mondial implique un transfert de renseignements personnels des services depuis l’Espace économique européen (l’« EEE ») ou la Suisse à destination de sociétés affiliées d’Oracle ou de sous-traitants ultérieurs se trouvant dans des pays hors de l’EEE ou de la Suisse qui n’ont pas fait l’objet d’une décision d’adéquation contraignante par la Commission européenne ou par un organisme national de protection des données autorisé de l’EEE, ledit transfert est soumis aux mécanismes de transfert appropriés et contraignants fournissant un niveau de protection adéquat, conformément à la législation applicable en matière de protection des données, comme les clauses modèles de l’UE.

Oracle respecte également l’EU-U.S. Privacy Shield Framework et le Swiss-U.S. Privacy Shield Framework établis par le département du Commerce des États-Unis concernant la collecte, l’utilisation et la conservation des renseignements personnels des services lorsque vous et Oracle avez convenus par contrat que les transferts de ces renseignements depuis l’EEE ou la Suisse seraient effectués et traités conformément au Privacy Shield pour les services concernés. Oracle est alors responsable de veiller à ce que les tiers agissant à titre d’agent pour notre compte fassent la même chose.

Oracle a certifié au département du Commerce qu’elle respecte les principes Privacy Shield. En cas de conflit entre les conditions de la présente politique et les principes Privacy Shield, ces derniers ont préséance. Pour en savoir davantage sur le programme Privacy Shield et consulter notre certification, visitez le site https://www.privacyshield.gov/list.

Veuillez consulter le site Web Privacy Shield pour la liste d’entités couvertes par l’autocertification Privacy Shield d’Oracle. En ce qui concerne les renseignements personnels des services reçus ou transférés conformément au Privacy Shield Framework, Oracle est assujettie aux pouvoirs d’application réglementaire de la Federal Trade Commission des États-Unis et s’engage à coopérer avec les autorités européennes de protection des données.

8. Droits de vérification

Dans la mesure prévue dans votre commande de services, vous pouvez, à vos propres frais, vérifier la conformité d’Oracle avec les modalités de cette Politique de protection des renseignements personnels des services en envoyant une demande écrite à Oracle, y compris un plan de vérification détaillé, au moins six semaines avant la date de vérification proposée. Vous et Oracle collaborerez pour vous entendre sur un plan de vérification final.

La vérification doit être réalisée au plus une fois par période de douze mois, au cours des heures ouvrables régulières, sous réserve des politiques et des réglementations sur site d’Oracle, et ne doit pas perturber déraisonnablement les activités commerciales. Si vous désirez utiliser un tiers pour effectuer la vérification, le vérificateur tiers doit être mutuellement accepté par les parties et le vérificateur tiers doit signer une entente de confidentialité écrite acceptable pour Oracle. À la fin de la vérification, vous devrez fournir un exemplaire du rapport de vérification à Oracle, lequel est considéré comme un renseignement confidentiel selon les modalités de votre entente avec Oracle.

Oracle s’engage à contribuer à de telles vérifications en vous fournissant les renseignements et l’assistance raisonnablement requis pour effectuer la vérification, y compris les registres pertinents des activités de traitement applicables aux services. Si la vérification demandée a été traitée dans un rapport SOC 1 ou SOC 2, ISO, NIST, PCI DSS ou HIPAA ou dans un rapport de vérification comparable produit par un vérificateur tiers compétent au cours des douze mois précédents, et qu’Oracle vous fournit ce rapport en confirmant que les contrôles ayant fait l’objet de la vérification n’ont connu aucune modification d’importance, vous convenez d’accepter les conclusions du rapport de vérification de tiers au lieu de demander une nouvelle vérification des contrôles précis traités dans le rapport. Des modalités de vérification supplémentaires peuvent être incluses dans votre commande de services.

9. Suppression ou renvoi des renseignements personnels des services

Sauf indication contraire dans une commande de services ou si la loi l’exige, à la résiliation des services ou à votre demande, Oracle supprimera vos données de production client sur les ordinateurs Oracle d’une manière conçue pour s’assurer qu’ils ne peuvent pas être raisonnablement être accédés ou lus, à moins qu’il y ait une obligation légale imposée à Oracle qui l’empêche de supprimer la totalité ou une partie des données. Vous pouvez également communiquer avec votre personne-ressource des services d’Oracle pour plus de renseignements sur la suppression des données avant la fin du service.

II. MODALITÉS DE TRAITEMENT DES DONNÉES D’OPÉRATIONS DES SYSTÈMES

1. Responsabilité et objectifs du traitement des renseignements personnels

Oracle Corporation et ses sociétés affiliées sont responsables du traitement des renseignements personnels qui peuvent être accessoirement contenus dans les données d’opérations des systèmes, conformément aux sections II et III de la présente politique. Une liste des entités Oracle est disponible ici. Veuillez sélectionner une région et un pays pour voir l’adresse et les coordonnées enregistrées de l’entité ou des entités Oracle situées dans chaque pays.

Nous pouvons recueillir des données d’opérations des systèmes aux fins suivantes :

  • a) pour aider à garder nos services sécurisés, y compris pour la surveillance de sécurité et la gestion de l’identité;
  • b) pour enquêter sur des fraudes ou des activités illégales possibles impliquant nos systèmes et réseaux et les prévenir, y compris pour prévenir les cyberattaques et pour détecter les bots;
  • c) pour administrer nos plans et politiques de reprise après sinistre;
  • d) pour confirmer la conformité aux licences et aux autres conditions d’utilisation (vérification de conformité de licence);
  • e) à des fins de recherche et de développement, y compris pour analyser, approfondir, améliorer et optimiser nos services;
  • f) pour nous conformer aux lois et règlements applicables et pour exercer nos activités, notamment pour nous conformer aux demandes de déclaration ou de divulgation prescrites par la loi, ou de toute autre procédure juridique, à des fins de fusions et d’acquisitions, de finance et de comptabilité, d’archivage et d’assurance, de services-conseils juridiques et commerciaux et dans le contexte de la résolution des différends.

Pour les renseignements personnels contenus dans les données d’opérations des systèmes recueillis dans l’UE, notre fondement juridique pour le traitement de ces renseignements est notre intérêt légitime d’exécuter, de maintenir et de protéger nos produits et services et de mener nos activités de manière efficace et appropriée. Les renseignements personnels peuvent aussi être traités en fonction de nos obligations juridiques ou de notre intérêt légitime de nous conformer à ces obligations légales.

2. Partage des renseignements personnels

Les renseignements personnels contenus dans les données d’opérations des systèmes peuvent être communiqués dans l’ensemble de l’organisation mondiale d’Oracle. Une liste des entités Oracle est disponible, comme indiqué plus haut.

Nous pouvons également partager ces renseignements personnels avec les tiers suivants :

  • fournisseurs de services tiers (par exemple, les fournisseurs de services de TI, les avocats et les vérificateurs) pour que ces fournisseurs de services puissent effectuer les fonctions d’affaires au nom d’Oracle;
  • tiers concernés dans l’éventualité d’une réorganisation, d’une fusion, d’une vente, d’une coentreprise, d’une affectation, d’un transfert ou de l’aliénation de la totalité ou de toute partie de nos activités, de nos actifs ou de nos actions (y compris dans le cadre d’une faillite ou de procédures similaires);
  • tel qu’exigé par la loi, afin de nous conformer à une assignation à témoigner ou à toute autre procédure juridique, lorsque nous croyons de bonne foi que la divulgation est nécessaire pour protéger nos droits, protéger votre sécurité ou celle d’autrui, enquêter sur une fraude ou répondre aux demandes du gouvernement, y compris les autorités publiques et gouvernementales à l’extérieur de votre pays de résidence, pour la sécurité nationale et aux fins d’application de la loi.

Lorsque les tiers obtiennent l’accès aux renseignements personnels contenus dans les données d’opérations des systèmes, nous prenons les mesures contractuelles, techniques et organisationnelles appropriées pour garantir, par exemple, que les renseignements personnels sont traités seulement dans la mesure où ce traitement est nécessaire, conformément à la présente Politique de protection des renseignements personnels, et conformément à la loi applicable.

3. Transfert de données entre instances

Si les renseignements personnels contenus dans les données d’opérations des systèmes sont transférés à un destinataire d’Oracle dans un pays qui n’offre pas un niveau adéquat de protection des renseignements personnels, Oracle prendra des mesures visant à protéger adéquatement les renseignements concernant les utilisateurs, comme s’assurer que ces transferts sont assujettis aux conditions des clauses modèles de l’UE.

4. Sécurité

Oracle a mis en œuvre des mesures techniques, physiques et organisationnelles appropriées en conformité avec les pratiques d’Oracle Corporate Security, conçues pour protéger les renseignements personnels contre la destruction accidentelle ou illégale ou la perte, le dommage, la falsification, la divulgation ou l’accès non autorisé, ainsi que toute autre forme de traitement illicite (y compris, sans limitation, la collecte inutile) ou de traitement subséquent.

5. Choix de l’utilisateur

Dans la mesure permise par les lois applicables, les utilisateurs peuvent demander d’accéder, de corriger, de mettre à jour ou de supprimer les renseignements personnels contenus dans les données d’opérations des systèmes dans certains cas, ou d’exercer leurs choix à l’égard de leurs renseignements personnels en remplissant un formulaire de demande.

III. COMMUNICATIONS ET AVIS AUX CLIENTS ET AUX UTILISATEURS

1. Exigences juridiques.

Oracle peut être dans l’obligation de donner accès aux renseignements personnels des services et aux renseignements contenus dans les données d’opérations des systèmes tel qu’exigé par la loi, afin de nous conformer à une assignation à témoigner ou à toute autre procédure juridique, lorsque nous croyons de bonne foi que la divulgation est nécessaire pour protéger nos droits, protéger votre sécurité, celle d’un utilisateur ou celle d’autrui, enquêter sur une fraude ou répondre aux demandes du gouvernement, y compris les autorités publiques et gouvernementales à l’extérieur de votre pays de résidence, pour la sécurité nationale et aux fins d’application de la loi.

Oracle vous informera rapidement des demandes d’accès aux renseignements personnels des services, sauf exigence contraire de la loi.

2. Agente de protection de données mondiales

Oracle a nommé un délégué mondial à la protection des données. Si vous ou un utilisateur croyez que les renseignements personnels ont été utilisés d’une manière qui n’est pas conforme à la présente Politique de protection des renseignements personnels, ou si vous ou un utilisateur avez d’autres questions, commentaires ou suggestions concernant le traitement par Oracle des renseignements personnels des services ou des renseignements personnels contenus dans les données d’opérations des systèmes, veuillez communiquer avec l’agent de protection des données mondiales en remplissant un formulaire de demande.

Les demandes écrites à l’agent de protection de données mondiales peuvent être adressées à :

Oracle Corporation
Agente de protection de données mondiales
10 Van de Graaff Drive
Burlington, Massachusetts 01803
États-Unis

3. Résolution des différends ou dépôt d’une plainte

Si vous ou un utilisateur avez une plainte concernant notre respect de nos politiques en matière de protection des renseignements personnels et de sécurité, veuillez d’abord nous joindre. Nous examinerons et tenterons de résoudre toutes les plaintes et les contestations concernant nos pratiques en matière de protection des renseignements personnels.

Dans le cas d’un différend relatif à la protection des renseignements personnels ou à l’utilisation des données que nous n’avons pas réglé de manière satisfaisante, les utilisateurs peuvent communiquer avec notre fournisseur tiers en matière de résolution des différends aux États-Unis (sans frais) à l’adresse https://feedback-form.truste.com/watchdog/request.

Dans certaines conditions, décrites sur le site Web Privacy Shield, les utilisateurs peuvent faire appel à un arbitrage exécutoire lorsque les autres procédures de résolution ont été épuisées. Les utilisateurs ont également le droit de déposer une plainte auprès d’une autorité compétente de protection des données s’ils sont des résidents d’un état membre de l’Union européenne.


Pour en savoir plus