Aucun résultat trouvé

Votre recherche n’a donné aucun résultat.

Département juridique Oracle

Téléchargements Oracle
Mentions légales

La confidentialité chez Oracle
Politique de confidentialité d’Oracle en matière de services

La présente politique de confidentialité d’Oracle en matière de services (« Politique de confidentialité en matière de services ») s’organise en trois sections :

I. La première section (Conditions de traitement des données d’informations personnelles de services) décrit les pratiques de confidentialité et de sécurité adoptées par Oracle Corporation et ses sociétés affiliées (« Oracle ») pour le traitement des informations personnelles en matière de services (comme défini ci-dessous) lors de la prestation de services tels que le support technique, le conseil, le Cloud ou autres (les « Services ») fournis aux clients Oracle (« Vous » ou « Votre/Vos ») pendant la durée de votre commande de services.

Les informations personnelles de services désignent les informations personnelles que vous avez fournies, qui se trouvent dans les environnements et les systèmes tiers, des clients et d’Oracle, et qui sont traitées par Oracle en votre nom afin d’exécuter les services. Les informations personnelles de services peuvent inclure, selon les services : des informations concernant la famille, le mode de vie et la situation sociale ; des détails sur votre emploi ; des renseignements financiers ; des identifiants en ligne tels que les identifiants d’appareil mobile et adresses IP, ainsi que des données de comportement et de centre d’intérêt en ligne de premier niveau. Les informations personnelles de services peuvent concerner vos représentants et utilisateurs finaux, tels que vos employés, demandeurs d’emploi, entrepreneurs, collaborateurs, partenaires, fournisseurs et clients.

II. La deuxième section (Conditions de traitement des données opérationnelles système) décrit les pratiques de confidentialité et de sécurité qui s’appliquent aux informations personnelles pouvant être contenues dans les données opérationnelles système, qui sont générées par l’interaction des utilisateurs (finaux) de nos services (« Utilisateurs ») avec les systèmes et réseaux Oracle qui servent à surveiller, protéger et fournir des services à notre clientèle.

Les données opérationnelles système peuvent inclure les fichiers journaux, les fichiers d’événements et autres fichiers de suivi et de diagnostic, ainsi que des informations statistiques et agrégées relatives à l’utilisation et au fonctionnement de nos services, ainsi qu’aux systèmes et réseaux sur lesquels ces services s’exécutent.

III. La troisième section (Communications et notifications aux clients et aux utilisateurs) s’applique à la fois aux informations personnelles de services et aux informations personnelles contenues dans les données opérationnelles système ; elle décrit la manière dont Oracle traite les demandes de divulgation requises par la loi et vous explique comment communiquer avec le responsable de la protection des données à l’échelle internationale d’Oracle ou déposer une plainte.

Les définitions des informations personnelles de services et des données opérationnelles système n’incluent pas vos contacts ou ceux des utilisateurs ainsi que les informations connexes collectés lors de l’utilisation des sites Web Oracle, ou vos interactions et celles de l’utilisateur avec nous pendant le processus commercial. Le traitement de ces informations par Oracle est soumis au respect des conditions de la politique de confidentialité générale d’Oracle.

I. CONDITIONS DE TRAITEMENT DES DONNEES D’INFORMATIONS PERSONNELLES DE SERVICES

Oracle traite toutes les informations personnelles de services conformément aux dispositions des sections I et III de la présente politique et de votre commande de services.

En cas de conflit entre les conditions de la présente politique de confidentialité en matière de services et une clause de confidentialité intégrée à votre commande de services, y compris un accord de traitement de données Oracle, les conditions de confidentialité pertinentes de votre commande de services prévalent.

1. Exécution des services

Oracle peut traiter les informations personnelles de services dans les activités nécessaires à l’exécution des services, notamment pour tester et appliquer de nouvelles versions de produits ou de systèmes, des correctifs, des mises à jour et des mises à niveau, et pour résoudre d’autres problèmes signalés à Oracle.

2. Instructions des clients

C’est vous qui contrôlez la manière dont les informations personnelles de services sont traitées par Oracle pour exécuter les services. Oracle traitera vos informations personnelles de services comme spécifié dans votre commande de services et vos instructions écrites supplémentaires documentées dans la mesure où cela est nécessaire pour permettre à Oracle de (i) satisfaire à ses obligations de chargé de traitement en vertu de la loi en vigueur en matière de protection des données ou de (ii) vous aider à respecter vos obligations de contrôleur en vertu de la loi en vigueur sur la protection des données appropriées à votre utilisation des services. Oracle vous informera rapidement si, à notre avis raisonnable, vos instructions enfreignent les lois en vigueur en matière de protection des données. Des frais supplémentaires peuvent s’appliquer.

3. Droits des internautes

Vous contrôlez personnellement l’accès de vos utilisateurs finaux à vos informations personnelles de services ; les utilisateurs finaux sont invités à prendre directement contact avec vous en cas de question relative à leurs informations personnelles de services. Dans la mesure où ledit accès n’est pas disponible, Oracle fournit une assistance raisonnable aux internautes souhaitant consulter, supprimer ou effacer, restreindre, rectifier, recevoir et transmettre des informations personnelles de services, bloquer l’accès à ces informations ou s’opposer à leur traitement sur les systèmes Oracle.

4. Sécurité et confidentialité

Oracle a mis en place des mesures techniques et organisationnelles pérennes visant à empêcher la destruction, la perte, l’altération, la divulgation ou la consultation non autorisée des informations personnelles de services, de manière accidentelle ou illégale. Ces mesures, généralement alignées sur la norme ISO/CEI 27001:2013, régissent tous les domaines de la sécurité applicables aux services, notamment l’accès physique, l’accès au système, l’accès aux données, la transmission, la saisie, la surveillance de la sécurité et l’application.

Les employés d’Oracle sont tenus de préserver la confidentialité des informations personnelles. Entre autres obligations, ils sont tenus de signer des accords de confidentialité écrits, de suivre régulièrement des formations à la protection des informations et de se conformer aux politiques de l’entreprise concernant la protection des informations confidentielles.

Des détails supplémentaires concernant les mesures de sécurité spécifiques qui s’appliquent aux services sont définis dans les pratiques de sécurité de ces services, notamment en matière de rétention et de suppression des données, sont disponibles ici.

5. Notification de violation des données et gestion des incidents

Oracle examine et traite immédiatement les incidents qui laissent supposer ou indiquent une consultation ou une utilisation non autorisée des informations personnelles de services.

Si Oracle vient à constater et détermine qu’un incident impliquant des informations personnelles de services est considéré comme une violation de la sécurité donnant lieu à une appropriation illicite ou une destruction, une perte ou une altération accidentelle ou illégale, une divulgation ou une consultation non autorisée des informations personnelles de services transmises, stockées ou autrement traitées sur des systèmes Oracle, compromettant la sécurité, la confidentialité ou l’intégrité desdites informations personnelles de services, Oracle vous signalera ladite violation rapidement.

Les informations relatives à la violation étant collectées ou devenues raisonnablement accessibles à Oracle, et dans la mesure autorisée par la loi, la société Oracle vous fournira les informations pertinentes supplémentaires dont elle dispose sur la violation.

6. Sous-traitants

Dans la mesure où Oracle utilise des sous-traitants tiers pour accéder aux informations personnelles de services afin de faciliter la réalisation des services, lesdits sous-traitants doivent respecter le même niveau de sécurité et de protection des données qu’Oracle. Oracle est responsable de la conformité de ses sous-traitants avec les conditions de votre commande de services.

Oracle gère des listes de sous-traitants et de sociétés affiliées Oracle habilités à traiter les informations personnelles de services. Des informations supplémentaires sont à votre disposition via My Oracle Support (https://support.oracle.com), Document ID 2121811.1, ou par le biais de tout autre outil d’assistance principal applicable aux services.

7. Transferts de données transfrontaliers

Oracle peut transférer, consulter et stocker les données personnelles de services à l’échelle internationale si cela s’avère nécessaire à l’exécution des services.

Dans la mesure où cet accès à l’échelle internationale implique un transfert d’informations personnelles de services provenant de l’Espace économique européen (« EEE”) ou de la Suisse à des sous-traitants tiers ou sociétés affiliées Oracle établis hors de l’EEE ou de la Suisse qui n’ont pas reçu de décision d’adéquation contraignante de la Commission européenne ou d’une autorité nationale compétente de l’EEE chargée de la protection des données, lesdits transferts sont soumis à des mécanismes de transfert contraignants et appropriés assurant un niveau de protection adéquat, conformément à la législation en vigueur en matière de protection des données, telle que les clauses types de l’UE.

La société Oracle respecte également les Boucliers de protection des données UE-Etats-Unis (EU-U.S. Privacy Shield Framework) et Suisse-Etats-Unis (Swiss-U.S. Privacy Shield Framework), tels qu’ils ont été établis par le ministère du Commerce américain concernant la collecte, l’utilisation et la conservation des informations personnelles de services, lorsqu’elle a convenu contractuellement avec vous que les transferts desdites informations en provenance de l’EEE ou de la Suisse seront effectués et traités dans le respect du Bouclier de protection des données applicable aux services concernés. Oracle est tenue, dans ce cas, de s’assurer que les tiers agissant en son nom observent les mêmes principes.

Oracle a certifié son adhésion aux principes du Bouclier de protection des données devant le ministère du Commerce américain. En cas de contradiction entre les conditions de la présente politique de confidentialité en matière de services et les principes du Bouclier de protection, ces derniers prévalent. Pour en savoir plus sur le programme de Bouclier de protection des données et pour consulter notre certification, rendez-vous sur le site https://www.privacyshield.gov/list.

Pour savoir quelles organisations sont couvertes par l’auto-certification d’Oracle dans le cadre du Bouclier de protection des données, consultez le site consacré au Bouclier. Eu égard aux informations personnelles de services reçues ou transférées en vertu du Bouclier de protection des données, Oracle est assujettie au pouvoir exécutif réglementaire de l’U.S. Federal Trade Commission et s’engage à coopérer avec les autorités européennes de protection des données.

8. Droits d’audit

Dans la mesure prévue dans votre commande de services, vous pouvez, à vos frais, vérifier la conformité d’Oracle aux conditions de la présente politique de confidentialité en envoyant une demande écrite à Oracle, y compris un plan d’audit détaillé, au moins six semaines avant la date d’audit proposée. Vous travaillerez en collaboration avec Oracle pour convenir d’un plan d’audit final.

L’audit doit être réalisé une seule fois par période de douze mois, pendant les heures de bureau normales, sous réserve des politiques et réglementations sur site d’Oracle, et ne doit pas entraver de manière déraisonnable les activités de l’entreprise. Si vous souhaitez faire appel à un tiers pour effectuer l’audit, l’auditeur tiers doit être accepté par les deux parties et il doit signer un accord de confidentialité écrit acceptable pour Oracle. A la fin de l’audit, vous fournirez à Oracle une copie du rapport d’audit qui est classé comme information confidentielle selon les termes de votre accord avec Oracle.

Oracle doit contribuer à ces audits en vous fournissant les informations et l’assistance raisonnablement nécessaires à la réalisation de l’audit, notamment tous les enregistrements pertinents des activités de traitement applicables aux services. Si l’étendue de l’audit demandée est traitée dans un rapport d’audit SOC 1 ou SOC 2, ISO, NIST, PCI DSS, HIPAA ou similaire, émis par un auditeur tiers qualifié au cours des douze mois précédents et qu’Oracle vous fournit ledit rapport confirmant qu’aucun changement important connu n’a eu lieu dans les contrôles audités, vous convenez d’accepter les constatations présentées dans le rapport d’audit tiers au lieu de demander un audit des mêmes contrôles couverts par le rapport. Des conditions d’audit supplémentaires peuvent être incluses dans votre commande de services.

9. Suppression ou renvoi des informations personnelles de services

Sauf indication contraire dans une commande de services ou disposition contraire de la loi, à la résiliation des services ou à votre demande, Oracle s’engage à supprimer vos données clients de production situées sur les ordinateurs Oracle de manière à garantir qu’elles ne soient plus raisonnablement accessibles ou lues, sauf s’il existe une obligation légale imposée à Oracle qui l’empêche de supprimer tout ou partie des données. Vous pouvez contacter le responsable des services Oracle pour plus d’informations sur la suppression des données avant la fin du service.

II. CONDITIONS DE TRAITEMENT DES DONNEES OPERATIONNELLES SYSTEME

1. Responsabilité et objectifs du traitement des informations personnelles

Oracle Corporation et ses sociétés affiliées sont responsables du traitement des informations personnelles qui peuvent être contenues dans les données opérationnelles des systèmes conformément aux sections II et III de la présente politique. La liste des organisations Oracle est disponible ici. Veuillez sélectionner une région et un pays pour afficher les adresses et coordonnées enregistrées des organisations Oracle situées dans chaque pays.

Nous pouvons collecter ou générer des données opérationnelles système aux fins suivantes :

  • a) pour nous aider à sécuriser nos services, notamment pour la surveillance de la sécurité et la gestion des identités ;
  • b) pour enquêter et prévenir les fraudes potentielles ou les activités illégales impliquant nos systèmes et nos réseaux, y compris pour empêcher les cyberattaques et détecter les robots ;
  • c) pour administrer nos politiques et nos plans de récupération après sinistre de secours ;
  • d) pour assurer la conformité aux licences et autres conditions d’utilisation (surveillance de la conformité des licences) ;
  • e) à des fins de recherche et développement, notamment pour analyser, développer, améliorer et optimiser nos services ;
  • f) pour nous conformer aux lois et réglementations en vigueur et mener nos activités, y compris pour nous conformer aux exigences légales en matière de rapports, de divulgation et autres procédures juridiques, de fusions et d’acquisitions, de finances et de comptabilité, d’archivage et d’assurances, de consultation juridique et commerciale et de résolution des litiges.

Pour les informations personnelles contenues dans les données opérationnelles système collectées dans l’UE, le fondement légal de notre traitement desdites informations est notre intérêt légitime à exécuter, conserver et sécuriser nos produits et nos services et à exploiter notre entreprise de manière efficace et appropriée. Les informations personnelles peuvent également être traitées en fonction de nos obligations légales ou de notre intérêt légitime à respecter lesdites obligations légales.

2. Partage des informations personnelles

Les informations personnelles contenues dans les données opérationnelles système peuvent être partagées au sein de l’entreprise internationale d’Oracle. La liste des organisations Oracle est disponible comme indiqué précédemment.

Nous partageons également lesdites informations personnelles avec les tiers énumérés ci-dessous :

  • les prestataires de services tiers (par exemple, les prestataires de services informatiques, les juristes et les auditeurs) afin que ces fournisseurs de services puissent exercer des fonctions commerciales pour le compte d’Oracle ;
  • les tiers impliqués dans le cadre d’une restructuration, d’une fusion, d’une vente, de la création d’une coentreprise, d’une cession, d’un transfert ou de toute autre cession de tout ou partie de nos activités, actifs ou actions (y compris en lien avec toute procédure de liquidation ou autre procédure similaire) ;
  • comme l’exige la loi, notamment pour nous soumettre à une assignation ou toute autre procédure juridique, lorsque nous croyons de bonne foi que la divulgation est nécessaire pour protéger nos droits, votre sécurité ou la sécurité d’autrui, enquêter sur les fraudes ou répondre aux requêtes du gouvernement, y compris les autorités publiques et gouvernementales en dehors de votre pays de résidence, à des fins de sécurité nationale et/ou d’application de la loi.

Lorsque des tiers sont autorisés à accéder aux informations personnelles contenues dans les données opérationnelles système, nous prenons toutes les mesures contractuelles, techniques et organisationnelles nécessaires visant à garantir notamment que vos informations personnelles sont traitées uniquement dans la mesure où ce traitement est nécessaire, conforme à la présente politique de confidentialité et en conformité avec la loi en vigueur.

3. Transferts de données transfrontaliers

Si les informations personnelles contenues dans les données opérationnelles système sont transférées à un destinataire Oracle dans un pays n’offrant pas un niveau adéquat de protection des informations personnelles, Oracle prendra des mesures adéquates pour garantir la protection des informations personnelles des utilisateurs, par exemple en garantissant que lesdits transferts respectent les conditions des clauses types de l’UE.

4. Sécurité

Oracle a mis en place des mesures techniques, physiques et organisationnelles appropriées conformément aux pratiques de sécurité d’Oracle Corporate visant à protéger les informations personnelles contre toute destruction accidentelle ou illicite, perte accidentelle, dommage, altération, divulgation ou consultation non autorisée, ainsi que toute autre forme de traitement illicite (notamment la collecte inutile) ou de traitement ultérieur.

5. Droits de l’utilisateur

Dans la mesure prévue par les lois en vigueur, les utilisateurs peuvent demander à consulter, corriger, mettre à jour ou supprimer les informations personnelles contenues dans les données opérationnelles système dans certains cas, ou exercer leurs droits sur leurs informations personnelles en remplissant un formulaire de demande.

III. COMMUNICATIONS ET NOTIFICATIONS AUX CLIENTS ET AUX UTILISATEURS

1. Exigences légales.

Oracle peut être tenu de fournir un accès aux informations personnelles de services et aux informations personnelles contenues dans les données opérationnelles système, comme l’exige la loi, notamment pour se soumettre à une assignation ou toute autre procédure juridique, lorsque nous croyons de bonne foi que la divulgation est nécessaire pour protéger nos droits, votre sécurité, la sécurité de l’utilisateur ou d’autrui, enquêter sur les fraudes ou répondre aux requêtes du gouvernement, y compris les autorités publiques et gouvernementales en dehors de votre pays de résidence ou de celui de l’utilisateur, à des fins de sécurité nationale et/ou d’application de la loi.

Oracle est tenu de vous informer rapidement des demandes d’accès aux informations personnelles de services, sauf disposition contraire de la loi.

2. Responsable de la protection des données à l’échelle internationale

Oracle a nommé un responsable de la protection des données à l’échelle internationale. Si vous, ou un utilisateur, estimez que vos informations personnelles ont été utilisées de façon contraire à la politique de confidentialité ou si vous, ou un utilisateur, avez des questions, des observations ou des suggestions concernant le traitement par Oracle des informations personnelles de services ou des informations personnelles contenues dans les données opérationnelles système, veuillez contacter le responsable de la protection des données en remplissant le formulaire de demande.

Toutes les demandes écrites sont à envoyer au responsable de la protection des données à l’échelle internationale à l’adresse ci-dessous :

Oracle Corporation
Global Data Protection Officer
10 Van de Graaff Drive
Burlington, MA 01803
Etats-Unis

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Allemagne
Email: mail@legislator.de

3. Résolution des litiges ou dépôt d’une plainte

En cas de réclamation concernant le respect de nos pratiques de sécurité et de confidentialité, vous, ou l’utilisateur, êtes invité à nous contacter en premier lieu. Nous procéderons à une enquête et tenterons de résoudre toute réclamation et tout litige découlant de nos pratiques en matière de confidentialité.

Les utilisateurs qui estiment qu’un problème relatif à la confidentialité ou à l’utilisation des données n’a pas été résolu convenablement peuvent contacter gratuitement notre expert américain en charge de la résolution des litiges à l’adresse suivante : https://feedback-form.truste.com/watchdog/request.

Dans certaines conditions, spécifiées sur le site Web du Bouclier de protection des données, les utilisateurs peuvent invoquer un arbitrage obligatoire lorsque les autres voies de recours se sont révélées infructueuses. Les utilisateurs ont également le droit de déposer une plainte auprès d’une autorité compétente en matière de protection des données s’ils résident dans un pays membre de l’Union européenne.


En savoir plus