Oracle Legal

La confidentialité chez Oracle
Politique de confidentialité d’Oracle en matière de services

La présente Politique de confidentialité Oracle en matière de services (la « Politique de confidentialité en matière de services ») est organisée en trois sections :

I. La première section (Conditions de traitement des données d’informations personnelles de services) décrit les pratiques de confidentialité et de sécurité adoptées par Oracle Corporation et ses sociétés affiliées (« Oracle ») pour le traitement des informations personnelles en matière de services (comme défini ci-dessous) lors de la prestation de services tels que le support technique, le conseil, le Cloud ou autres (les « Services ») fournis aux clients Oracle (« Vous » ou « Votre/Vos ») pendant la durée de votre commande de services.

Les informations personnelles de services désignent les informations personnelles que vous avez fournies, qui se trouvent dans les environnements et les systèmes tiers, des clients et d’Oracle, et qui sont traitées par Oracle en votre nom afin d’exécuter les services. Les informations personnelles de services peuvent inclure, selon les services : des informations concernant la famille, le mode de vie et la situation sociale ; des détails sur votre emploi ; des renseignements financiers ; des identifiants en ligne tels que les identifiants d’appareil mobile et adresses IP, ainsi que des données de comportement et de centre d’intérêt en ligne de premier niveau. Les informations personnelles de services peuvent concerner vos représentants et utilisateurs finaux, tels que vos employés, demandeurs d’emploi, entrepreneurs, collaborateurs, partenaires, fournisseurs et clients.

II. La deuxième section (Conditions de traitement des données opérationnelles système) décrit les pratiques de confidentialité et de sécurité qui s’appliquent aux informations personnelles pouvant être contenues dans les données opérationnelles système, qui sont générées par l’interaction des utilisateurs (finaux) de nos services (« Utilisateurs ») avec les systèmes et réseaux Oracle qui servent à surveiller, protéger et fournir des services à notre clientèle.

Les données opérationnelles système peuvent inclure les fichiers journaux, les fichiers d’événements et autres fichiers de suivi et de diagnostic, ainsi que des informations statistiques et agrégées relatives à l’utilisation et au fonctionnement de nos services, ainsi qu’aux systèmes et réseaux sur lesquels ces services s’exécutent.

III. La troisième section (Communications et notifications aux clients et aux utilisateurs) s’applique à la fois aux informations personnelles de services et aux informations personnelles contenues dans les données opérationnelles système ; elle décrit la manière dont Oracle traite les demandes de divulgation requises par la loi et vous explique comment communiquer avec le responsable de la protection des données à l’échelle internationale d’Oracle ou déposer une plainte.

Les définitions des informations personnelles de services et des données opérationnelles système n’incluent pas vos contacts ou ceux des utilisateurs ainsi que les informations connexes collectées lors de l’utilisation des sites Web Oracle, ou vos interactions et celles de l’utilisateur avec nous pendant le processus commercial. Le traitement de ces informations par Oracle est soumis au respect des conditions de la politique de confidentialité générale d’Oracle.

I. CONDITIONS DE TRAITEMENT DES DONNEES D’INFORMATIONS PERSONNELLES DE SERVICES

Oracle traite toutes les informations personnelles de services conformément aux dispositions des sections I et III de la présente politique et de votre commande de services.

En cas de conflit entre les conditions de la présente politique de confidentialité en matière de services et une clause de confidentialité intégrée à votre commande de services, y compris un accord de traitement de données Oracle, les conditions de confidentialité pertinentes de votre commande de services prévalent.

1. Exécution des services

Oracle peut traiter les informations personnelles de services dans les activités nécessaires à l’exécution des services, notamment pour tester et appliquer de nouvelles versions de produits ou de systèmes, des correctifs, des mises à jour et des mises à niveau, et pour résoudre d’autres problèmes signalés à Oracle.

2. Instructions des clients

C’est vous qui contrôlez la manière dont les informations personnelles de services sont traitées par Oracle pour exécuter les services. Oracle traitera vos informations personnelles de services comme spécifié dans votre commande de services et vos instructions écrites supplémentaires documentées dans la mesure où cela est nécessaire pour permettre à Oracle de (i) satisfaire à ses obligations de chargé de traitement en vertu de la loi en vigueur en matière de protection des données ou de (ii) vous aider à respecter vos obligations de contrôleur en vertu de la loi en vigueur sur la protection des données appropriées à votre utilisation des services. Oracle vous informera rapidement si, à notre avis raisonnable, vos instructions enfreignent les lois en vigueur en matière de protection des données. Des frais supplémentaires peuvent s’appliquer.

3. Droits des internautes

Vous contrôlez personnellement l’accès de vos utilisateurs finaux à vos informations personnelles de services ; les utilisateurs finaux sont invités à prendre directement contact avec vous en cas de question relative à leurs informations personnelles de services. Dans la mesure où ledit accès n’est pas disponible, Oracle fournit une assistance raisonnable aux internautes souhaitant consulter, supprimer ou effacer, restreindre, rectifier, recevoir et transmettre des informations personnelles de services, bloquer l’accès à ces informations ou s’opposer à leur traitement sur les systèmes Oracle.

4. Sécurité et confidentialité

Oracle a mis en place des mesures techniques et organisationnelles pérennes visant à empêcher la destruction, la perte, l’altération, la divulgation ou la consultation non autorisée des informations personnelles de services, de manière accidentelle ou illégale. Ces mesures, généralement alignées sur la norme ISO/CEI 27001:2013, régissent tous les domaines de la sécurité applicables aux services, notamment l’accès physique, l’accès au système, l’accès aux données, la transmission, la saisie, la surveillance de la sécurité et l’application.

Les employés d’Oracle sont tenus de préserver la confidentialité des informations personnelles. Entre autres obligations, ils sont tenus de signer des accords de confidentialité écrits, de suivre régulièrement des formations à la protection des informations et de se conformer aux politiques de l’entreprise concernant la protection des informations confidentielles.

Consultez les détails supplémentaires concernant les mesures de sécurité spécifiques s’appliquant aux Services qui sont énoncées dans les pratiques de sécurité de ces Services, y compris en ce qui concerne la conservation et la suppression des données.

5. Notification de violation des données et gestion des incidents

Oracle examine et traite immédiatement les incidents qui laissent supposer ou indiquent une consultation ou une utilisation non autorisée des informations personnelles de services.

Si Oracle vient à constater et détermine qu’un incident impliquant des informations personnelles de services est considéré comme une violation de la sécurité donnant lieu à une appropriation illicite ou une destruction, une perte ou une altération accidentelle ou illégale, une divulgation ou une consultation non autorisée des informations personnelles de services transmises, stockées ou autrement traitées sur des systèmes Oracle, compromettant la sécurité, la confidentialité ou l’intégrité desdites informations personnelles de services, Oracle vous signalera ladite violation rapidement.

Les informations relatives à la violation étant collectées ou devenues raisonnablement accessibles à Oracle, et dans la mesure autorisée par la loi, la société Oracle vous fournira les informations pertinentes supplémentaires dont elle dispose sur la violation.

6. Sous-traitants

Dans la mesure où Oracle utilise des sous-traitants tiers pour accéder aux informations personnelles de services afin de faciliter la réalisation des services, lesdits sous-traitants doivent respecter le même niveau de sécurité et de protection des données qu’Oracle. Oracle est responsable de la conformité de ses sous-traitants avec les conditions de votre commande de services.

Oracle gère des listes de sous-traitants et de sociétés affiliées Oracle habilités à traiter les informations personnelles de services. Des informations supplémentaires sont à votre disposition via My Oracle Support (https://support.oracle.com), Document ID 2121811.1, ou par le biais de tout autre outil d’assistance principal applicable aux services.

7. Transferts de données transfrontaliers

Oracle est une société internationale présente dans plus de 80 pays. Les informations personnelles de services peuvent être traitées dans le monde entier si nécessaire, conformément à la présente politique. Si les informations personnelles sont transférées à un destinataire Oracle dans un pays n’offrant pas un niveau adéquat de protection des informations personnelles, Oracle prendra des mesures adéquates pour garantir la protection des informations personnelles vous concernant, par exemple en garantissant que lesdits transferts respectent les conditions des clauses types de l’UE ou tout autre mécanisme de transfert adéquat, conformément à la législation applicable en matière de protection des données.

Si le contrat de prestation de service conclu entre vous et Oracle fait référence à l’accord de traitement de données Oracle (« DPA »), vous trouverez de plus amples informations sur le mécanisme de transfert des données applicable à votre commande de services Oracle dans le DPA. En particulier, pour les informations personnelles de services transférées depuis l’espace économique européen (« EEE »), la Suisse ou le Royaume-Uni (« RU »), ces transferts sont soumis aux règles d’entreprise contraignantes d’Oracle pour les sous-traitants (BCR-P, Binding Corporate Rules for Processors) ou aux conditions des clauses types de l’UE.

8. Droits d’audit

Dans la mesure prévue dans votre commande de services, vous pouvez, à vos frais, vérifier la conformité d’Oracle aux conditions de la présente politique de confidentialité en envoyant une demande écrite à Oracle, y compris un plan d’audit détaillé, au moins six semaines avant la date d’audit proposée. Vous travaillerez en collaboration avec Oracle pour convenir d’un plan d’audit final.

L’audit doit être réalisé une seule fois par période de douze mois, pendant les heures de bureau normales, sous réserve des politiques et réglementations sur site d’Oracle, et ne doit pas entraver de manière déraisonnable les activités de l’entreprise. Si vous souhaitez faire appel à un tiers pour effectuer l’audit, l’auditeur tiers doit être accepté par les deux parties et il doit signer un accord de confidentialité écrit acceptable pour Oracle. A la fin de l’audit, vous fournirez à Oracle une copie du rapport d’audit qui est classé comme information confidentielle selon les termes de votre accord avec Oracle.

Oracle doit contribuer à ces audits en vous fournissant les informations et l’assistance raisonnablement nécessaires à la réalisation de l’audit, notamment tous les enregistrements pertinents des activités de traitement applicables aux services. Si l’étendue de l’audit demandée est traitée dans un rapport d’audit SOC 1 ou SOC 2, ISO, NIST, PCI DSS, HIPAA ou similaire, émis par un auditeur tiers qualifié au cours des douze mois précédents et qu’Oracle vous fournit ledit rapport confirmant qu’aucun changement important connu n’a eu lieu dans les contrôles audités, vous convenez d’accepter les constatations présentées dans le rapport d’audit tiers au lieu de demander un audit des mêmes contrôles couverts par le rapport. Des conditions d’audit supplémentaires peuvent être incluses dans votre commande de services.

9. Suppression ou renvoi des informations personnelles de services

Sauf indication contraire dans une commande de services ou disposition contraire de la loi, à la résiliation des services ou à votre demande, Oracle s’engage à supprimer vos données clients de production situées sur les ordinateurs Oracle de manière à garantir qu’elles ne soient plus raisonnablement accessibles ou lues, sauf s’il existe une obligation légale imposée à Oracle qui l’empêche de supprimer tout ou partie des données. Vous pouvez contacter le responsable des services Oracle pour plus d’informations sur la suppression des données avant la fin du service.

II. CONDITIONS DE TRAITEMENT DES DONNEES OPERATIONNELLES SYSTEME

1. Responsabilité et objectifs du traitement des informations personnelles

Oracle Corporation et ses sociétés affiliées sont responsables du traitement des informations personnelles qui peuvent être contenues dans les données opérationnelles des systèmes conformément aux sections II et III de la présente politique. Consultez la liste des entités Oracle. Veuillez sélectionner une région et un pays pour afficher les adresses et coordonnées enregistrées des organisations Oracle situées dans chaque pays.

Nous pouvons collecter ou générer des données opérationnelles système aux fins suivantes :

• a) pour nous aider à sécuriser nos services, notamment pour la surveillance de la sécurité et la gestion des identités ;
• b) pour enquêter et prévenir les fraudes potentielles ou les activités illégales impliquant nos systèmes et nos réseaux, y compris pour empêcher les cyberattaques et détecter les robots ;
• c) pour administrer nos politiques et nos plans de récupération après sinistre de secours ;
• d) pour assurer la conformité aux licences et autres conditions d’utilisation (surveillance de la conformité des licences) ;
• e) à des fins de recherche et développement, notamment pour analyser, développer, améliorer et optimiser nos services ;
• f) pour nous conformer aux lois et réglementations en vigueur et mener nos activités, y compris pour nous conformer aux exigences légales en matière de rapports, de divulgation et autres procédures juridiques, de fusions et d’acquisitions, de finances et de comptabilité, d’archivage et d’assurances, de consultation juridique et commerciale et de résolution des litiges.

Pour les informations personnelles contenues dans les données opérationnelles système collectées dans l’UE, le fondement légal de notre traitement desdites informations est notre intérêt légitime à exécuter, conserver et sécuriser nos produits et nos services et à exploiter notre entreprise de manière efficace et appropriée. Les informations personnelles peuvent également être traitées en fonction de nos obligations légales ou de notre intérêt légitime à respecter lesdites obligations légales.

2. Partage des informations personnelles

Les informations personnelles contenues dans les données opérationnelles système peuvent être partagées au sein de l’entreprise internationale d’Oracle. La liste des organisations Oracle est disponible comme indiqué précédemment.

Nous partageons également lesdites informations personnelles avec les tiers énumérés ci-dessous :

• les prestataires de services tiers (par exemple, les prestataires de services informatiques, les juristes et les auditeurs) afin que ces fournisseurs de services puissent exercer des fonctions commerciales pour le compte d’Oracle ;
• les tiers impliqués dans le cadre d’une restructuration, d’une fusion, d’une vente, de la création d’une coentreprise, d’une cession, d’un transfert ou de toute autre cession de tout ou partie de nos activités, actifs ou actions (y compris en lien avec toute procédure de liquidation ou autre procédure similaire) ;
• comme l’exige la loi, notamment pour nous soumettre à une assignation ou toute autre procédure juridique, lorsque nous croyons de bonne foi que la divulgation est nécessaire pour protéger nos droits, votre sécurité ou la sécurité d’autrui, enquêter sur les fraudes ou répondre aux requêtes du gouvernement, y compris les autorités publiques et gouvernementales en dehors de votre pays de résidence, à des fins de sécurité nationale et/ou d’application de la loi.

Lorsque des tiers sont autorisés à accéder aux informations personnelles contenues dans les données opérationnelles système, nous prenons toutes les mesures contractuelles, techniques et organisationnelles nécessaires visant à garantir notamment que vos informations personnelles sont traitées uniquement dans la mesure où ce traitement est nécessaire, conforme à la présente politique de confidentialité et en conformité avec la loi en vigueur.

3. Transferts de données transfrontaliers

Si les informations personnelles contenues dans les données opérationnelles système sont transférées à un destinataire Oracle dans un pays n’offrant pas un niveau adéquat de protection des informations personnelles, Oracle prendra des mesures adéquates pour garantir la protection des informations personnelles des utilisateurs, par exemple en garantissant que lesdits transferts respectent les conditions des clauses types de l’UE.

4. Sécurité

Oracle a mis en place des mesures techniques, physiques et organisationnelles appropriées conformément aux pratiques de sécurité d’Oracle Corporate visant à protéger les informations personnelles contre toute destruction accidentelle ou illicite, perte accidentelle, dommage, altération, divulgation ou consultation non autorisée, ainsi que toute autre forme de traitement illicite (notamment la collecte inutile) ou de traitement ultérieur.

5. Droits de l’utilisateur

Dans la mesure prévue par les lois en vigueur, les utilisateurs peuvent demander à consulter, corriger, mettre à jour ou supprimer les informations personnelles contenues dans les données opérationnelles système dans certains cas, ou exercer leurs droits sur leurs informations personnelles en remplissant un formulaire de demande.

III. COMMUNICATIONS ET NOTIFICATIONS AUX CLIENTS ET AUX UTILISATEURS

1. Exigences légales.

Oracle peut être tenu de fournir un accès aux informations personnelles de services et aux informations personnelles contenues dans les données opérationnelles système, comme l’exige la loi, notamment pour se soumettre à une assignation ou toute autre procédure juridique, lorsque nous croyons de bonne foi que la divulgation est nécessaire pour protéger nos droits, votre sécurité, la sécurité de l’utilisateur ou d’autrui, enquêter sur les fraudes ou répondre aux requêtes du gouvernement, y compris les autorités publiques et gouvernementales en dehors de votre pays de résidence ou de celui de l’utilisateur, à des fins de sécurité nationale et/ou d’application de la loi.

Oracle est tenu de vous informer rapidement des demandes d’accès aux informations personnelles de services, sauf disposition contraire de la loi.

2. Global Data Protection Officer

Oracle a nommé un responsable global de la protection des données, qui est également le Directeur de la confidentialité d’Oracle. Si vous, ou un utilisateur, estimez que vos informations personnelles ont été utilisées de façon contraire à la Politique de confidentialité ou si vous, ou un utilisateur, avez des questions, des observations ou des suggestions concernant le traitement par Oracle des informations personnelles de services ou des informations personnelles contenues dans les données opérationnelles système, veuillez contacter le responsable de la protection des données en remplissant le formulaire de demande.

Toutes les demandes écrites sont à envoyer au responsable de la protection des données à l’échelle internationale à l’adresse ci-dessous :

Oracle Corporation
Global Data Protection Officer
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
Etats-Unis

Pour les informations personnelles collectées à l’INTERIEUR de l’UE/EEE, les demandes écrites adressées au délégué à la protection des données (Data Protection Officer) de l’UE peuvent être envoyées à l’adresse suivante :

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / Munich
Allemagne

Pour les informations personnelles collectées à l’INTERIEUR du Brésil, les demandes écrites adressées au délégué à la protection des données (Data Protection Officer) du Brésil peuvent être envoyées à l’adresse suivante :

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, BR

3. Résolution des litiges ou dépôt d’une plainte

En cas de réclamation concernant le respect de nos pratiques de sécurité et de confidentialité, vous, ou l’utilisateur, êtes invité à nous contacter en premier lieu. Nous procéderons à une enquête et tenterons de résoudre toute réclamation et tout litige découlant de nos pratiques en matière de confidentialité.

Les utilisateurs qui estiment qu’un problème relatif à la confidentialité ou à l’utilisation des données n’a pas été résolu convenablement peuvent contacter gratuitement notre expert américain en charge de la résolution des litiges à l’adresse suivante : https://feedback-form.truste.com/watchdog/request.

Dans certaines conditions, les Utilisateurs peuvent être appelés à invoquer un arbitrage exécutoire lorsque les autres procédures de résolution des litiges se sont révélées infructueuses. Les utilisateurs ont également le droit de déposer une plainte auprès d’une autorité compétente en matière de protection des données s’ils résident dans un pays membre de l’Union européenne.

4. Modifications apportées à la présente Politique de confidentialité en matière de services

La présente Politique de confidentialité a été mise à jour le vendredi 9 avril 2021. Toutefois, la Politique de confidentialité en matière de services est susceptible d’être modifiée avec le temps afin de se conformer aux exigences légales ou de répondre aux besoins de notre entreprise en constante évolution. La version la plus récente est disponible sur ce site Web. En cas de changements importants, nous vous informerons également d’une autre manière appropriée (par exemple par le biais d’un avis intégré à une fenêtre contextuelle ou d’une déclaration de modifications sur notre site Web) avant que les changements n’entrent en vigueur.

Versions précédentes : 19/01/2021 | 20/10/2020 | 07/03/2019 | 14/02/2019