NOTICE D'INFORMATION À L'ATTENTION DES EMPLOYÉS du GIE AXA, AXA SA, GIE AXA UNIVERSITE, AXA GLOBAL MOVE

AXA respecte votre vie privée et s'assure que toutes les données à caractère personnel sont traitées conformément aux meilleures pratiques en matière de confidentialité et à la législation applicable en matière de données à caractère personnel, notamment le Règlement général sur la protection des données (n° 2016/679) (ci-après le « RGPD »).

La présente Notice d’information a vocation à vous présenter les traitements des données à caractère personnel vous concernant en tant qu’employé(e) du GIE AXA, AXA SA, GIE AXA Université, AXA Global Move.

Mise à jour de la présente Notice d’information

Les Responsables de traitement peuvent mettre à jour cette Notice d’information en réponse à des changements juridiques, techniques ou commerciaux. Lors des mises à jour, les Responsables de traitement prendront les mesures appropriées pour vous en informer, au regard de l'importance de ces changements. Lorsque cela est requis par la loi, les Responsables de traitement solliciteront votre consentement pour toute modification importante des traitements de vos données à caractère personnel. Cette Notice a été mise à jour pour la dernière fois le 9 janvier 2025.

Sommaire

• Mise à jour de la présente Notice d’information

•   Qui sont les responsables de traitement de vos données à caractère personnel ?

• Quels sont vos droits concernant vos données à caractère personnel ?

• Comment contacter le Délégué à la protection des données (« DPD » ou « DPO ») pour toute question ou pour exercer vos droits ?

•  Comment émettre une réclamation auprès d’une Autorité de Contrôle ?

• Comment assurons-Nous la sécurité de vos données à caractère personnel ?

• La fourniture de vos données à caractère personnel est-elle obligatoire ?

• Pour quelles finalités et selon quelles modalités vos données à caractère personnel sont-elles traitées par AXA ?

• Qu'en est-il de Secure GPT et de MY AI Brain ?

• Une décision automatisée est-elle prise dans le cadre de ces traitements ?

• D’où proviennent vos données à caractère personnel ?

• À qui communiquons-Nous vos données à caractère personnel ?

•  Vos données à caractère personnel sont-elles transférées en dehors de l’Union Européenne ?

Qui sont les responsables de traitement de vos données à caractère personnel ?

Le GIE AXA, Groupement d'Intérêt Economique de Droit français dont le siège social est situé 23 avenue Matignon, 75008 Paris, immatriculé au Registre du Commerce et des Sociétés de Paris sous le numéro 333 491 066, agit en tant que responsable de traitement indépendant (c'est-à-dire qu'il détermine les finalités et les moyens du traitement de vos informations).

Dans certains cas, le GIE AXA et AXA SA (à l’exclusion de ses filiales), Société Anonyme de Droit français dont le siège social est situé au 25 avenue Matignon, 75008 Paris, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 572 093 920, ou le GIE AXA et le GIE AXA Université (Groupement d'Intérêt Economique de Droit français, dont le siège social est situé 23 avenue de Matignon, 75008 Paris, immatriculé au Registre du Commerce et des Sociétés de Paris sous le numéro 342 312 931) ou le GIE AXA et AXA Global Move, Société Anonyme de droit suisse dont le siège social est situé Route des Acacias 47, 1227 Les Acacias, Case Postale 1510, 1211 Genève 26 (Suisse), immatriculée au registre du commerce IDE sous le numéro CHE-158.210.029  agissent en tant que responsables conjoints du traitement (c'est-à-dire qu'ils déterminent conjointement les finalités et les moyens du traitement de vos informations).

Les responsables de traitement sont désignés dans la présente Notice par « AXA » ou « Responsables de traitement » ou « Nous ».

Quels sont vos droits concernant vos données à caractère personnel ?

Conformément à la loi dite "informatique et libertés" n°78-17 du 6 janvier 1978 et au RGPD, vous avez le droit :

• D’accéder à vos données à caractère personnel : vous avez le droit de demander l’accès aux données à caractère personnel que Nous traitons vous concernant, et d’obtenir une copie de ces données,

• De rectifier vos données à caractère personnel : vous avez le droit de Nous demander de rectifier ou de compléter les données à caractère personnel que Nous traitons vous concernant qui sont inexactes, incomplètes ou ne sont pas à jour, 

• De demander la limitation du traitement de vos données à caractère personnel : vous avez le droit de Nous demander de limiter le traitement de vos données à caractère personnel. Ainsi AXA pourra simplement les conserver mais ne pourra plus les traiter ni les utiliser autrement,

• De décider du sort de vos données à caractère personnel après votre décès : vous avez le droit de Nous donner des directives quant à l’utilisation qui devra être faite de vos données à caractère personnel après votre mort.

En fonction de la base légale du traitement décrite dans les tableaux ci-dessous, vous avez également le droit de :

• Demander l’effacement vos données à caractère personnel : vous avez le droit de Nous demander d’effacer les données à caractère personnel vous concernant, sauf lorsque le traitement est fondé sur l’exécution d’une obligation légale d’AXA,

• Demander la portabilité de vos données à caractère personnel : vous avez le droit de recevoir les données à caractère personnel vous concernant que vous Nous avez fournies, dans un format adapté, et avez le droit de transmettre ces données à un autre responsable du traitement sans que Nous y fassions obstacle (mais uniquement lorsque le traitement est basé sur l’exécution d’un contrat ou sur votre consentement),

• Retirer votre consentement : à tout moment, vous pouvez retirer votre consentement en contactant le DPD à l’adresse suivante : privacy@axa.com (mais uniquement lorsque le traitement est fondé sur le recueil de votre consentement,

Lorsque le traitement de vos données est basé sur l’intérêt légitime des Responsables de traitement :

Vous avez le droit de vous opposer à tout moment, audit traitement de vos données à caractère personnel (mais uniquement lorsque le traitement de vos données est basé sur les intérêts légitimes d’AXA), à moins qu’AXA justifie de la nécessité de poursuivre le traitement ou lorsque de telles données sont nécessaires pour la constatation, l’exercice ou la défense d’un droit en justice. Vous pouvez obtenir sur demande des informations sur le test de mise en balance des droits et intérêts en cause en écrivant à l'adresse suivante : privacy@axa.com.

Comment contacter le délégué à la protection des données ("DPD" ou "DPO") pour toute question ou pour exercer vos droits ?

Pour toute question, réclamation ou commentaire concernant la présente Notice ou pour exercer vos droits, veuillez contacter le DPD. Les coordonnées sont les suivantes : (i) privacy@axa.com et / ou (ii) 23 avenue Matignon, 75008, Paris pour GIE AXA ou 25 avenue Matignon, 75008, Paris pour AXA SA.

Les Responsables de traitement peuvent vous demander des renseignements complémentaires pour confirmer votre identité et/ou pour aider AXA à trouver les données que vous recherchez.

Comment émettre une réclamation auprès d'une Autorité de Contrôle ?

Vous avez le droit de faire part, à une autorité de contrôle compétente, en particulier dans l'Etat membre de votre résidence habituelle, de votre lieu de travail ou du lieu où vous pensez qu’un manquement à vos droits s'est produit, de toute préoccupation concernant la manière dont vos données à caractère personnel sont traitées.

En France, l’autorité de protection des données à caractère personnel est la Commission Nationale de l’Informatique et des Libertés, ou « CNIL » dont l’adresse postale est la suivante : 3 place de Fontenoy – TSA 80715 – 75334 paris cedex 07. Son site internet est accessible ici : https://www.cnil/

Comment assurons-Nous la sécurité de vos données à caractère personnel ?

Les Responsables de traitement utilisent des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel. Les mesures que les Responsables de traitement mettent en place sont conçues pour assurer un niveau de sécurité suffisant compte tenu des risques liés au traitement de vos données à caractère personnel conformément aux standards AXA.

La fourniture de vos données à caractère personnel est-elle obligatoire ?

Le caractère obligatoire ou non de la fourniture de vos données à caractère personnel à AXA vous sera indiqué au moment de la collecte de ces données (par exemple, par un astérisque sur le formulaire de collecte). Si vous ne fournissez pas à AXA les données identifiées comme obligatoires, AXA peut ne pas être en mesure de gérer correctement votre recrutement, la gestion administrative du personnel, les formations, la gestion de l'actionnariat salarié, les contrôles auxquels Nous sommes soumis, la gestion des statistiques et de la qualité des données, l’envoi de lettres d'information (« newsletters ») et l’organisation d’événements.

Pour quelles finalités et selon quelles modalités vos données à caractère personne sont-elles traitées par AXA ?

Vos données à caractère personnel sont traitées pour les différentes finalités énumérées dans le tableau ci-dessous. Vous trouverez également dans le tableau ci-dessous, pour chaque finalité, les informations pertinentes relatives au traitement de vos données à caractère personnel.

Qu'en est-il de Secure GPT et de My AI Brain ?

a)        Secure GPT

Secure GPT vous offre un accès contrôlé et surveillé à une utilisation sécurisée de l'intelligence artificielle (IA) générative : vous pouvez envoyer des invites et recevoir des réponses au format texte via l'interface de chat.

Lorsque vous utilisez Secure GPT, veuillez noter que vos données à caractère personnel sont traitées à des fins de connexion (One Account). En outre, toutes les données divulguées dans Secure GPT seront traitées à des fins de génération de texte et d'IA conversationnelle. Pour plus d'informations sur le traitement de vos données à caractère personnel dans Secure GPT, veuillez consulter la notice d'information disponible dans Secure GPT.

b)        My AI Brain

My AI Brain (« MAB ») est une interface web interne d'AXA basée sur la technologie d'intelligence artificielle Secure GPT.

Cet outil offre un accès contrôlé et surveillé à l'utilisation de l'intelligence artificielle (IA) générative. Il est possible de télécharger des documents, d'envoyer des instructions et de recevoir des réponses sous forme de texte via l'interface de chat liée au contenu de ces documents.

Lorsque vous utilisez My AI Brain, veuillez noter que vos données à caractère personnel sont traitées à des fins de connexion (un compte et les journaux de connexion).

Par ailleurs, votre historique de conversation, ainsi que les éventuelles données à caractère personnel mentionnées dans les documents mis en ligne dans l'outil et constituant le corpus, seront traitées, en fonction de chaque traitement, à des fins de génération de texte et d'IA conversationnelle.

Veuillez noter :

• Les documents que vous téléchargerez seront supprimés (i) dix-huit (18) mois à compter de la date de la dernière consultation, ou (ii) trois (3) ans après le téléchargement, la période la plus courte étant retenue.

• L'historique de vos conversations sera supprimé (i) six (6) mois à compter de la date du dernier échange avec MAB, ou (ii) dix-huit (18) mois à compter de la date d'émission de l'invite et de la réponse associée, la date la plus courte étant retenue.

• Vos journaux de connexion seront supprimés après douze (12) mois à compter de la date d'émission du journal de connexion.

Une décision automatisée est-elle prise dans le cadre de ces traitements ?

Aucune prise de décision automatisée n'est effectuée pour les traitements décrits dans la présente Notice d’information.

D'où proviennent vos données à caractère personnel ?

La plupart des données à caractère personnel que nous traitons sont directement collectées auprès de vous. Lorsque vos données à caractère personnel ne sont pas obtenues directement auprès de vous, les données à caractère personnel que nous traitons proviennent des Responsables de traitement (par exemple, elles sont issues des bases de données Ressources Humaines du Groupe, de l'annuaire du Groupe), des entités locales AXA, des sessions de formation, etc.

A qui communiquons-nous vos données à caractère personnel ?

Les Responsables de traitement communiqueront vos données à caractère personnel uniquement à des destinataires identifiés et habilités : 

En interne

Les destinataires autorisés, dans les limites de leurs attributions respectives en fonction du traitement concerné :

• Les départements suivants du GIE AXA : département des Ressources Humaines Groupe, département Group Legal, département Group Finance, département Group Risk and Management, le Fond AXA pour la Recherche, département Group Communication, département Group Compliance, département Group Audit & Investigation, département Group Strategy, Sustainability and Public Affairs, département Group Brand, Direction des Services Supports, département PBR du GIE AXA, département Sécurité, département de l'Administrateur Unique, Direction des Systèmes d’Information, Pôle chauffeur,

• Le département Group Investigation du GIE AXA, aux fins de mise en œuvre d'un dispositif de recueil et de gestion des alertes professionnelles. Pour plus d’informations, veuillez-vous référer à la notice d’information spécifique disponible sur axa.com,

• Le département Group Audit du GIE AXA, afin d'effectuer des audits internes pour garantir l'adéquation et l'efficacité des contrôles internes et de la gouvernance. Pour ce traitement, Nous poursuivons nos intérêts légitimes, soit assurer une gestion prudente et transparente d’AXA par l'évaluation de l'adéquation et de l'efficacité des activités de contrôle interne.  Le cas échéant, cela peut inclure la vérification des contrôles des transactions ou des enregistrements contenant des données à caractère personnel. Le traitement de vos données sensibles est basé sur votre consentement, recueilli par le GIE AXA ou par une entité locale AXA (par exemple, AXA France) avec laquelle vous êtes en contact.  Les données à caractère personnel nécessaires pour étayer la conclusion de l'audit sont supprimées dix (10) ans après la clôture de la dernière mesure du plan d’action recommandé ou après l’émission du rapport d’audit si aucun plan d’action n’a été identifié. Toutes les autres données à caractère personnel sont supprimées dans les dix (10) jours suivant la fin de l'audit.

•  Les départements GIE AXA Group Risk Management et Group Compliance, afin d’accomplir ou de supporter les entités locales AXA dans l’accomplissement des diligences nécessaires au respect des Standards AXA et de documenter le respect de ces Standards par un examen approfondi. En effet, ces départements peuvent être amenés à donner une seconde opinion, à propos d’un cas particulier, sur demande d’une entité locale AXA et sur la base de données transmises par cette entité. Vos données à caractère personnel sont conservées au maximum cinq (5) ans après la fin de votre contrat de travail.

  o    La base légale du traitement effectué par le département Group Risk Management est l’intérêt légitime, afin de s’assurer de la conformité aux Standards issus de la réglementation Solvabilité II et émis par l’Autorité de contrôle prudentiel et de résolution (ACPR),

  o    La base légale du traitement effectué par le département Group Compliance est l’obligation légale du Groupe AXA de se conformer aux exigences du Code Monétaire et Financier français.

• Le département DSI du GIE AXA, afin de vous apporter une assistance technique sur les outils mis à votre disposition,

• Les entités locales AXA suivantes : en fonction de la demande de la personne concernée, la ou les entités locales d'AXA concernées ; AXA Group Operations, aux fins de la gestion de l'hébergement et du support technique de la plateforme de stockage AXA ; AXA GO Business Operations, aux fins de fournir une assistance technique.

Pour les raisons mentionnées dans le tableau ci-dessus (finalités), vos données à caractère personnel peuvent être communiquées par courrier électronique entre les différents départements susmentionnés. Vos courriers électroniques sont conservés pendant trois (3) ans en base active (c'est-à-dire dans votre boite aux lettres électronique) puis archivés pendant un (1) an avant d'être définitivement supprimés.

Sont également archivées pendant un (1) an avant d'être définitivement supprimées :

• Les informations contenues dans un courrier électronique effacé (c'est-à-dire rebasculé dans la catégorie « éléments supprimés » de la boite aux lettres électronique – avant l’expiration du délai de trois (3) ans – et ce, à partir de la date à laquelle le courrier électronique est effacé),

• Les informations contenues dans la boite aux lettres électronique d'un employé ou d’un consultant du GIE AXA / AXA SA / GIE AXA Université ayant quitté AXA (à partir de la date de son départ).

En externe

• Prestataires fournissant un service d'hébergement de données en nuage (cloud),

• Prestataire fournissant des systèmes d’Intelligence Artificielle,

• Prestataires fournissant des services d'assistance et de maintenance,

• Prestataires de gestion de la mobilité internationale,

• Prestataires de gestion des activités publicitaires,

• Prestataires mettant à disposition des solutions d’envoi d’enquêtes, collectant et analysant les réponses,

• Prestataires mettant à disposition (i) une solution d’envoi de lettres d'information (« newsletters), (ii) une solution de gestion de concours et (iii) une plateforme vous permettant d’assister aux matchs du Liverpool Football Club,

• Prestataires Nous permettant d’organiser et gérer des sessions de sensibilisation,

• Prestataires mettant à disposition une plateforme de gestion des événements (plateforme de création de sites internet dédiés),

• Prestataires permettant de gérer les déplacements professionnels,

• Prestataires fournissant une market place d'offres d'emploi et mettant en relation de candidats potentiels avec AXA,

• Prestataires fournissant des services de revue des plans de succession et de développement des cadres,

• Prestataires fournissant des outils de gestion des ressources humaines,

• Prestataires fournissant des outils professionnels,

• Prestataires Nous assistant dans la réalisation d'un benchmark sur les rémunérations externes,

• Prestataires chargés de gérer (i) les questions de sécurité informatique et (ii) les questions de sécurité physique,

• Prestataires de gestion du courrier postal,

• Prestataires fournissant une solution de vote électronique,

• Prestataires gérant l'affichage de l'occupation des bâtiments professionnels et la réservation des salles de réunion,

• Prestataires assurant le suivi des prestations du restaurant d’entreprise de et le suivi du stock,

• Prestataires de gestion de la mise à jour et de la transmission du K-bis, et la déclaration effective des bénéficiaires,

• Prestataires fournissant des services financiers,

• Prestataires gérant la certification des comptes AXA,

• Prestataires de gestion de la comptabilité, de la facturation, de la gestion des contrats, des relations commerciales,

• Prestataires Nous assistant dans la lutte contre la fraude publicitaire,

• Prestataires Nous assistant dans l’organisation et la gestion de concours pour promouvoir le partenariat AXA / LFC et pour envoyer des communications marketing,

• Prestataires gérant l’organisation d’événements internationaux,

• Prestataires de gestion des actions de performance dédiées à la retraite et à l'intéressement à long terme,

• Prestataires aux fins de réception de vos bulletins de paie au format électronique,

• Prestataires proposant des services de transport,

• Prestataires de gestion des litiges sociaux,

• Bénéficiaires de dons financiers (mécénat).

Mais aussi :

• Nos conseils, y compris nos avocats, assureurs, réassureurs, courtiers, commissaires aux comptes,

• Toute autorité compétente (y compris les tribunaux, autorités judiciaires ou administratives, l’ACPR, les services fiscaux français),

• Tout potentiel acquéreur ou partenaire dans le cas où les Responsables de traitement prendraient part à une opération de fusion, d’acquisition ou à toute autre forme de cession d’actifs. Dans ce cas, les Responsables de traitement s’engagent à garantir un niveau de protection adéquat de vos données à caractère personnel transmises aux potentiels acquéreurs ou aux partenaires sélectionnés dans le contexte de cette opération. Vos données à caractère personnel sont supprimées six (6) mois après leur collecte.

 Si vous souhaitez obtenir des précisions sur ces destinataires, qu’ils agissent en qualité de sous-traitant (c'est-à-dire que ces destinataires agissent uniquement sur Nos instructions) ou de responsable de traitement (c'est-à-dire que ces destinataires déterminent les finalités et les moyens du traitement), n'hésitez pas à contacter l'équipe Data Privacy à l’adresse privacy@axa.com.

Vos données à caractère personnel sont-elles transférées en dehors de l'Union Européenne ?

Certains de ces destinataires sont situés dans un pays en dehors de l’UE qui assure un niveau de protection adéquat (c’est-à-dire que vos données à caractère personnel sont soumises au même niveau de protection qu’au sein de l’UE) :

• Canada (lien vers la décision d’adéquation),

• Japon (lien vers la décision d’adéquation),

• Nouvelle Zélande (lien vers la décision d’adéquation),

• Suisse (lien vers la décision d’adéquation).

• Royaume-Uni (lien vers la décision d’adéquation),

• Etats-Unis, pour les organisations situées aux États-Unis lorsqu’elles font la démarche de respecter le « cadre de protection des données » ou « Data Privacy Framework » (lien vers la décision d’adéquation) – la liste de ces organisations est gérée et publiée par le ministère américain du commerce,

Vos données à caractère personnel sont également transférées vers certains pays n’assurant pas un niveau adéquat de protection des données :

• Inde,

• Madagascar,

• Pakistan,

• Philippines,

• Singapour.

• Etats-Unis, pour les organisations situées aux États-Unis lorsqu’elles ne font pas la démarche de respecter le « cadre de protection des données » ou « Data Privacy Framework »,

Dans ce cas, les Responsables de traitement fournissent des garanties pour assurer la sécurité et la confidentialité de vos données à caractère personnel et encadrent ces transferts :

(i)                    Par la signature, avec le destinataire des données, des Clauses Contractuelles Types adoptées par la Commission Européenne. Vous pouvez obtenir une copie des Clauses Contractuelles Types signées en la sollicitant auprès de notre DPD, dont les coordonnées sont les suivantes : 25 avenue Matignon, 75008, Paris pour AXA SA (et 23 avenue Matignon, 75008, Paris pour le GIE AXA) et/ ou privacy@axa.com,

(ii)                   Ou, lorsque vos données à caractère personnel sont transférées à d'autres entités locales AXA, par les Règles d’Entreprises Contraignantes adoptées par AXA (disponibles via le lien suivant - partie « En savoir plus » : (https://www.axa.com/fr/a-propos-d-axa/nos-engagements).