Skip to content

Les BCR s'appliquent à toutes les données personnelles, au sein du groupe Hydro, qui sont protégées par la législation européenne applicable en matière de protection des données.

1. Introduction

Dans le cadre de ses activités quotidiennes, Hydro traite des données personnelles relatives à ses employés, clients, fournisseurs et autres partenaires commerciaux. Des données personnelles sont régulièrement transférées entre les entités du groupe Hydro dans le cadre des activités commerciales légitimes de l'entreprise.

Norsk Hydro ASA et toutes les entités juridiques d’Hydro établies dans l'EEE sont soumises aux règles de la législation européenne applicable en matière de protection des données, qui impose des exigences strictes en matière de traitement et de transfert des données personnelles. En règle générale, cette législation n'autorise pas le transfert de données personnelles vers des pays tiers ne garantissant pas un niveau de protection adéquat pour ces données.

Ainsi, Norsk Hydro ASA s’engage, dans le Code de conduite Hydro, à respecter le principe général de protection des données personnelles.

La présente procédure de protection des données définit la manière dont cette protection doit être mise en œuvre afin de garantir des principes cohérents et uniformes au sein d'Hydro pour le traitement de toutes les données personnelles. Elle établit également les bases juridiques nécessaires au transfert de données personnelles entre les entités juridiques d'Hydro établies dans l'EEE et celles établies en dehors de l'EEE, conformément à la législation européenne applicable en matière de protection des données.

Cette procédure est basée sur la législation européenne applicable en matière de protection des données ainsi que sur la législation norvégienne qui la met en œuvre. L’objectif de cette procédure est d’assurer la conformité avec cette législation et de fournir des garanties adéquates pour le transfert des données personnelles.

2.  Champ d’application et applicabilité  

2.1 Champ d'application

La présente procédure relève de la responsabilité du département Corporate Compliance et constitue les règles d'entreprise contraignantes (BCR) d'Hydro, comme définies à la section 7.

Cette procédure concerne tous les traitements de données personnelles effectués par Hydro, protégés par la législation européenne applicable en matière de protection des données.

Les routines et exigences décrites ici complètent les mesures et exigences de sécurité de l'information énoncées dans les documents de gouvernance de Hydro.

2.2 Applicabilité

Cette procédure s'applique à toutes les entités juridiques du groupe Hydro, comme définies à la section 7, ainsi qu’à tous les employés d'Hydro, y compris les sous-traitants et autres membres du personnel représentant Hydro. En outre, les tiers concernés bénéficient des droits qui leur sont accordés par la présente procédure.

2.3 Mise en œuvre

Cette procédure fait partie des documents de gouvernance d'Hydro dès son adoption par le responsable Corporate Compliance de Norsk Hydro ASA.

Le Responsable de la protection des données supervise la mise en œuvre et le respect de cette procédure au sein du groupe Hydro.

2.4 Responsabilité

Conjointement au responsable de l’informatique qui gère les systèmes et les applications, la fonction Corporate ou la Direction du secteur d’activité concerné doit s'assurer que les opérations et procédures sont conformes à la présente procédure de protection des données, le cas échéant. Cela inclut la responsabilité de garantir la mise en place et la tenue à jour d'une documentation de contrôle interne adéquate, comme décrit dans cette procédure.

3. Traitement et transfert couverts par cette procédure

3.1 Registres informatiques et flux de données

Cette procédure couvre le traitement et le transfert de données personnelles via les systèmes informatiques et applications d’Hydro impliquant des flux de données entre les entités juridiques et au-delà des frontières nationales. Le Responsable de la protection des données tient à jour une liste de toutes les entités juridiques auxquelles s'applique cette procédure, avec des informations sur leur localisation géographique.

3.2 Catégories de données personnelles et finalités du traitement

Cette section fournit un aperçu des catégories de données personnelles et des finalités de traitement couvertes par cette procédure de protection des données.

Données de gestion des RH
Administrer et gérer la relation avec les employés (y compris les candidats, les anciens employés, les prestataires et les personnes à charge).

Données d'administration informatique
Soutenir et gérer l’administration des technologies de l’information (TI) et des systèmes d’information (SI) ainsi que la sécurité de l’information.

Données HSE
Soutenir et gérer les services de santé au travail ainsi que l'enregistrement, la gestion et la communication des informations relatives à la santé, la sécurité et à l'environnement (SSE) (incidents, problèmes, etc.).

Surveillance vidéo / journaux d'accès
Soutenir et gérer la protection contre les entrées illégales ou non autorisées dans des zones, bâtiments ou pièces, ou soutenir le contrôle des équipements et/ou des processus de production.

Données sur les relations commerciales
Soutenir et gérer les relations clients, fournisseurs ou partenaires (internes/externes) ainsi que la gestion des informations dans les processus de recrutement.

Plaintes
Assurer le suivi des plaintes et des préoccupations signalées par les employés.

Informations sur l'enquête
Soutenir et gérer les enquêtes sur les incidents et les préoccupations (par exemple, en lien avec une violation potentielle des conditions d'emploi par un employé ou des incidents/préoccupations pouvant avoir un effet négatif sur l'entreprise).

4. Responsabilités d'Hydro lors du traitement des données personnelles

4.1 Hydro en tant que responsable du traitement

En règle générale, chaque entité juridique est considérée comme un responsable du traitement individuel, déterminant les finalités et les moyens du traitement des données personnelles. Dans certains cas, lorsque Norsk Hydro ASA détermine les finalités et les moyens du traitement des données personnelles au sein du groupe Hydro, Norsk Hydro ASA est considéré comme le responsable du traitement. Si deux ou plusieurs entités juridiques déterminent conjointement les finalités et les moyens du traitement des données personnelles, elles sont considérées comme coresponsables traitement.

Un accord de traitement des données conforme au Règlement général sur la protection des données (RGPD) doit être établi lorsqu’une entité juridique agissant comme responsable du traitement engage un prestataire tiers pour fournir des services impliquant le traitement de données personnelles protégées par la législation européenne sur la protection des données, pour le compte du responsable du traitement.

Les bases légales nécessaires pour le transfert des données personnelles doivent être établies (cf. section 6) lorsqu’une entité juridique établie dans l'EEE engage un sous-traitant établi dans un pays tiers pour fournir des services impliquant le traitement de données personnelles protégées par la législation applicable.

4.2 Hydro en tant que sous-traitant  

Une entité juridique peut fournir des services impliquant le traitement de données personnelles pour le compte d’une autre entité juridique, qui est alors considérée comme le responsable du traitement de ces données.

Dans ce cadre, l'entité juridique fournissant les services sera considérée comme un sous-traitant traitant les données personnelles pour le compte de l'entité juridique bénéficiaire, qui agit en tant que responsable du traitement. Dans de tels cas, le sous-traitant agit uniquement pour le compte du responsable du traitement, suivant ses instructions et conformément aux exigences et principes établis dans la présente procédure (cf. section 6). Lorsque cela est requis par la législation locale applicable en matière de protection des données, le responsable du traitement devra formaliser ses instructions au sous-traitant par un accord écrit respectant les exigences locales.

5. Principes clés de cette procédure de protection des données

Cette section fournit un aperçu des principes clés que le groupe Hydro et son personnel doivent respecter concernant le traitement des données personnelles dans le cadre de cette procédure.

5.1 Obligation de respecter la procédure

Cette procédure de protection des données s'applique à toutes les entités juridiques du groupe Hydro. Chaque entité juridique s'engage à se conformer à cette procédure de protection des données, conformément au Code de conduite d'Hydro, et à conclure des accords avec Norsk Hydro ASA concernant l'obligation de respecter cette procédure.

L'ensemble du personnel d'Hydro est tenu de respecter les règles cette présente procédure dans le cadre du Code de conduite d'Hydro et selon les termes de leur contrat de travail.

Le personnel d'Hydro qui signale des violations de données personnelles ne doit pas subir de conséquences négatives à la suite de ce signalement. Le cas échéant, des formations supplémentaires sur la protection des données pourront être dispensées (cf. section 5.4).

5.2 Droits des personnes concernées

Toutes les personnes concernées dont les données personnelles sont traitées dans le cadre de la présente procédure doivent bénéficier des droits énoncés dans celle-ci.

Les droits des personne concernées incluent le droit de faire respecter les principes généraux de protection énoncés à la section 6 de la présente procédure, y compris les principes suivants :

  • Traitement équitable et licite
  • Limitation des finalités
  • Qualité et proportionnalité des données
  • Traitement légitime
  • Transparence et information
  • Droits d'accès, de rectification, d'effacement et de blocage des données
  • Droit d'opposition au traitement
  • Sécurité et confidentialité
  • Restrictions sur les transferts ultérieurs en dehors du groupe

Les droits que les personnes concernées peuvent faire valoir en tant que tiers bénéficiaires incluent des recours judiciaires pour toute violation des droits accordés, ainsi que le droit à une indemnisation, le cas échéant, conformément à la législation européenne applicable en matière de protection des données.

Les personnes concernées peuvent choisir de déposer une réclamation :

  • Devant une autorité compétente en matière de protection des données,
  • Ou devant les tribunaux de Norsk Hydro ASA (siège social dans l'EEE) en Norvège, le tribunal où le responsable du traitement ou le sous-traitant basé dans l'EEE a un établissement ou celui de la résidence habituelle de la personne concernée.

Les personnes concernées sont encouragées à suivre d’abord la procédure de réclamation décrite à la section 5.7 ci-dessous avant de déposer une réclamation auprès des autorités compétentes ou des tribunaux.

5.3 Informations pour les personnes concernées

Toutes les personnes concernées bénéficiant de cette procédure doivent avoir un accès facile à des informations décrivant leurs droits en matière de protection des données.

Ces informations sont fournies dans les documents suivants :

  • Code de conduite Hydro
    Il définit les principes de protection des données personnelles afin d’assurer le respect des lois et réglementations applicables.
  • Politique de confidentialité (interne)
    Elle a pour but de fournir des informations à l'ensemble du personnel d'Hydro sur le traitement des données personnelles effectué par Hydro. La politique est disponible sur l'intranet d'Hydro et inclut un lien vers la présente procédure.
  •  
  • Politique de confidentialité d'Hydro (externe)
    Elle a pour but de fournir des informations aux personnes externes visitant Hydro.com, y compris ses sous-sites. Elle inclut un lien vers cette procédure et d’autres documents pertinents.
  • Version publique de la procédure de protection des données
    Elle contient les informations non confidentielles et est disponible sur Hydro.com. Elle explique les règles d'entreprise contraignantes (BCR) d'Hydro pour le traitement des données personnelles, la base juridique du transfert de données personnelles vers des pays tiers et les droits des personnes concernées conformément à ces règles.

5.4 Formation et sensibilisation

Des programmes de formation et de sensibilisation appropriés sur la protection des données au sein d'Hydro garantiront la mise en œuvre et le respect de la présente procédure dans toutes les fonctions et zones du groupe Hydro. L'objectif est de faire connaître, comprendre et appliquer efficacement cette procédure dans l'ensemble du groupe Hydro.

5.5 Supervision et conformité

Hydro a mis en place des rôles internes pour superviser et assurer la conformité à cette procédure. Les coordonnées du Responsable de la protection des données figurent à la section 8.

5.6 Audit et révision

Hydro réalisera des audits et des examens pour vérifier la conformité à cette procédure de protection des données.

5.7 Gestion des réclamations

Si une personne concernée estime que le traitement des données personnelles au sein d'Hydro n'est pas conforme à la présente procédure ou aux lois ou réglementations locales applicables, elle peut déposer une plainte auprès d'Hydro.

La plainte peut être anonyme ou nominative, adressée au Responsable de la protection des données, au coordinateur de la protection des données, au Data Privacy Champion, à la direction hiérarchique ou en utilisant la « AlertLine » d'Hydro.

Dans les quatre (4) semaines suivant la réception d'une réclamation, Hydro doit informer par écrit la personne concernée du résultat du traitement de la réclamation. Si, en raison de la complexité de la réclamation, une réponse ne peut être apportée dans le délai de quatre (4) semaines, Hydro en informera la personne concernée et fournira une estimation raisonnable du délai dans lequel une réponse sera fournie. Le délai ne doit pas dépasser trois (3) mois à compter de la réception de la réclamation.

La procédure susmentionnée n’affecte pas le droit de la personne concernée de saisir les autorités ou les tribunaux compétents en matière de protection des données (cf. sections ci-dessous).

5.8 Responsabilité

Norsk Hydro ASA assume la responsabilité de tout dommage causé par une entité juridique établie en dehors de l'EEE résultant d'une violation des garanties, droits ou recours supplémentaires accordés dans le cadre de la présente procédure de protection des données pour le traitement des données personnelles protégées en vertu de la législation européenne applicable et conformément au champ d’application de la présente procédure. En outre, Norsk Hydro ASA prendra les mesures nécessaires pour remédier à de tels actes d'une entité juridique établie en dehors de l'EEE et versera, le cas échéant, une indemnisation pour les dommages résultant de la violation.

La charge de la preuve incombe à Norsk Hydro ASA et non à la personne concernée. Ainsi, si Norsk Hydro ASA peut prouver qu'une entité juridique du groupe Hydro n'est pas responsable d'une violation des garanties supplémentaires prévues par la présente procédure ayant entraîné le dommage réclamé par une personne concernée, elle peut se dégager de toute responsabilité.

5.9 Coopération avec les autorités de protection des données

Hydro s'engage à coopérer avec les autorités compétentes en matière de protection des données, notamment en appliquant les recommandations et les conseils de ces autorités, et en répondant aux demandes de celles-ci concernant la présente procédure. Les autorités compétentes en matière de protection des données peuvent procéder à des audits afin de vérifier le respect de la présente procédure.

Le Responsable de la protection des données sera le point de contact de l'Autorité norvégienne de protection des données pour toute question relative à cette procédure ou au traitement des données personnelles au sein d’Hydro.

5.10 Loi applicable et juridiction compétente

La présente procédure est régie et interprétée conformément à la législation européenne en matière de protection des données et à la législation norvégienne qui met en œuvre cette législation.

Les personnes concernées conservent leurs droits et recours disponibles dans leur juridiction locale lorsque la législation locale applicable offre une protection supérieure à celle prévue par cette procédure. Lorsque la présente procédure offre une protection supérieure à celle de la législation locale applicable ou prévoit des garanties, des droits ou des recours supplémentaires pour les personnes concernées, la présente procédure de protection des données prévaut.

Sans préjudice de la compétence de l'autorité compétente en matière de protection des données ou d'autres autorités gouvernementales en vertu de la législation locale applicable, le respect de la présente procédure est supervisé par l'Autorité norvégienne de protection des données, désignée comme l’autorité principale dans le processus d'approbation des règles d'entreprise contraignantes d'Hydro en vertu de la législation européenne applicable en matière de protection des données. L'Autorité norvégienne de protection des données est autorisée à conseiller Norsk Hydro ASA sur l'application de la présente procédure de protection des données à tout moment et dispose de pouvoirs d’investigation en vertu de la législation norvégienne sur la protection des données. Dans la mesure où l'Autorité norvégienne de protection des données dispose de pouvoirs discrétionnaires liés à l'application de la législation norvégienne sur la protection des données, elle dispose de pouvoirs similaires pour l'application de la présente procédure.

Toute réclamation ou plainte d'une personne concernée concernant un droit supplémentaire aux droits prévus par la législation européenne applicable en matière de protection des données, et dont la personne concernée peut bénéficier en vertu de la présente procédure, doit être adressée à Norsk Hydro ASA. Les réclamations ou plaintes peuvent, au choix de la personne concernée, être déposées auprès de l'autorité compétente en matière de protection des données du lieu de résidence habituelle de la personne concernée, de son lieu de travail ou du lieu de l'infraction présumée, ou devant les juridictions compétentes dans le lieu où le responsable du traitement ou le sous-traitant a un établissement, ou au lieu de résidence habituelle de la personne concernée. Les personnes concernées sont encouragées à suivre la procédure de réclamation énoncée à la section 5.7 de la présente procédure avant de déposer des réclamations ou des plaintes au titre de ces droits supplémentaires auprès des autorités compétentes en matière de protection des données ou des tribunaux.

5.11 Mise à jour de la présente procédure de protection des données

Hydro peut modifier cette procédure de protection des données, par exemple en raison de modifications de la législation en vigueur ou de modifications de la structure juridique d'Hydro. Norsk Hydro ASA informera l'Autorité norvégienne de protection des données de tout changement apporté à cette procédure de protection des données ou à la liste des membres du groupe Hydro sur une base annuelle. Si une modification est susceptible d'affecter le niveau de protection ou d'affecter de manière significative cette procédure, Norsk Hydro ASA en informera rapidement l'Autorité norvégienne de protection des données.

Hydro communiquera toute modification substantielle de la présente procédure aux personnes concernées en apportant les modifications nécessaires aux documents pertinents, y compris le Code de conduite, la politique de confidentialité et la présente procédure. La version actuelle de cette procédure de protection des données sera toujours disponible pour toutes les entités juridiques, le personnel d'Hydro et les tiers bénéficiaires.

6. Principes généraux de protection des données pour le traitement des données personnelles

Les principes généraux de protection des données suivants s'appliquent à Hydro conformément à la législation européenne applicable en matière de protection des données.

En mettant en œuvre cette procédure de protection des données, y compris les règles d'entreprise contraignantes pour le transfert de données personnelles, Hydro s'engage à établir un contrôle interne et des routines pertinentes lors du traitement et du transfert des données personnelles afin d’assurer la conformité avec ces principes.

6.1 Traitement loyal, licite et transparent

Les données personnelles seront traitées de manière loyale, licite et transparente, conformément aux principes stipulés dans la présente procédure. Cela signifie que les données personnelles seront traitées conformément à la loi et que les intérêts légitimes de la personne concernée doivent être pris en compte lors du traitement des données personnelles.

6.2 Spécification et limitation des finalités

Les données personnelles doivent être collectées uniquement pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées de manière incompatible avec ces finalités, cf. section 3.

6.3 Qualité et proportionnalité des données

Les données personnelles sont :

  1. adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées et/ou traitées ultérieurement (« minimisation des données ») ;
  2. exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes, compte tenu des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées sans délai (« exactitude ») ;
  3. conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles les données personnelles ont été collectées ou pour lesquelles elles sont ultérieurement traitées (« limitation de conservation »).

6.4 Critères de licéité du traitement des données personnelles

Les données personnelles ne peuvent être traitées légalement que si au moins l'une des bases juridiques suivantes s'applique :

  1. La personne concernée a donné son consentement pour une ou plusieurs finalités spécifiques. Pour pouvoir se prévaloir du consentement, les conditions énoncées à la section 6.12 doivent être remplies ;
  2. Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée ;
  3. Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  4. Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  5. Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
  6. Ou le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée, lesquels nécessitent la protection des données personnelles en vertu de la législation européenne applicable en matière de protection des données.

6.5 Critères pour un traitement légitime des données personnelles sensibles

À l'exception des circonstances mentionnées ci-dessous, il est interdit de traiter des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques permettant d'identifier de manière unique une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique (données personnelles sensibles).

Le traitement des données personnelles sensibles est licite si au moins l'une des bases juridiques suivantes s'applique :

  1. La personne concernée a donné son consentement explicite au traitement de ces données personnelles sensibles, sauf lorsque la législation applicable prévoit que l'interdiction ci-dessus ne peut être levée par le consentement de la personne concernée. Pour pouvoir se fonder sur le consentement, les conditions de la section 6.12 doit être remplie;
  2. Le traitement est nécessaire pour remplir les obligations et exercer des droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine du droit du travail et de la sécurité sociale, dans la mesure où il est autorisé par la législation applicable ou une convention collective en vertu de la législation applicable prévoyant des garanties adéquates pour les droits fondamentaux et les intérêts de la personne concernée ;
  3. Le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne physique lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement ;
  4. Le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire pour la constatation, l'exercice ou la défense de droits en justice ;
  5. Ou le traitement est autorisé conformément aux règles autres que 1 à 4 ci-dessus qui ont été établies conformément à la législation européenne applicable en matière de protection des données.

Le traitement des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle des autorités publiques ou si des garanties spécifiques appropriées pour les droits et libertés des personnes concernées sont prévues par la loi, sous réserve des dérogations qui peuvent être accordées par la législation applicable.

6.6 Prise de décision automatisée

La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire, à moins que la décision :

  1. a) soit nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne physique et une personne morale ;
  2. b) soit autorisée par la législation locale applicable à laquelle l'entité juridique est soumise et qui prévoit également des mesures appropriées pour protéger les droits, les libertés et les intérêts légitimes de la personne concernée ;
  3. c) Ou soit fondée sur le consentement explicite de la personne concernée.

Dans les cas visés aux alinéas a) et c) ci-dessus, la personne morale devra mettre en œuvre des mesures appropriées pour la sauvegarde des droits, libertés et intérêts légitimes de la personne concernée, et au moins le droit d'obtenir une intervention humaine de la part de la personne morale, d'exprimer son point de vue et de contester les décisions.

Les décisions automatisées visées dans la présente section ne doivent pas être fondées sur des données personnelles sensibles, sauf si la section 6.5.1 s'applique et que des mesures appropriées pour protéger les droits, libertés et intérêts légitimes de la personne concernée sont en place.

6.7 Obligation d’information

En cas de collecte de données personnelles auprès d'une personne concernée, et à condition que cette personne ne dispose pas déjà des informations, les informations suivantes doivent être fournies :

  1. l'identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant ;
  2. les coordonnées du délégué à la protection des données, le cas échéant ;
  3. les finalités du traitement et la base juridique de ce traitement ;
  4. les finalités légitimes poursuivies lorsque le traitement est fondé sur la section 6.4.6 ;
  5. les destinataires ou catégories de destinataires des données personnelles, le cas échéant ;
  6. le cas échéant, le fait que le responsable du traitement a l’intention de transférer les données personnelles vers un pays tiers et la base juridique pour rendre ce transfert licite.

En outre, lorsque la législation européenne applicable en matière de protection des données l'exige et si nécessaire pour garantir un traitement loyal et transparent, la personne concernée doit recevoir les informations complémentaires suivantes :

  1. la période pendant laquelle les données personnelles seront conservées, ou les critères utilisés pour déterminer cette période ;
  2. l'existence du droit de demander l'accès, la rectification, l'effacement ou la limitation du traitement ou de s'opposer au traitement ainsi que du droit à la portabilité des données ;
  3. lorsque le traitement est fondé sur le consentement de la personne concernée, l'existence du droit de retirer son consentement à tout moment, sans que cela n'affecte la licéité du traitement fondé sur le consentement avant son retrait ;
  4. le droit de déposer une plainte auprès d’une autorité de protection des données ;
  5. si la fourniture de données personnelles est une exigence légale ou contractuelle, ou une exigence nécessaire pour conclure un contrat, et si la personne concernée est obligée de fournir les données personnelles et les conséquences possibles d'un défaut de fourniture de ces données ;
  6. l'existence de décisions automatisées, y compris un profilage, visée à la section 6.6 et, au moins dans ces cas, des informations utiles sur la logique sous-jacente, ainsi que la signification et les conséquences envisagées d'un tel traitement pour la personne concernée.

Lorsque les données personnelles n'ont pas été collectées auprès de la personne concernée, celle-ci doit recevoir les informations suivantes :

  1. l'identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant ;
  2. les coordonnées du délégué à la protection des données, le cas échéant ;
  3. les finalités du traitement et la base juridique de ce traitement ;
  4. les catégories de données personnelles concernées ;
  5. les destinataires ou catégories de destinataires des données personnelles, le cas échéant ;
  6. le cas échéant, le fait que le responsable du traitement a l’intention de transférer les données personnelles vers un pays tiers et la base juridique pour rendre ce transfert licite.

En outre, lorsque la législation européenne applicable en matière de protection des données l'exige et si nécessaire pour garantir un traitement équitable et transparent, la personne concernée doit recevoir les informations complémentaires suivantes :

  1. la durée pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée ;
  2. les finalités légitimes poursuivies lorsque le traitement est fondé sur l’article 6.4.6 ;
  3. l'existence du droit de demander l'accès, la rectification, l'effacement ou la limitation du traitement concernant la personne concernée ou de s'opposer au traitement ainsi que du droit à la portabilité des données ;
  4. lorsque le traitement est fondé sur le consentement de la personne concernée, l'existence du droit de retirer son consentement à tout moment, sans que cela porte atteinte à la licéité du traitement fondé sur le consentement avant son retrait ;
  5. le droit de déposer une plainte auprès d’une autorité de protection des données ;
  6. les sources des données personnelles et, le cas échéant, si elles proviennent de sources accessibles au public ;
  7. l'existence de décisions automatisées, y compris un profilage, visée à la section 6.6 et, dans ces cas, des informations utiles sur la logique sous-jacente, ainsi que l'importance et les conséquences envisagées d'un tel traitement pour la personne concernée.

Les informations mentionnées aux paragraphes 3 et 4 ci-dessus doivent être fournies dans un délai raisonnable, mais en aucun cas plus d’un mois après l'obtention des données personnelles ou, le cas échéant, au plus tard au moment de la première communication avec la personne concernée par l'utilisation de ces données ou lors de la première divulgation des données. Des dérogations peuvent s'appliquer si la personne concernée dispose déjà des informations pertinentes, ou lorsque la fourniture de ces informations s'avère impossible, ou impliquerait un effort disproportionné, ou est susceptible de compromettre gravement la réalisation des objectifs ou conformément au droit applicable.

6.8 Droits de la personne concernée

6.8.1 Droit d'accès de la personne concernée

Toute personne concernée a le droit d'obtenir du responsable du traitement :

  1. a) la confirmation que des données personnelles la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès aux auxdites données traitées par le responsable du traitement ;
  2. b) des informations sur les finalités du traitement, les catégories de données à caractère personnel concernées et les destinataires ou catégories de destinataires auxquels les données sont communiquées, en particulier les destinataires établis dans un pays tiers. Si le pays tiers n'est pas reconnu par la Commission européenne comme garantissant un niveau de protection adéquat, la personne concernée a le droit d'être informée des garanties appropriées visées à la section 6.10
  3. c) lorsque cela est possible, des informations sur la durée envisagée de conservation des données à caractère personnel ou, si ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  4. d) des informations sur l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel, ou une limitation du traitement des données personnelles relatives à la personne concernée, ou du droit de s'opposer à un tel traitement ;
  5. e) des informations sur le droit d’introduire une réclamation auprès d’une autorité de protection des données ;
  6. f) lorsque les données personnelles n'ont pas été collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  7. g) Et l'existence d'une prise de décision automatisée, y compris un profilage, visée à la section 6.6 et, au moins dans ces cas, des informations utiles sur la logique sous-jacente, ainsi que sur l'importance et les conséquences envisagées de ce traitement pour la personne concernée.

6.8.2 Droit de rectification de la personne concernée

La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a en outre le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris au moyen d'une déclaration complémentaire.

6.8.3 Droit à l'effacement de la personne concernée

Lorsque la législation applicable l'exige, la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant. Le responsable du traitement a l'obligation de satisfaire à une telle demande en effaçant les données personnelles dans les meilleurs délais lorsque l'un des motifs suivants s'applique :

  1. a) les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ;
  2. b) la personne concernée retire son consentement au traitement et il n'existe pas d’autre fondement juridique au traitement ;
  3. c) la personne concernée s'oppose au traitement conformément à l'article 6.8.7 (a) et il n'existe aucun motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement conformément à l'article 6.8.7 (b) ;
  4. d) les données personnelles fait l’objet d’un traitement illicite ;
  5. e) les données personnelles doivent être effacées pour se conformer à une obligation légale en vertu du droit applicable de l'UE/EEE auquel le responsable du traitement est soumis.

Le droit à l'effacement de la personne concernée ne s'applique pas dans la mesure où le traitement est nécessaire pour :

  1. a) exercer le droit à la liberté d’expression et d’information ;
  2. b) le respect d'une obligation légale qui requiert le traitement en vertu du droit de l'UE/EEE applicable auquel le responsable du traitement est soumis, ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
  3. c) la constatation, l’exercice ou la défense de droits en justice.

6.8.4 Droit de la personne concernée à la limitation du traitement

Lorsque la loi applicable l'exige, la personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'une des conditions suivantes s'applique :

  1. a) l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel ;
  2. b) le traitement est illicite et la personne concernée s'oppose à l'effacement des données à caractère personnel et demande à la place la limitation de leur utilisation ;
  3. c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement, mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;
  4. d) la personne concernée s'est opposée au traitement en vertu de l'article 6.8.7 en attendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l'exception de leur conservation, être traitées qu'avec le consentement de la personne concernée ou pour la constatation, l'exercice ou la défense de droits en justice ou pour la protection des droits d'une autre personne physique ou morale ou pour des motifs d'intérêt public important de l'UE/EEE ou d'un pays de l'UE/EEE dans lequel le responsable du traitement est établi. Le responsable du traitement informe la personne concernée qui a obtenu la limitation du traitement, avant la levée de la limitation.

6.8.5 Obligation de notification concernant la rectification ou l'effacement des données personnelles ou la limitation du traitement

Lorsque la loi applicable l'exige, le responsable du traitement doit communiquer toute rectification ou tout effacement de données personnelles ou toute restriction de traitement effectuée conformément aux sections 6.8.2 à 6.8.4 ci-dessus à chaque destinataire auquel les données personnelles ont été divulguées, à moins que cela ne s'avère impossible ou n'implique des efforts disproportionnés.

Lorsque la loi applicable l’exige, le responsable du traitement informe la personne concernée de ces destinataires si la personne concernée le demande.

6.8.6 Droit de la personne concernée à la portabilité des données

Lorsque la loi applicable l'exige, la personne concernée a le droit à la portabilité des données, c'est-à-dire le droit de recevoir les données à caractère personnel la concernant, qu'elle a fournies au responsable du traitement, sous une forme structurée, couramment utilisée et lisible par machine, et le droit de transmettre ces données à un autre responsable du traitement sans entrave.

6.8.7 Droit de la personne concernée de s'opposer au traitement

La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données la concernant dans les cas visés à l'article 6.4.5 et 6.5.6, sauf disposition contraire de la loi applicable. Cela inclut le profilage basé sur ces dispositions.

Si une personne concernée s'oppose au traitement, le responsable du traitement ne doit plus traiter les données à caractère personnel, sauf si :

  1. a) le responsable du traitement démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne concernée ;
  2. b) Ou le traitement est nécessaire à la constatation, l'exercice ou la défense de droits en justice.

La personne concernée a le droit, lorsque des données personnelles sont traitées à des fins de prospection, de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection. Cela comprend le profilage dans la mesure où il est lié à une telle prospection. Lorsque la personne concernée s'oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

Le droit d’opposition doit être explicitement porté à l’attention de la personne concernée, de manière claire et séparément de toute autre information, au plus tard au moment de la première communication avec la personne concernée.

6.9 Sécurité et confidentialité

Des mesures techniques et organisationnelles appropriées, y compris des mesures dès la conception et par défaut, doivent être mises en œuvre pour protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, perte accidentelle, altération, divulgation ou accès non autorisé, en particulier lorsque le traitement implique la transmission des données sur un réseau, et contre toute autre forme illicite de traitement. Compte tenu de la nature particulière et du coût de leur mise en œuvre, ces mesures doivent assurer un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger.

6.10 Transfert de données personnelles à des tiers

Le transfert de données personnelles à des tiers comprend les situations dans lesquelles Hydro divulgue des données personnelles à une personne physique ou morale, ou à un autre organisme ou institution qui n'est pas membre du groupe Hydro, y compris le transfert ultérieur de données personnelles à ces tiers.

Il existe deux catégories de tiers :

  1. a) Les responsables du traitement tiers, qui traitent et déterminent les finalités et les moyens du traitement des données personnelles (par exemple, les autorités gouvernementales telles que les autorités fiscales ou les prestataires de services qui fournissent des services directement à la personne concernée).
  2. b) Les sous-traitants tiers, qui traitent les données personnelles uniquement pour le compte d'Hydro et selon ses instructions (par exemple, un fournisseur de services qui traite les salaires pour le compte d'Hydro).

Vous trouverez ci-dessous un aperçu des exigences relatives au transfert de données personnelles protégées par la législation européenne applicable en matière de protection des données.

Transfert vers un responsable du traitement tiers établi dans l'EEE

Le transfert vers un responsable du traitement tiers établi dans l'EEE peut avoir lieu, à condition que :

  • Cela ne soit pas incompatible avec la finalité légitime pour laquelle les données personnelles ont été collectées ;
  • Cela soit conforme au principe de qualité et de proportionnalité des données ;
  • Les critères rendant le traitement des données légitime sont remplis ;
  • Les informations pertinentes sont fournies à la personne concernée (le cas échéant) ; et
  • Des mesures de sécurité appropriées sont mises en œuvre pour protéger les données personnelles pendant le transfert et lors du traitement ultérieur par le destinataire.

La législation locale applicable peut comporter des exigences supplémentaires et doit toujours être prise en compte avant d’effectuer un tel transfert.

Transfert vers un responsable du traitement tiers établi en dehors de l'EEE

Le transfert vers un responsable du traitement tiers établi en dehors de l'EEE est interdit, sauf lorsque l'une des conditions suivantes est remplie :

  • le responsable du traitement destinataire est établi dans un pays que la Commission européenne a considéré comme offrant un niveau de protection adéquat, cf. les décisions de la Commission sur l'adéquation de la protection des données personnelles dans les pays tiers, disponibles à l'adresse suivante : Décisions d'adéquation (europa.eu);
  • ou le responsable du traitement destinataire a été certifié dans le cadre d'un programme reconnu par la législation européenne applicable en matière de protection des données comme offrant un niveau « adéquat » de protection des données ;
  • ou l'une des dérogations pour des situations spécifiques prévues par la législation européenne applicable en matière de protection des données s'applique (par exemple, les personnes concernées ont explicitement consenti au transfert ou le transfert est nécessaire pour conclure ou exécuter un contrat) ;
  • ou le transfert est régi par les Clauses Contractuelles Types pour le transfert de données personnelles entre responsables de traitement.

Transfert vers un sous-traitant tiers établi dans l'EEE

Le transfert vers un sous-traitant établi dans l'EEE peut avoir lieu, à condition que :

  • le sous-traitant fournisse des garanties suffisantes quant aux mesures de sécurité techniques et organisationnelles régissant le traitement à effectuer ;
  • et la réalisation du traitement par l'intermédiaire d'un sous-traitant soit régie par un contrat ou un acte juridique (accord de traitement des données) conformément aux exigences énoncées au troisième paragraphe de la section 4.1.

Transfert à un sous-traitant tiers établi en dehors de l'EEE

Le transfert vers un sous-traitant établi en dehors de l'EEE est interdit, sauf lorsque, conformément à la législation européenne applicable en matière de protection des données :

  • le sous-traitant destinataire est établi dans un pays que la Commission européenne a considéré comme offrant un niveau de protection adéquat (sur la base d'une « décision d'adéquation »),
  • ou le sous-traitant destinataire a été certifié dans le cadre d'un programme reconnu par la législation européenne applicable en matière de protection des données comme offrant un niveau « adéquat » de protection des données ;
  • ou une ou plusieurs des dérogations pour des situations spécifiques énoncées dans la législation européenne applicable en matière de protection des données s'appliquent (par exemple, lorsque les personnes concernées ont explicitement consenti au transfert ou lorsque le transfert est nécessaire pour conclure ou exécuter un contrat, etc.) ;
  • ou le transfert est régi par les Clauses Contractuelles Types pour le transfert de données personnelles du responsable du traitement au sous-traitant ;

et les conditions suivantes sont remplies :

  • le sous-traitant fournit des garanties suffisantes quant aux mesures techniques de sécurité et organisationnelles régissant le traitement à effectuer ;
  • la réalisation du traitement par l'intermédiaire d'un sous-traitant est régie par un contrat ou un acte juridique (accord de traitement des données) conformément à l'Article 28 (3) du RGPD.

6.11 Démonstration de la conformité

Toute entité juridique agissant en tant que responsable du traitement est responsable de la conformité et doit être en mesure de démontrer cette conformité avec la procédure de protection des données.

Si un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit, avant le traitement, procéder à une analyse d'impact des opérations de traitement envisagées sur la protection des données personnelles (analyse d'impact relative à la protection des données). Si l'analyse d'impact relative à la protection des données indique que le traitement engendrerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer ce risque, le responsable du traitement doit consulter l'autorité de contrôle compétente avant de procéder au traitement.

6.12 Conditions de consentement

Si le consentement est requis ou approprié comme base juridique en vertu de la législation applicable pour le traitement des données personnelles ou le traitement des données sensibles, les conditions suivantes s'appliquent :

  1. a) Le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données personnelles. Lorsque le traitement est effectué à la demande de la personne concernée, celle-ci est réputée avoir donné son consentement au traitement ;
  2. b) Le responsable du traitement doit informer la personne concernée conformément aux dispositions énoncées dans la section 6.7 ci-dessus ;
  3. c) Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement doit, lorsque la législation applicable l'exige, être présentée d'une manière qui se distingue clairement des autres questions, sous une forme intelligible et facilement accessible, en utilisant un langage clair et simple ;
  4. d) Et le consentement ne doit être utilisé que s'il est susceptible de constituer une base juridique valable pour le traitement. En ce qui concerne les relations de travail, le consentement ne doit donc pas être utilisé comme base juridique, sauf s’il est évident qu’il a été donné librement. Cela se produit généralement lorsque les personnes concernées participent volontairement à une enquête ou à des événements organisés par Hydro ou s'inscrivent à une newsletter d'Hydro.
  5. e) La personne concernée peut retirer son consentement à tout moment et elle doit, si la législation applicable l'exige, être informée de son droit de retirer son consentement. Le retrait du consentement ne porte pas atteinte à la licéité du traitement fondé sur ce consentement avant son retrait. Il doit être aussi facile de retirer son consentement que de le donner.

7. Définitions

Sauf indication contraire spécifique, les définitions suivantes doivent être interprétées de manière cohérente et avoir la même signification que les définitions énoncées dans la législation européenne applicable en matière de protection des données :

Législation européenne applicable en matière de protection des données

La législation européenne applicable en matière de protection des données désigne la directive 95/46/CE de l’UE et le règlement 2016/679 de l’UE (règlement général sur la protection des données) abrogeant la directive 95/46/CE.

Règles d'entreprise contraignantes (BCR)

Les règles d'entreprise contraignantes (BCR) désignent un ensemble de règles de protection des données approuvées par les autorités de protection des données de l'UE, qui sont juridiquement contraignantes et appliquées par chaque membre d'un groupe d'entreprises, y compris leurs employés, et qui, en vertu de la législation européenne applicable en matière de protection des données, fournit le niveau de protection adéquat pour le transfert de données personnelles au sein de ce groupe d'entreprises. Cette procédure de protection des données constitue les BCR d'Hydro.

Secteur d'activité
Un secteur d'activité est une division des opérations d'Hydro dont les activités commerciales principales sont communes, telles que décrites sur le site web d'Hydro. Les secteurs d'activité sont divisés en unités commerciales le cas échéant et peuvent représenter une ou plusieurs entités juridiques établies dans un ou plusieurs pays.

Consentement
Un consentement signifie toute indication librement donnée, spécifique, éclairée et sans ambiguïté des souhaits de la personne concernée par laquelle elle, par une déclaration ou par un acte positif clair, signifie son accord au traitement des données personnelles la concernant.

Responsable du traitement
Un responsable du traitement est une entité juridique qui détermine les finalités et les moyens du traitement des données personnelles des personnes concernées, indépendamment du fait que le traitement ait lieu au sein de l’entité juridique ou par un sous-traitant externe.

Responsable de la protection des données
Le responsable de la protection des données est la personne chargée de superviser la mise en œuvre de la procédure de protection des données et qui est responsable du suivi global de la conformité en matière de protection des données au sein du groupe Hydro.

Coordonnateur de la protection des données
Un coordinateur de la protection des données désigne le personnel spécialisé dédié à la surveillance et à la coordination de la conformité à la protection des données dans une fonction ou un secteur d’activité spécifique d’Hydro.

Accord de traitement des données
Un accord de traitement des données est un accord qui régit la manière dont le sous-traitant peut traiter les données personnelles pour le compte du responsable du traitement.

Personne concernée
Une personne concernée est une personne physique identifiée ou identifiable à laquelle les données personnelles traitées se rapportent. Une personne concernée peut, par exemple, être un employé d'Hydro, un consultant externe travaillant pour Hydro ou une personne postulant à un emploi auprès d’Hydro.

Espace économique européen (EEE)
L’EEE signifie l'Espace économique européen, c'est-à-dire les États membres de l'UE ainsi que les pays de l'AELE (Liechtenstein, Islande et Norvège).

Hydro (Groupe Hydro)
Aux fins de la présente procédure, Hydro ou le groupe Hydro (ou groupe d’entreprises Hydro) désignent Norsk Hydro ASA et toutes les entités juridiques. Le terme Hydro fait référence à l'ensemble du groupe d’entreprises Hydro ou à chacun des membres du groupe Hydro, selon le cas.

Entité juridique
Aux fins de la présente procédure, une entité juridique désigne une filiale entièrement détenue par Norsk Hydro ASA ainsi que d'autres entités juridiques dans lesquelles Hydro contrôle directement ou indirectement plus de 50 % des droits de vote et qui adhèrent au Code de conduite d'Hydro et aux documents de gouvernance d'Hydro.

Référent RGPD (DP Champion)
Le référent RGPD est une personne compétente désignée au sein du personnel d’Hydro avec pour missions de garantir la mise en œuvre, la gestion et le respect de la présente procédure de protection des données dans une zone, une unité ou une fonction donnée.

Données personnelles
Les données personnelles désignent toute information se rapportant à une personne physique identifiée ou identifiable (la personne concernée) qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Traitement des données personnelles
Le terme « traitement » désigne toute opération effectuée sur ou toute utilisation de données personnelles, qu’elle soit automatisée ou non, telle que la collecte, l'enregistrement, le rapprochement, le stockage et la divulgation, ou une combinaison de ces utilisations. La définition est neutre sur le plan technologique et inclut le traitement, total ou partiel, de données personnelles à l'aide d'ordinateurs ou d'équipements similaires capables de traiter automatiquement des données personnelles. La définition inclut également les systèmes manuels d'enregistrement ou d’archivage si des données personnelles sont incluses.

Sous-traitant
Un sous-traitant est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte d'un responsable du traitement. Les sous-traitants comprennent par exemple des prestataires de services informatiques externes ou des partenaires d'externalisation d'Hydro. Une entité juridique d'Hydro (telle que Norsk Hydro ASA) peut agir en tant que sous-traitant interne, qui traite les données personnelles pour le compte d'une autre entité juridique agissant en tant que responsable du traitement.

Données personnelles sensibles
Les données personnelles sensibles sont toutes les données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques (pour identifier de manière unique une personne physique), la santé, la vie sexuelle ou l'orientation sexuelle ou les infractions et condamnations pénales.

Clauses contractuelles types (CCT)
Les clauses contractuelles types ou CCT sont des contrats standard de protection des données, adoptés par la Commission européenne, à exécuter entre un responsable du traitement établi dans un pays membre de l'EEE et un responsable du traitement ou un sous-traitant établi dans un pays tiers afin de fournir une base juridique au transfert de données personnelles d'un pays membre de l'EEE vers un pays tiers.

Pays tiers
Un pays tiers désigne un pays situé en dehors de l’EEE, c’est-à-dire tous les pays à l’exception des États membres de l’UE et des pays de l’AELE (Liechtenstein, Islande et Norvège).

Tierce personne
Aux fins de la présente procédure, un tiers désigne toute personne, organisation privée ou organisme gouvernemental extérieur à Hydro.

Transfert
Un transfert comprend toute divulgation, copie ou déplacement de données personnelles, qui font l'objet d'un traitement ou sont destinées à être traitées après la divulgation, la copie ou le déplacement, d'une entité juridique à une autre entité juridique ou à un tiers, quel que soit le type de support ou de mesures techniques utilisées pour accéder aux données personnelles.

8. Contactez-nous

Le responsable de la protection des données peut être contacté à l'adresse suivante :

Courriel : Line.Schartum-Hansen@hydro.com

Adresse postale : Norsk Hydro ASA, Drammensveien 264, Oslo, Norvège

9. Date d'entrée en vigueur et dernière mise à jour

Date d'entrée en vigueur : 24 mai 2018

Dernière mise à jour : 24 mai 2018

Mis à jour: 15 mai 2024