17/12/2015
The GDPR is finally coming: we're happy to offer an improved version of the text! (...détails...)
28/04/2014

La décision Conseil d'Etat "Foncia Groupe" du 12 mars 2014 consacre un important revirement d'analyse des relations "Informatique et Libertés" au sein d'un Groupe: la holding ou le siège, assurant la responsabilité réelle, in concreto, du traitement, n'est plus considéré comme sous-traitant, mais bien comme responsable légal du traitement pour l'ensemble de ses filiales.

(...détails...)
21/03/2014
Vous pouvez désormais louer RETIL, sans acquérir de licence ni l'installer sur vos serveurs.
(...détails...)
27/01/2014
Voici les supports de la présentation de ce 27 janvier 2014 à la toujours intéressante Université de l'AFCDP. Merci de votre attention durant cet atelier !
19/04/2013
La délibération CNIL 2013-075 du 28 mars 2013 labellise notre formation "Correspondant Informatique et Libertés".
(...détails...)

Toutes les news

Détail d'une Nouvelle ou d'un Article

28/04/2014

Les Groupes In concreto : la fin d'une fiction


La décision Conseil d'Etat "Foncia Groupe" du 12 mars 2014 consacre un important revirement d'analyse des relations "Informatique et Libertés" au sein d'un Groupe: la holding ou le siège, assurant la responsabilité réelle, in concreto, du traitement, n'est plus considéré comme sous-traitant, mais bien comme responsable légal du traitement pour l'ensemble de ses filiales.

La CNIL a mis en ligne le 23 avril 2014 un commentaire de l'arrêt du Conseil d'Etat du 12 mars 2014, relatif à la société Foncia, ainsi que sa délibération de sanction du 6 octobre 2011. Au-delà des articles parus dans la presse sur le caractère excessif des commentaires enregistrés dans l'application Totalimmo de Foncia, la décision de la CNIL, complétée par l'arrêt du Conseil d'Etat, renverse le rapport classique des Groupes à la loi Informatique et Libertés.

Nous proposons ici notre analyse de ces décisions de la CNIL et du Conseil d'Etat, et envisageons leurs importantes conséquences pratiques.

 

La fiction classique des Groupes et de leurs filiales: de multiples responsables de traitement, un sous-traitant

En matière Informatique et Libertés, la définition légale des Groupes est rapidement cernée: elle n'existe tout simplement pas dans le droit français défini par la loi originelle du 6 janvier 1978, ni dans la version réformée par la transposition de la Directive 95/46 1995 par la loi du 6 août 2004. La notion de co-responsabilité est présente dans l'article 2 d) de la Directive1, mais sa transposition en droit français a été volontairement été écartée lors des travaux préparatoires en Commission de l'Assemblée Nationale, "le rapporteur ayant, en effet, souligné le caractère imprécis de la notion de «co-responsabilité»"2.

Les Groupes mettent couramment en oeuvre des systèmes d'information centralisés complexes, de type SAP, en matière de ressources humaines, de gestion commerciale, de gestion du système d'information, comme de systèmes d'information Métier (gestion de production, gestion bancaire, gestion des locataires). La complexité et le coût de tels systèmes - des dizaines de millions d'euros d'acquisition et d'exploitation - imposent leur centralisation technique et des paramétrages communs à toutes les filiales. On est ici dans le cadre de projets "top-down", dans lesquels le Groupe décide de mettre en oeuvre un système et le déploie de manière uniforme vers l'ensemble de ses filiales; le maintien de différences techniques et organisationnelles entre filiales est pratiquement impossible du fait des coûts induits.

Confrontés à l'obligation d'organiser les relations juridiques avec leurs filiales lors de la mise en oeuvre de ces systèmes d'information, les Groupes ont recouru à une fiction juridique, selon laquelle chaque filiale est légalement Responsable de traitement, et choisit "par le plus grand des hasards" la société mère ou sa filiale dédiée au Système d'Information en tant que sous-traitant. Les responsabilités respectives des acteurs, la société mère et ses filiales, sont ainsi inversées par rapport à la réalité. Cette vision artificielle de la réalité est toujours difficile à appréhender pour les nouveaux venus dans le domaine Informatique et Libertés, et est l'une de ses principales zones d'ombre3.

Désormais classique, cette fiction est entretenue par la CNIL, qui impose que chacune des filiales:

  • déclare "ses" traitements de gestion des ressources humaines, de gestion commerciale (ainsi sur le formulaire électronique des déclarations, le texte d'aide de la rubrique "Organisme déclarant" précise "Attention! Les maisons mères ne peuvent pas déclarer pour le compte de leurs filiales"),
  • demande une autorisation pour "son" traitement de scoring bancaire4 ou d'alertes professionnelles5
  • déclare "son" CIL, qui se trouve alors toujours être "par le plus grand des hasards" celui du Groupe.

Cette approche est constante; ainsi, sur le sujet des relations entre un Groupe et ses filiales situées hors Union Européenne, les Services de la CNIL nous ont clairement indiqué dans le cadre d'une demande de conseil en 2010 que "les filiales situées en Afrique et en Asie sont responsables de traitement pour les opérations qu'elles effectuent [à l'aide du Système d'Information du Groupe] et que la société mère située sur le territoire français est sous-traitant au regard de la loi".

Une exception historique: les BCR

Destinées à faciliter les opérations des groupes multinationaux, les Règles contraignantes d'entreprises (Binding Corporate Rules, BCR) établissent une relation privilégiée entre une Autorité de contrôle, telle la CNIL, et un Groupe, représentant l'ensemble de ses filiales. Chacune des filiales sera réputée Responsable des traitements; cependant pour des raisons pratiques, c'est bien le Groupe qui remplira le dossier d'instruction, et en premier lieu le document WP133, établi dès le 10 janvier 2007.

Un premier signe d'évolution: l'Autorisation n°2011-138

Chaque filiale d'un Groupe étant réputée Responsable de traitement, il en découle qu'un système relevant de l'Autorisation nécessite le dépôt d'autant de demandes que de filiales. Ainsi, fin 2008, le fabricant d'ascenseurs Schindler a obtenu onze autorisations de mise en place d'un système d'alertes professionnelles, pour la maison mère (2008-598) et ses dix filiales (dont Allamand-Schindler, au Puy, compte 12 personnes, délibération 2009-190) - chacune de ces filiales ayant déposé un dossier de demande d'autorisation.

Cette position de la CNIL a connu une première entorse visible dans sa délibération 2011-138 du 12 mai 2011 autorisant la société EADS FRANCE SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle dédié aux "manquements sérieux aux domaines financier, comptable, de lutte contre la corruption et aux pratiques anticoncurrentielles". Cette délibération étend le champ d'une délibération antérieure 2010-087 du 25 mars 2010, qui ne visait pas les pratiques anticoncurrentielles, et concernait la seule société EADS.

Au-delà de l'extension du champ de son système d'alerte professionnelle, la vraie nouveauté de cette délibération 2011-138 est l'introduction du mot "Groupe": la CNIL relève que la société EADS France SAS a déposé un unique dossier de demande d'autorisation, sans que les filiales du Groupe (Airbus, Cassidian, Astrium, Eurocopter... pour les plus connues) n'aient déposé de dossier. La CNIL retient alors que "La société EADS France SAS agit en qualité de responsable de traitement pour l’ensemble des sociétés du groupe EADS concernées par le dispositif d’alerte professionnelle. En effet, la Commission constate qu’elle détermine seule les finalités et les moyens du traitement.".

Ainsi, le Groupe, décideur des finalités et des moyens du traitement, peut déposer une demande d'autorisation pour le compte de l'ensemble de ses filiales - en en joignant la liste en annexe, sans que des réorganisations ultérieures du périmètre du Groupe n'impactent cette autorisation.

Cette analyse de la CNIL au sujet du Groupe EADS a été confirmée par les délibérations 2012-370 (extension du champ aux champs du harcèlement, de la divulgation de données confidentielles, des conflits d’intérêts et de la sécurité des produits) et 2014-006 (extension du champ aux champs de la Qualité): ces délibérations reprennent la formulation novatrice: "La société EADS FRANCE SAS agit en qualité de responsable de traitement pour l’ensemble des sociétés du groupe EADS concernées par le dispositif d’alerte professionnelle. En effet, la Commission constate qu’elle détermine seule les finalités et les moyens du traitement.".

La notion de responsabilité au niveau de la Holding pour tout un Groupe est ainsi établie dans le cadre des Autorisations

 

La décision 2011-205, et l'arrêt "Foncia Groupe" du Conseil d'Etat du 12 mars 2014

La décision 2011-205: Foncia Groupe est responsable de traitement in concreto

La délibération de sanction 2011-205 du 6 octobre 2011 portant avertissement à l'encontre de la Société Foncia Groupe confirme cette nouvelle notion de responsabilité en matière de sanctions.

La société Foncia Groupe est une holding, disposant d'un réseau de 600 agences en France (franchises et 137 filiales). Le cadre de l'objet social de la société est défini par son code NAF 7010Z - Activités des sièges sociaux, "Cette sous-classe comprend la supervision et la gestion d'autres unités de la même entreprise ou du même groupe, la prise en charge du rôle de planification et de direction stratégique ou organisationnelle de l'entreprise ou du groupe, l'exercice du contrôle opérationnel et la gestion des opérations courantes des unités rattachées. Cette classe ne concerne que des unités sans activité "productive" significative."6

Lors d'un contrôle le 6 mai 2010, la délégation de la CNIL a examiné les traitements d'administration de biens et de gestion des transactions. Elle a "relevé que la société propose aux agences filiales et franchisées des outils métier utilisés dans le cadre de ces traitements, et qu'à ce titre elle pilote, gère, maintient et héberge l'ensemble des bases de données associées à ces outils". Lors du contrôle, la délégation a découvert des commentaires de nature répréhensible dans certaines de ces bases, ce qui a entrainé une procédure de sanction.

En défense, la société a soulevé les arguments découlant de la fiction juridique classique, rappelée supra:

  • l'objet social de la Holding n'inclut pas les traitements pour lesquels des commentaires répréhensibles ont été relevés;
  • la Holding n'exerce aucun contrôle d'activité ou de gestion sur les actions de ses filiales;
  • elle n'exerce pas d'activités de location ou de gestion de copropriété, mais des activités de "support" à ses filiales et franchises; au surplus, cette indépendance des filiales apparaît dans l'architecture du système d'information, les informations gérées par chaque agence étant stockées dans des environnements distincts et étanches entre agences;
  • un contrat régit les relations de Foncia Groupe avec ses entités intégrées et franchisées; il prévoit explicitement que Foncia Groupe ne traite les données figurant dans les applications que pour le compte de ses filiales et franchises, conformément à leurs instructions; suivant la fiction classique, elle agit donc en tant que sous-traitant de ses filiales.

La délibération n'abordant ni ne sanctionnant l'absence de déclarations, on peut en déduire que chacune des Agences et filiales avait procédé à la déclaration de ses traitements de manière indépendante - suivant là encore la fiction classique.

Sur ce point primordial de la détermination du responsable de traitement, la structure de la CNIL en charge des sanctions, la Formation Restreinte, relève que

  • la notion de responsable de traitement "doit être interprétée in concreto [nous graissons], afin de prendre en compte l'ensemble des éléments permettant d'attribuer cette qualité à une entité identifiée";
  • la convention de service entre les filiales et Foncia Groupe:
    • mentionne clairement la "position de tête" de cette dernière;
    • indique que Foncia Groupe /peut/ "fournir aux filiales les prestations de gestion, de direction, de coordination et de contrôle dont elles peuvent avoir besoin dans les cadre de l'organisation et de l'exercice de leurs métiers".
    • prévoit que Foncia Groupe, dans le cadre de la prestation de services informatiques qu'elle fournit aux sociétés du groupe, "sera seul maitre de la définition des moyens [matériels et humains] et notamment du choix de ceux de ses préposés ou mandataires à faire intervenir, sans que les filiales puissent interférer de quelque manière que ce soit dans ce choix". 

La formation restreinte constate également que, suite au contrôle, Foncia Groupe a procédé à la correction des manquements relevés par les contrôleurs de la CNIL, en insérant des consignes de saisie dans les zones de commentaires, en mettant en place un outil d'analyse sémantique des saisies de commentaires, et en mettant à jour une "Note de référence CNIL Groupe" diffusée à ses filiales; qu'en prenant ces mesures, «la société Foncia Groupe s'est comportée en tant que responsable de traitement, et ne peut soutenir qu'elle agissait en tant que sous-traitant, sur instruction de ses filiales.»

La formation restreinte relève également que la Société Foncia Groupe a souscrit un engagement de conformité pour son compte propre à la norme simplifiée 21, relative à la gestion et à la négociation des biens immobiliers; et que cet engagement tend à indiquer que Foncia réalise bel et bien de telles activités de gestion.

Enfin, la société Foncia Groupe n'ayant pas indiqué en défense lesquelles de ses filiales ou franchises auraient inséré ces commentaires litigieux7, elle ne s'affranchit pas de sa responsabilité.

La formation restreinte considère dès lors "qu'il ressort tant des contrôles que de l'instruction que la société FONCIA GROUPE dispose d'un véritable contrôle sur la base de données «TOTALIMMO», et qu'elle détermine de manière autonome la manière dont sont traitées les informations qui sont enregistrées dans ces bases. Dès lors, la société FONCIA GROUPE se verra imputer la responsabilité du traitement litigieux."


La qualification de la société Foncia Groupe comme responsable de traitement entraîne sa responsabilité sur le grief de non-respect de l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données, sur le grief de non-respect de l'interdiction de collecter ou de traiter des données relatives à la santé des personnes ou faisant apparaitre leurs opinions religieuses, et aboutit aux décisions de prononcer un avertissement à l'encontre de la société Foncia Groupe et de publier cet avertissement.

 

Ce "in concreto" constitue ainsi un revirement spectaculaire vers la réalité opérationnelle des Groupes.

L'arrêt "Foncia Groupe" du Conseil d'Etat du 12 mars 2014: consécration de la notion de Groupe

La société Foncia a fait appel de cette décision de la CNIL devant le Conseil d'Etat - on déduit de l'arrêt que cet appel intervient tant contre le caractère public de la sanction que contre la qualification de responsable de traitement: cette qualification peut en effet surprendre, au regard du strict contenu de l'article 3-I de la loi et du recours classique à la fiction juridique rappelée supra en matière de Groupes.

Le Conseil d'Etat retient qu'il "résulte de l'instruction que la société Foncia Groupe, qui a mis à disposition des entités qui lui sont liées le traitement "Totalimmo", a décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci, puis, après le contrôle de la CNIL, a fixé la durée de conservation des données et apporté des correctifs à leur traitement ; qu'ainsi, la société Foncia Groupe détermine les finalités et les moyens du traitement " Totalimmo " ; que la société ne peut être regardée comme sous-traitant au sens des dispositions de l'article 35 de la loi du 6 janvier 1978 ;

Le Conseil d'Etat conforte l'analyse de la CNIL: l'analyse classique, selon laquelle les filiales, responsables de traitement, ont décidé d'utiliser le système Totalimmo proposé par Foncia Groupe, leur sous-traitant, est écartée.

Entre la décision de sanction de la CNIL du 6 octobre 2011 et l'arrêt du Conseil d'Etat, Foncia a décidé de se doter d'un Correspondant Informatique et Libertés, chargé de veiller à l'amélioration de la conformité du Groupe et à l'application des engagements que le Groupe a dû prendre auprès de la Commission suite à la mise en demeure. Conformément à la pratique classique, chacune des filiales du Groupe, Responsable de traitement, a désigné auprès de la CNIL un Correspondant, qui s'est trouvé être le CIL de Foncia Groupe - dans la réalité, il est vraisemblable que le Groupe a donné instruction à ses filiales de désigner le correspondant indiqué8. Le Groupe Foncia fonde un moyen de son appel sur ces désignations multiples d'un Correspondant Informatique et Libertés, renforçant selon elle l'autonomie de responsabilité "Informatique et Libertés" des filiales.

Sur ce point, le Conseil d'Etat considère que "la désignation d'un correspondant à la protection des données par les entités n'a pas, par elle-même, pour effet de rendre celles-ci responsables des traitements".

De tous ces points, le Conseil d'Etat conclut que "en estimant que la société Foncia Groupe pouvait faire l'objet d'une sanction en tant que responsable de ce traitement, la CNIL a fait une exacte application des dispositions précitées".

L'interprétation de la loi par la CNIL, aboutissant à sanctionner le Groupe, prenant in concreto les décisions, plutôt que ses entités opérationnelles, est donc confirmée très clairement par le Conseil d'Etat.

Le Groupe existe désormais dans le domaine Informatique et Libertés, la fiction classique est effacée: désormais le Groupe peut demander les Autorisations, et être sanctionné, quels que soient la contenu et la qualité de ses conventions avec ses filiales. La réalité de l'organisation des entreprises s'impose.

 

Conséquences pratiques

Dès lors, on doit s'interroger sur les conséquences de cette nouvelle réalité sur le reste de la conformité Informatique et Libertés: il semble inconcevable que l'analyse in concreto, validée par le Conseil d'Etat, ne soit pas généralisée, d'autant que la co-responsabilité est bel et bien prévue par la Directive et par l'article 4-(5) du projet de Règlement européen.

On a du mal à voir pourquoi la nouvelle approche ne s'appliquerait pas aux Déclarations et aux engagements à des Normes simplifiées. Il est vraisemblable que les Groupes ne vont pas hésiter à transmettre à la CNIL de telles Déclarations et engagements à des normes simplifiées ou des autorisations uniques, désignant le Groupe comme responsable du traitement, en application directe de l'arrêt du Conseil d'Etat, et indiquant que les services responsables de la mise en oeuvre sont les "Directions des Ressources Humaines du Groupe et de ses filiales", comportant la liste de ces filiales en annexe. Il semble que les Services de la Commission aient déjà accepté ce type de déclarations multiples, mais jamais très facilement; il sera intéressant d'analyser cette évolution dans les prochaines semaines.

Concernant les désignations de Correspondants, on conçoit bien que la Commission souhaite conserver la liste de toutes les entités entrant dans le périmètre du CIL désigné par une holding, et imposé in concreto à l'ensemble des sociétés du Groupe. Là encore, la transmission des sociétés concernées au moyen d'une annexe ou d'une modification des formulaires répondra à cet impératif de traçabilité - permettant la tenue de statistiques, et surtout de contrôles réalistes, tenant compte de l'existence d'un CIL. Là encore, tous les acteurs de la conformité ont entendu dire que certains Groupes avaient obtenu de pouvoir transmettre une liste des sociétés entrant dans le périmètre du CIL.

Bien évidemment, aucun Groupe ne verrait d'obstacle à informer la CNIL de toute modification de son périmètre, ni à déclarer les mouvements de sociétés rejoignant le Groupe et son système d'information, ou le quittant: une telle mise à jour est infiniment moins complexe et coûteuse que la duplication artificielle de toutes les déclarations, autorisations, et désignations, qui est actuellement la règle lors d'un mouvement dans le Groupe...

 

Au final, cette nouvelle approche est réellement simplificatrice quant au concept de Responsable de traitement et à la mise en oeuvre pratique de la Confomité (certains Groupes comportent plus de 1000 filiales...); elle dissipe un certain flou dans les pratiques, et ne fait qu'anticiper les prochaines dispositions européennes. Le sous-traitant au sens "Informatique et Libertés" rejoint la notion commune.

 

Conséquences sur les principes de la loi.

Il nous semble que deux derniers points méritent d'être abordés, autour du grand principe démocratique de transparence.

  • concernant l'article 32, qui impose aux entreprises d'informer les personnes concernées de l'existence des traitements de données à caractère personnel: le fait que le Groupe soit désormais le Responsable de traitement ne doit pas conduire à un affaiblissement de l'information aux personnes. Il ne semble pas admissible que le client d'une agence d'un Groupe puisse entendre "- Pourquoi nous enregistrons vos données ? Nous n'en savons rien, c'est le Groupe qui décide tout et est responsable", ou qu'un salarié d'une filiale ne soit pas informé que sa navigation internet est enregistrée par les proxies et firewalls du Groupe.
En conséquence, chaque Groupe devra veiller à lister toutes les filiales concernées par chacun de ses Traitements, et à contrôler la diffusion "en cascade" de l'information aux instances représentatives du personnel et aux personnes concernées. De même, le Groupe étant responsable de traitement, il importe que les moyens d'exercice des droits d'accès, de rectification et d'opposition soient prévus au niveau du Groupe. Ainsi, s'ils rejoignent General Electric, les salariés de la branche d'Alstom seront dûment informés de l'existence de plusieurs dizaines de Traitements, dont un système d'alertes professionnelles (décision 2013-336 du 24 octobre 2013), et seront ainsi à même d'exercer leurs droits.
  • si rien ne s'oppose désormais à ce qu'un Traitement ne soit déclaré qu'une fois par le Groupe, il demeure également nécessaire que les personnes interrogeant la CNIL pour obtenir la liste des traitements mis en oeuvre par la filiale "XYZ Bordeaux" de la société "XYZ Sud-Ouest", elle-même filiale du Groupe XYZ, obtiennent l'ensemble des traitements mis en oeuvre au niveau de cette filiale bordelaise, quelle que soit l'entité juridique légalement Responsable de Traitement. Il semble impératif qu'une personne demandant à la CNIL la liste des traitements mis en oeuvre par la société des Transports des l'Agglomération de Montpellier, l'une des 52 filiales du groupe Veolia, obtienne l'information relative au traitement d'alerte lié aux discriminations (autorisation 2014-092). Si ce n'est encore le cas, une modification relativement simple du système d'enregistrement des Traitements de la CNIL devrait régler le problème.

De même, lorsque le Groupe a désigné un Correspondant Informatique et Libertés, il est nécessaire de pouvoir restituer à partir du Registre l'ensemble des Traitements "en cascade" concernant cette société XYZ Bordeaux.

Le Correspondant Informatique et Libertés est fortement impliqué dans cette mutation: il devra expliquer en interne le revirement de perspective, mettre en place des circuits de diffusion "top-down" plutôt que "bottom-up", et peut-être même simplifier son Registre en le purgeant de centaines de déclarations dupliquées pour chaque filiale... Il est également probable qu'au travers de l'AFCDP, des CIL de Groupes vont former le voeu que la Commission et ses Services intègrent systématiquement ce revirement.

Les prochaines semaines seront passionnantes...

 

Notes

  1. Directive 95/46/CE, art 2 d): «responsable du traitement»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel;"
  2. http://www.assemblee-nationale.fr/11/rapports/r3526.asp, point 2 de l'examen du texte; explicité sur http://www.senat.fr/rap/l02-218/l02-21810.html#toc252 par le rapporteur de la commission des Lois du Sénat, Alex Türk, indiquant: "L'Assemblée nationale a adopté, sur proposition de son rapporteur de la commission des Lois, M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un amendement supprimant les termes « seul ou conjointement avec d'autres », estimant imprécise cette notion de co-responsabilité. En effet, la notion de responsable détermine notamment le droit national applicable ; or, il s'agit d'éviter des conflits de lois en cas de pluralité des responsables, ou la répartition d'office de la présomption de responsabilité entre plusieurs personnes." Si un constitutionnaliste avait la bonté de commenter cette non-transposition...
  3. Présentation "Les zones d'ombre de la loi Informatique et Libertés", atelier de l'université AFCDP 2014
  4. Définition du code NAF 7010Z : http://www.insee.fr/fr/methodes/default.asp?page=nomenclatures/naf2008/n5_70.10z.htm
  5. Autorisations pour des Groupes bancaires: 9 filiales du Groupe BNP Paribas, aide à la décision en matière d’octroi de crédit à la consommation et la prévention des impayés (et aussi 7 Crédit Agricole en 2014, 7 Caisses d'Epargne en 2012...)
  6. Autorisations pour des Groupes en matière d'alertes professionnelles: outre Schindler précité, voir aussi le groupe de carrières et bétons Holcim en 2014 (16 sociétés), le groupe Mercedes en 2013 (13 sociétés)...
  7. Il est patent que de tels commentaires ont été accidentels, et n'ont pas été systématiquement été inscrits par chacune des filiales - un tel système institutionnalisé aurait appelé des sanctions beaucoup plus sévères, voire à un désaisissement de la CNIL au profit du juge pénal.
  8. Dans le contexte d'une mise en demeure, on imagine l'étroitesse de la marge de manoeuvre laissée aux filiales quant au choix d'un Correspondant...

 


Creative Commons License
Cette création est mise à disposition sous un contrat Creative Commons.

  • 3F
  • Alptis
  • ADREA
  • ATEN
  • Bosch
  • British Telecom
  • CE Ile de France
  • CCI Morbihan
  • CG Calvados, Seine-Maritime...
  • c-m-a
  • CNCC
  • Collège de France
  • Conseils Régionaux
  • Eiffage
  • EADS
  • ESSEC
  • Groupe Casino
  • Galeries Lafayette
  • ividence
  • Mutuelle.fr
  • Paris Habitat
  • Universités
  • UDAF 42
  • URSSAF 83
  • Vinci Energies
Membre de l'AFCDP
Membre de l'IAPP
Membre fondateur de Privacy Europe