Common use of Traitement des données à caractère personnel par le contractant Clause in Contracts

Traitement des données à caractère personnel par le contractant. Le traitement de données à caractère personnel par le contractant doit satisfaire aux exigences du règlement (UE) 2016/679 et s'effectuer uniquement aux fins définies par le responsable du traitement. Le contractant aide le responsable du traitement à satisfaire à l'obligation qui lui incombe de donner suite aux demandes d'exercer leurs droits émanant de personnes dont les données à caractère personnel sont traitées dans le cadre du présent contrat, comme prévu règlement (UE) 2016/679. Le contractant doit informer sans délai le responsable du traitement de ces demandes. Le contractant ne peut agir que conformément aux instructions écrites et documentées et sous la supervision du responsable du traitement, notamment en ce qui concerne les finalités du traitement, les catégories de données pouvant être traitées, les destinataires des données et les moyens par lesquels la personne concernée peut exercer ses droits. Le contractant donne à son personnel l’accès aux données dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Le contractant doit veiller à ce que le personnel autorisé à traiter les données à caractère personnel s’engage à respecter la confidentialité ou soit soumis à une obligation légale de confidentialité conformément aux dispositions de l’article II.8. Le contractant doit adopter des mesures de sécurité d’ordre technique et organisationnel appropriées, eu égard aux risques inhérents au traitement et à la nature, à la portée, au contexte et aux finalités du traitement, offrant notamment, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel; b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement; e) des mesures visant à protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, d’origine accidentelle ou illicite. Dans les meilleurs délais, et au plus tard dans les 48 heures après en avoir eu connaissance, le contractant notifie au responsable du traitement les violations pertinentes de données à caractère personnel. Dans ce cas, le contractant communique au moins les informations suivantes au responsable du traitement: a) la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; b) les conséquences probables de la violation; c) les mesures prises ou proposées pour remédier à la violation, y compris, s’il y a lieu, les mesures destinées à en atténuer les éventuelles conséquences négatives. Le contractant informe immédiatement le responsable du traitement des données si, selon lui, une instruction constitue une violation du règlement (UE) 2016/679 ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données comme prévu au cahier des charges. Le contractant aide le responsable du traitement à satisfaire aux obligations qui lui incombent en vertu des articles 31 à 39 du règlement (UE) 2016/679, à savoir: a) garantir le respect de ses obligations en matière de protection des données en ce qui concerne la sécurité du traitement et la confidentialité des communications électroniques et des annuaires d’utilisateurs; b) notifier au Contrôleur européen de la protection des données toute violation de données à caractère personnel; c) communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais, le cas échéant; d) effectuer des analyses d’impact relatives à la protection des données et des consultations préalables dans la mesure nécessaire. Le contractant tient un registre contenant toutes les opérations de traitement de données effectuées pour le compte du responsable du traitement, les transferts de données à caractère personnel, les violations de la sécurité, les suites données aux demandes soumises par des personnes dont les données à caractère personnel ont été traitées en vue d’exercer leurs droits et les demandes d'accès aux données à caractère personnel par des tiers. Le contractant informe sans délai le pouvoir adjudicateur de toute demande juridiquement contraignante de divulgation des données à caractère personnel traitées pour le compte du pouvoir adjudicateur qui lui est adressée par une autorité publique nationale, y compris une autorité d’un pays tiers. Le contractant n'est pas autorisé à accorder cet accès sans l'autorisation écrite préalable du pouvoir adjudicateur. La durée du traitement des données à caractère personnel par le contractant n'excédera pas la période indiquée à l'article II.22.2. À l'issue de cette période, le contractant doit, selon le choix du responsable du traitement, restituer dans les meilleurs délais et dans un format arrêté d'un commun accord toutes les données à caractère personnel traitées pour le compte du responsable du traitement, ainsi que les copies de ces données, ou détruire de manière effective toutes les données à caractère personnel à moins que le droit de l’Union ou le droit national n’exige de les conserver plus longtemps. Aux fins de l'article II.10, si tout ou partie du traitement des données à caractère personnel est sous-traité à un tiers, le contractant transmet par écrit à ces parties, y compris aux sous-traitants, les obligations visées aux articles I.9.2 et II.9.2. À la demande du pouvoir adjudicateur, le contractant doit fournir un document attestant de cet engagement.

Traitement des données à caractère personnel par le contractant. Le traitement de données à caractère personnel par le contractant doit satisfaire aux exigences du règlement (UE) 2016/679 et s'effectuer uniquement aux fins définies par le responsable du traitement. Le contractant aide le responsable du traitement à satisfaire à l'obligation qui lui incombe de donner suite aux demandes d'exercer leurs droits émanant de personnes dont les données à caractère personnel sont traitées dans le cadre du présent contratCC, comme prévu au règlement (UE) 2016/679. Le contractant doit informer sans délai le responsable du traitement de ces demandes. Le contractant ne peut agir que conformément aux instructions écrites et documentées et sous la supervision du responsable du traitement, notamment en ce qui concerne les finalités du traitement, les catégories de données pouvant être traitées, les destinataires des données et les moyens par lesquels la personne concernée peut exercer ses droits. Le contractant donne à son personnel l’accès aux données dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contratCC. Le contractant doit veiller à ce que le personnel autorisé à traiter les données à caractère personnel s’engage à respecter la confidentialité ou soit soumis à une obligation légale de confidentialité conformément aux dispositions de l’article II.8. Le contractant doit adopter des mesures de sécurité d’ordre technique et organisationnel appropriées, eu égard aux risques inhérents au traitement et à la nature, à la portée, au contexte et aux finalités du traitement, offrant notamment, selon les besoins: (a) la pseudonymisation et le chiffrement des données à caractère personnel; (b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; (c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; (d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement; (e) des mesures visant à protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, d’origine accidentelle ou illicite. Dans les meilleurs délais, et au plus tard dans les 48 heures après en avoir eu connaissance, le contractant notifie au responsable du traitement les violations pertinentes de données à caractère personnel. Dans ce cas, le contractant communique au moins les informations suivantes au responsable du traitement: (a) la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; (b) les conséquences probables de la violation; (c) les mesures prises ou proposées pour remédier à la violation, y compris, s’il y a lieu, les mesures destinées à en atténuer les éventuelles conséquences négatives. Le contractant informe immédiatement le responsable du traitement des données si, selon lui, une instruction constitue une violation du règlement (UE) 2016/679 ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données comme prévu au cahier des charges. Le contractant aide le responsable du traitement à satisfaire aux obligations qui lui incombent en vertu des articles 31 à 39 du règlement (UE) 2016/679, à savoir: (a) garantir le respect de ses obligations en matière de protection des données en ce qui concerne la sécurité du traitement et la confidentialité des communications électroniques et des annuaires d’utilisateurs; (b) notifier au Contrôleur européen national de la protection des données toute violation de données à caractère personnel; (c) communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais, le cas échéant; (d) effectuer des analyses d’impact relatives à la protection des données et des consultations préalables dans la mesure nécessaire. Le contractant tient un registre contenant toutes les opérations de traitement de données effectuées pour le compte du responsable du traitement, les transferts de données à caractère personnel, les violations de la sécurité, les suites données aux demandes soumises par des personnes dont les données à caractère personnel ont été traitées en vue d’exercer leurs droits et les demandes d'accès aux données à caractère personnel par des tiers. Le contractant informe sans délai le pouvoir adjudicateur de toute demande juridiquement contraignante de divulgation des données à caractère personnel traitées pour le compte du pouvoir adjudicateur qui lui est adressée par une autorité publique nationale, y compris une autorité d’un pays tiers. Le contractant n'est pas autorisé à accorder cet accès sans l'autorisation écrite préalable du pouvoir adjudicateur. La durée du traitement des données à caractère personnel par le contractant n'excédera pas la période indiquée à l'article II.22.2. À l'issue de cette période, le contractant doit, selon le choix du responsable du traitement, restituer dans les meilleurs délais et dans un format arrêté d'un commun accord toutes les données à caractère personnel traitées pour le compte du responsable du traitement, ainsi que les copies de ces données, ou détruire de manière effective toutes les données à caractère personnel à moins que le droit de l’Union ou le droit national n’exige de les conserver plus longtemps. Aux fins de l'article II.10, si tout ou partie du traitement des données à caractère personnel est sous-traité à un tiers, le contractant transmet par écrit à ces parties, y compris aux sous-traitants, les obligations visées aux articles I.9.2 et II.9.2. À la demande du pouvoir adjudicateur, le contractant doit fournir fournit un document attestant de cet engagement.

Traitement des données à caractère personnel par le contractant. Le traitement de données à caractère personnel par le contractant doit satisfaire aux exigences du règlement (UE) 2016/679 2018/1725 et s'effectuer uniquement aux fins définies par le responsable du traitement. Le contractant aide le responsable du traitement à satisfaire à l'obligation qui lui incombe de donner suite aux demandes d'exercer leurs droits émanant de personnes dont les données à caractère personnel sont traitées dans le cadre du présent contratCC, comme prévu au chapitre III (articles 14 à 25) du règlement (UE) 2016/6792018/1725. Le contractant doit informer sans délai le responsable du traitement de ces demandes. Le contractant ne peut agir que conformément aux instructions écrites et documentées et sous la supervision du responsable du traitement, notamment en ce qui concerne les finalités du traitement, les catégories de données pouvant être traitées, les destinataires des données et les moyens par lesquels la personne concernée peut exercer ses droits. Le contractant donne à son personnel l’accès aux données dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contratCC. Le contractant doit veiller à ce que le personnel autorisé à traiter les données à caractère personnel s’engage à respecter la confidentialité ou soit soumis à une obligation légale de confidentialité conformément aux dispositions de l’article II.8. Le contractant doit adopter des mesures de sécurité d’ordre technique et organisationnel appropriées, eu égard aux risques inhérents au traitement et à la nature, à la portée, au contexte et aux finalités du traitement, offrant notamment, selon les besoins: (a) la pseudonymisation et le chiffrement des données à caractère personnel; (b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; (c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; (d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement; (e) des mesures visant à protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, d’origine accidentelle ou illicite. Dans les meilleurs délais, et au plus tard dans les 48 heures après en avoir eu connaissance, le contractant notifie au responsable du traitement les violations pertinentes de données à caractère personnel. Dans ce cas, le contractant communique au moins les informations suivantes au responsable du traitement: (a) la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés; (b) les conséquences probables de la violation; (c) les mesures prises ou proposées pour remédier à la violation, y compris, s’il y a lieu, les mesures destinées à en atténuer les éventuelles conséquences négatives. Le contractant informe immédiatement le responsable du traitement des données si, selon lui, une instruction constitue une violation du règlement (UE) 2018/1725, du règlement (UE) 2016/679 ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données comme prévu au cahier des charges. Le contractant aide le responsable du traitement à satisfaire aux obligations qui lui incombent en vertu des articles 31 33 à 39 41 du règlement (UE) 2016/6792018/1725, à savoir: (a) garantir le respect de ses obligations en matière de protection des données en ce qui concerne la sécurité du traitement et la confidentialité des communications électroniques et des annuaires d’utilisateurs; (b) notifier au Contrôleur européen de la protection des données toute violation de données à caractère personnel; (c) communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais, le cas échéant; (d) effectuer des analyses d’impact relatives à la protection des données et des consultations préalables dans la mesure nécessaire. Le contractant tient un registre contenant toutes les opérations de traitement de données effectuées pour le compte du responsable du traitement, les transferts de données à caractère personnel, les violations de la sécurité, les suites données aux demandes soumises par des personnes dont les données à caractère personnel ont été traitées en vue d’exercer leurs droits et les demandes d'accès aux données à caractère personnel par des tiers. Le pouvoir adjudicateur est soumis au protocole nº 7 sur les privilèges et immunités de l’Union européenne figurant dans le traité sur le fonctionnement de l’Union européenne, notamment en ce qui concerne l'inviolabilité des archives (y compris la localisation physique des données et des services comme prévu à l'article I.9.2) et la sécurité des données, ce qui comprend les données à caractère personnel détenues pour le compte du pouvoir adjudicateur dans les locaux du contractant ou du sous-traitant. Le contractant informe sans délai le pouvoir adjudicateur de toute demande juridiquement contraignante de divulgation des données à caractère personnel traitées pour le compte du pouvoir adjudicateur qui lui est adressée par une autorité publique nationale, y compris une autorité d’un pays tiers. Le contractant n'est pas autorisé à accorder cet accès sans l'autorisation écrite préalable du pouvoir adjudicateur. La durée du traitement des données à caractère personnel par le contractant n'excédera pas la période indiquée à l'article II.22.2II.24.2. À l'issue de cette période, le contractant doit, selon le choix du responsable du traitement, restituer dans les meilleurs délais et dans un format arrêté d'un commun accord toutes les données à caractère personnel traitées pour le compte du responsable du traitement, ainsi que les copies de ces données, ou détruire de manière effective toutes les données à caractère personnel à moins que le droit de l’Union ou le droit national n’exige de les conserver plus longtemps. Aux fins de l'article II.10, si tout ou partie du traitement des données à caractère personnel est sous-traité à un tiers, le contractant transmet par écrit à ces parties, y compris aux sous-traitants, les obligations visées aux articles I.9.2 et II.9.2. À la demande du pouvoir adjudicateur, le contractant doit fournir un document attestant de cet engagement.