Clauses contractuelles relatives au règlement européen
AVENANT RGPD
Clauses contractuelles relatives au règlement européen
sur la protection des données personnelles (RGPD - 25 mai 2018)
La présente clause vient compléter le contrat en cours.
ARTICLE I : OBJET
La présente clause a pour objet de définir les conditions dans lesquelles ACD Groupe (ci-après « le sous-traitant ») s’engage à effectuer pour le compte du Client (ci-après « le responsable de traitement ») les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
ARTICLE II : DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires dans le cadre de la maintenance et des demandes techniques des clients, de l’amélioration des produits, du soutien et de l’assistance clients, de la correction des anomalies de fonctionnement.
Les données à caractère personnel traitées sont des données d’identité, de vie personnelle, de vie professionnelle, des informations économiques et des données sensibles le cas échant, en fonction du logiciel utilisé.
Les catégories de personnes concernées sont les clients et usagers finaux, en fonction du logiciel utilisé.
Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant toutes les informations nécessaires pour garantir le respect des principes et obligations énoncés par le règlement européen sur la protection des données.
ARTICLE III : DUREE DU CONTRAT
Le présent contrat reprend les termes contractuels de durée du contrat d’origine.
ARTICLE IV : OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT
Le sous-traitant s'engage à :
a. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
b. Traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public
c. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
d. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- reçoivent la sensibilisation nécessaire en matière de protection des données à caractère personnel
e. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
ARTICLE V : SOUS-TRAITANCE
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum de vingt-quatre (24) heures à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
ARTICLE VI : DROIT D’INFORMATION DES PERSONNES CONCERNEES
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
ARTICLE VII : EXERCICE DES DROITS DES PERSONNES
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable de traitement.
ARTICLE VIII : NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance et par courrier électronique avec accusé de réception du responsable de traitement.
Cette notification est accompagnée d’une note écrite afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
ARTICLE IX : AIDE DU SOUS-TRAITANT DANS LE CADRE DU RESPECT PAR LE RESPONSABLE DE TRAITEMENT DE SES OBLIGATIONS
Le sous-traitant aide, dans la mesure de ses compétences et sur demande écrite, le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Le sous-traitant aide, dans la mesure de ses compétences et sur demande écrite, le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
Cette aide se traduit par une documentation écrite, fournie par le sous-traitant. Toute intervention supplémentaire fera l’objet d’un devis.
ARTICLE X : MESURES DE SECURITE
Le sous-traitant s’engage à mettre en œuvre pour ses traitements les mesures de sécurité techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris :
- Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles.
Ces mesures concernent uniquement le fonctionnement interne d’ACD Groupe et n’exonèrent pas le client de ses obligations énoncées à l’article IV du présent contrat.
ARTICLE XI : SORT DES DONNEES
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à détruire toutes les données à caractère personnel.
Le sous-traitant se réserve le droit d’archiver les données à caractère personnel concernées par une obligation légale de conservation.
ARTICLE XII : DELEGUE A LA PROTECTION DES DONNEES
Le sous-traitant informe le responsable de traitement qu’il a désigné la société OPTIMEX DATA, joignable par téléphone au 00 00 00 00 00 et par mail à l’adresse r xxx@xxx-xxxxxx.xx, comme délégué à la protection des données.
Le responsable de traitement est tenu de communiquer au sous-traitant le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données. A défaut, il communique les coordonnées du référent interne chargé du projet.
ARTICLE XIII : REGISTRE DES CATEGORIES D’ACTIVITES DE TRAITEMENT
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
- les catégories de traitements effectués pour le compte du responsable de traitement;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49,
paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
ARTICLE XIV : DOCUMENTATION
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable de traitement, à ses frais, ou un autre auditeur qu'il a mandaté et dont l’intervention a été réglée par le responsable de traitement, et contribuer à ces audits. Le sous-traitant accepte de se soumettre à un audit de la part du responsable de traitement, dans les strictes limites des traitements effectués pour le compte du responsable de traitement, une fois par an.
ARTICLE XV : OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT
Le responsable de traitement s’engage à :
a. Fournir au sous-traitant les données visées à l’article II du présent contrat
b. Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
c. Tenir la documentation obligatoire dans le cadre des obligations énoncées par le règlement général sur la protection des données
d. Fournir aux personnes autorisées à manipuler des données personnelles la formation nécessaire
e. Garantir la licéité des traitements de données à caractère personnel qu’il transmet au sous-traitant, ainsi que le respect des principes et obligations énoncés par le règlement général sur la protection des données. Le sous-traitant ne peut être tenu responsable en cas de non-conformité des données visées au règlement général sur la protection des données
f. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part dusous-traitant
g. Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant conformément à l’article XIV.
Fait en deux exemplaires, à ………………….…………………., le ………/………/……………