ACCORD DE PROTECTION ET DE CONFIDENTIALITE DES DONNEES (« DATA PROCESSING AGREEMENT »)

ACCORD DE PROTECTION ET DE CONFIDENTIALITE DES DONNEES (« DATA PROCESSING AGREEMENT »)


Dernière mise à jour : 13 mai 2022


Le Data Processing Agreement (ci-après le « DPA ») fait partie intégrante des Conditions Générales de Vente et prévaut sur toute autre disposition échangée entre les Parties sur le même objet. En cas de conflit entre les dispositions des Conditions Générales de Vente et du présent DPA, les dispositions du DPA prévaudront.


Dans le cadre des services définis dans le contrat de prestation de services conclu entre l’AGENCE (identifié ci-après comme le « Sous-traitant ») et son client (identifié ci-après comme le « Responsable de traitement »), l’AGENCE confie la réalisation d’une partie des prestations à SOCIALSHAKER (identifié ci-après comme le

« Sous-traitant ultérieur »). Le Sous-traitant ultérieur sera donc amené à traiter des données à caractère personnel du Responsable de traitement à l’occasion de la mise à disposition de la solution SOCIALSHAKER.


Il est préalablement entendu entre les Parties que les définitions au sein du présent DPA ont le sens qui leur est donné dans le Règlement Européen 2016/679 relatif à protection des données personnelles (ci-après, le « RGPD

»).


1. CARACTÉRISTIQUES DU TRAITEMENT DE DONNÉES PERSONNELLES


1.1 Dans le cadre des prestations, le Sous-traitant ultérieur est autorisé à traiter pour le compte du Responsable de traitement les données personnelles nécessaires pour fournir le ou les prestation(s) mentionnés dans l’Annexe 1 du présent DPA.


1.2 Le Responsable de traitement et le Sous-traitant pourront donner des instructions plus précises par courrier électronique au Sous-traitant ultérieur sur le type de données personnelles à traiter ainsi que sur les catégories de personnes concernées avant la mise en œuvre du traitement.


1.3 En cas de modification des instructions documentées par le Responsable de traitement ou par le Sous-traitant, ce dernier ou, le cas échéant, son Délégué à la Protection des Données doit les adresser au Sous-traitant ultérieur, par écrit, au moins trente (30) jours avant que ces instructions soient appliquées au traitement des données personnelles. Dans l’hypothèse où la modification des instructions par le Responsable de traitement ou par le Sous-traitant aurait un impact matériel sur les prestations du Sous-traitant ultérieur, ce dernier se réserve le droit de refuser lesdites modifications si celles-ci ne sont pas obligatoires pour le respect des dispositions en matière de protection des données personnelles ou de majorer les conditions financières pour tenir compte de cet impact matériel.


2. OBLIGATIONS DES PARTIES


2.1 Obligations de l’AGENCE, en qualité de Sous-traitant du Responsable de traitement. Le Sous-traitant s’engage à :

2.1.1 fournir l’identité de son Sous-traitant ultérieur au Responsable de traitement et au besoin obtenir une autorisation de sa part ;

2.1.2 transmettre au Sous-traitant ultérieur, en tant que de besoin, les instructions précises, écrites et documentées concernant les traitements de données personnelles, que son Responsable de traitement lui a communiquées en application de la réglementation applicable en matière de données personnelles pour la partie des prestations qui concerne le Sous-traitant ultérieur ;

2.1.3 transmettre au Sous-traitant ultérieur ses propres instructions précises, écrites et documentées concernant les traitements de données personnelles ; ces instructions supplémentaires ne devant pas être en contradiction avec les instructions du Responsable de traitement ;

2.1.4 procéder à des audits conformément à l’article 7 du présent DPA, en ce compris des inspections, pour vérifier que le Sous-traitant ultérieur applique correctement les mesures prises et qu’il respecte ses engagements au titre du présent DPA ;

2.1.5 s’assurer que le Sous-traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les traitements répondent aux exigences de la réglementation en matière de données personnelles et en particulier s’assurer de la sécurité des données ;

2.1.6 fournir au Sous-traitant ultérieur les données personnelles lorsque les données sont directement collectées par lui ou par le Responsable de traitement ;

2.1.7 fournir aux personnes concernées, au moment de la collecte des données personnelles, l’information relative aux traitements de données personnelles qu’il réalise lorsque les données sont directement collectées par lui ou par le Responsable de traitement.


2.2 Obligations générales de SOCIALSHAKER, en qualité de Sous-traitant ultérieur


2.2.1 SOCIALSHAKER, en sa qualité de Sous-traitant ultérieur, s’engage à ne traiter les données personnelles que pour les besoins de l’exécution des prestations, dans la limite de la finalité convenue ainsi que pour la durée convenue pour chaque traitement conformément aux instructions écrites et documentées du Responsable de traitement et/ou du Sous-traitant et conformément au présent DPA.


2.2.2 Si le Sous-traitant ultérieur considère qu’une instruction particulière du Responsable de traitement et/ou du Sous-traitant constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données personnelles, il en informe immédiatement le Sous-traitant. Il peut alors suspendre l’exécution de ladite instruction sans engager sa responsabilité ni subir de pénalités.


2.2.3 Le Sous-traitant ultérieur s’engage à garantir, s’agissant de ses outils, applications ou services, le respect des principes de protection des données dès la conception « Privacy by Design » et de protection des données par défaut « Privacy by Default ».


2.2.4 Le Sous-traitant ultérieur s’engage à garantir la confidentialité des données personnelles traitées dans le cadre du présent DPA. A ce titre, il veille à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité des données personnelles ou soient soumises à une obligation légale appropriée de confidentialité. Il veille également à ce que les personnes physiques agissant sous son autorité ne traitent les données personnelles que suivant et dans la limite des instructions du Responsable de traitement et/ou du Sous-traitant.


2.2.5 Lorsque les données personnelles sont collectées par le Sous-traitant ultérieur, ce dernier s’engage à fournir aux personnes concernées, au moment de la collecte des données personnelles, l’information relative aux traitements de données personnelles qu’il réalise. Le contenu, la formulation et le format de l’information doivent être déterminés par le Responsable de traitement et/ou par le Sous-traitant avant la collecte des données personnelles.


2.3 Obligations en matière de sécurité des données personnelles.


Le Sous-traitant ultérieur s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités ainsi que des risques.

2.4 Obligations en matière de violation de données personnelles


2.4.1 Le Sous-traitant ultérieur informe le Sous-traitant de toute atteinte à la sécurité ayant des conséquences directes ou indirectes sur les données personnelles et/ou susceptible d’entraîner accidentellement la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles et ce, dans les trente-six

(36) heures après en avoir pris connaissance. Cette information sera adressée par courrier électronique et sera accompagnée de toute documentation utile afin de lui permettre de respecter les obligations qui lui incombent en vertu du RGPD, notamment celle d’informer son Responsable de traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les personnes concernées.

2.4.2 Dans l’hypothèse où le Sous-traitant ultérieur serait dans l’impossibilité de fournir toutes les informations en même temps, les informations pourront être communiquées de manière échelonnée.


2.4.3 Le Sous-traitant demande au Sous-traitant ultérieur de prendre toutes les mesures qu’il jugera nécessaires ou utiles pour sécuriser les données traitées pour le compte du Responsable de traitement et minimiser les éventuelles conséquences indésirables pour la personne concernée.


2.4.4 Il est entendu entre les Parties que les « atteintes à la sécurité » n’incluront pas les tentatives vaines ou les activités n’affectant pas la sécurité des données personnelles du Responsable de traitement, et notamment les tentatives infructueuses de connexion, requêtes ping, balayages de ports, attaques par déni de service et autres attaques de réseau sur des pares-feux ou des systèmes en réseau.


3. EXERCICE DES DROITS DES PERSONNES CONCERNÉES


3.1 Lorsque les personnes concernées exercent auprès du Sous-traitant ultérieur des demandes d’exercice de leurs droits, le Sous-traitant ultérieur doit adresser ces demandes, dans les plus brefs délais, au Sous-traitant afin que ce dernier puisse les traiter directement avec le Responsable de traitement dans les délais prévus par le RGPD.


3.2 Dans la mesure du possible, et pour ce qui concerne les traitements dont elle est chargée, SOCIALSHAKER, en qualité de Sous-traitant ultérieur, aide, si nécessaire en collaboration avec le Sous-traitant, le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données et droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).


3.3 L’assistance prévue à l’article 3.2 du DPA ne devra être fournie que dans la mesure où i) le Responsable de traitement et/ou le Sous-traitant ne peut accéder à l’information concernée par d’autres moyens, ii) ladite information est disponible pour le Sous-traitant ultérieur et iii) la demande nécessite moins de deux (2) heures de prestations au sein des équipes du Sous-traitant ultérieur. Dans le cas contraire, le Sous-traitant s’engage à rembourser tous les coûts et frais engagés par le Sous-traitant ultérieur dans la fourniture de cette assistance.


4. ASSISTANCE DU SOUS-TRAITANT ULTÉRIEUR


Le Sous-traitant ultérieur s’engage à aider le Responsable de traitement, sur demande du Sous-traitant, pour la réalisation le cas échéant des analyses d’impact relatives à la protection des données personnelles et, au besoin, pour la consultation préalable de l’autorité de contrôle. Cette aide ne devra être fournie que dans la mesure où i) le Responsable de traitement et/ou le Sous-traitant ne peut accéder à l’information concernée par d’autres moyens, ii) ladite information est disponible pour le Sous-traitant ultérieur et iii) la demande nécessite moins de deux (2) heures de prestations au sein des équipes du Sous-traitant ultérieur. Dans le cas contraire, le

Sous-traitant s’engage à rembourser tous les coûts et frais engagés par le Sous-traitant ultérieur dans la fourniture de cette assistance.


5. SOUS-TRAITANCE ULTÉRIEURE


5.1 Le Sous-traitant reconnaît et accepte que le Sous-traitant ultérieur fasse appel aux prestataires mentionnés dans l’Annexe 2 au présent DPA dans le cadre de l’exécution des Conditions Générales de Vente.


5.2 Le Sous-traitant ultérieur devra notifier le Sous-traitant de tout remplacement ou ajout sur la liste des prestataires. Le Sous-traitant pourra émettre des objections sous dix (10) jours après la réception de l’avis du Sous-traitant ultérieur.


5.3 Toute objection doit être adressée par écrit au Sous-traitant ultérieur accompagnée des raisons détaillées du refus. Si le Sous-traitant exige toujours un changement du/des prestataires, le Sous-traitant ultérieur fournira au Sous-traitant au moins une proposition alternative, incluant tous coûts supplémentaires à la charge du Sous-traitant pour sa mise en œuvre.


5.4 S’il engage des prestataires pour collecter, traiter et/ou utiliser des données personnelles au nom du Sous-traitant, le Sous-traitant ultérieur s’assurera du respect des conditions ci-après :

5.4.1 le contrat de sous-traitance reprendra en substance les dispositions de protection des données établies entre le Sous-traitant et le Sous-traitant ultérieur dans le présent DPA ;

5.4.2 le Sous-traitant ultérieur sera responsable de la conduite et de l’exécution de chaque prestataire, et demeurera l’unique interlocuteur du Sous-traitant eu égard au traitement des données personnelles par le prestataire.


6. TRANSFERT EN DEHORS DE L’ESPACE ECONOMIQUE EUROPÉEN


Le Sous-traitant ultérieur s’engage à ne pas effectuer de transfert de données en dehors de l’Espace Economique Européen sans l’autorisation écrite du Sous-traitant. Si le transfert est autorisé, le Sous-traitant ultérieur s’engage à mettre en œuvre les garanties appropriées, conformément à l’article 46 du RGPD. En outre, s’il est tenu de procéder à un transfert des données personnelles vers un pays tiers ou une organisation internationale, en vertu d’une disposition nationale ou internationale auquel il est soumis, il doit informer le Sous-traitant de cette obligation juridique avant le traitement, sauf à ce qu’une telle information soit interdite pour des motifs importants d’intérêt public.


7. AUDIT


7.1 Le Sous-traitant ultérieur met à la disposition du Sous-traitant la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits par le Sous-traitant ou un autre auditeur qu’il a mandaté, à l’exception de la documentation relevant du savoir-faire, du secret des affaires du Sous-traitant ultérieur ainsi que celle couverte par des accords de confidentialité. Tous les documents, informations ou données, quel qu’en soit le support, confiés par le Sous-traitant ultérieur au Sous-traitant ou aux auditeurs, seront considérés et traités comme confidentiels.


7.2 Le Sous-traitant est en droit de procéder, à ses frais, à un audit technique des services liés exclusivement aux prestations qui lui paraîtrait utile pour constater le respect des obligations précitées.


7.3 Le Sous-traitant n’exercera pas ses droits d’audit plus d’une fois par période de douze (12) mois, sauf (i) si et lorsque cela est requis par instruction d’une autorité compétente en matière de protection des données ou toute

autre instance régulatrice ayant compétence sur le Sous-traitant ; ou si (ii) le Sous-traitant estime qu’un autre audit est nécessaire en raison d’une atteinte avérée à la sécurité subie par le Sous-traitant ultérieur.


7.4 Le Sous-traitant notifiera le Sous-traitant ultérieur dans un délai raisonnable qui ne sera en aucun cas inférieur à trente (30) jours, sauf s’il existe un besoin urgent d’effectuer l’audit plus rapidement. L’audit ne pourra pas dépasser une durée de quatre (4) heures ouvrées pendant les heures habituelles de travail du Sous-traitant ultérieur de manière à ne pas générer de gêne dans l’activité du Sous-traitant ultérieur. Par ailleurs, le Sous-traitant ultérieur pourra conditionner l’audit à la signature d’un accord de confidentialité eu égard aux données d’autres clients et aux mesures techniques et organisationnelles mises en œuvre. Le Sous-traitant ne pourra pas désigner un auditeur tiers concurrent du Sous-traitant ultérieur.


7.5 Le Sous-traitant ultérieur s’engage à apporter son concours de bonne foi et de manière diligente à toute enquête ou audit qui pourrait être ainsi diligentée et à mettre en œuvre, à ses frais, les mesures correctives nécessaires en cas de non-conformité par rapport à ses obligations, et ce, dans un délai préalablement et conjointement défini par les Parties.


8. RESPONSABILITÉ


8.1 Vis-à-vis du Sous-traitant. Le Sous-traitant et le Sous-traitant ultérieur conviennent expressément que, sous respect des dispositions de l’article 9 des Conditions Générale de Vente, le Sous-traitant ultérieur sera responsable vis-à-vis du Sous-traitant pour toute violation effective du Sous-traitant ultérieur à ses obligations

décrites dans le présent DPA et prouvée par le Sous-traitant.


8.2 Vis-à-vis d’une autorité de contrôle (article 82 paragraphe 2 et 3 du RGPD). Le Sous-traitant sera seul responsable envers toute autorité de contrôle si la violation du présent DPA ou le non-respect des dispositions légales et réglementaires en matière de protection des données à caractère personnel est imputable au seul Sous-traitant. La responsabilité du Sous-traitant ultérieur ne pourra être retenue (i) que s’il a agi en dehors des instructions licites du Responsable de traitement et/ou du Sous-traitant ou contrairement à celles-ci, (ii) qu’en cas de non-respect des dispositions légales et réglementaires en matière de protection des données à caractère personnel qui incombent spécifiquement au Sous-traitant ultérieur.

8.3 Vis-à-vis d’une personne concernée (article 82 paragraphe 4 et 5 du RGPD). Lorsque le Sous-traitant et le Sous-traitant ultérieur sont responsables d’un dommage causé par le traitement, chacun est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

Lorsque l’une des Parties a réparé totalement le dommage subi, elle est en droit de réclamer auprès de l’autre Partie la part de la réparation correspondant à la part de responsabilité de l’autre Partie dans le dommage, étant entendu que la responsabilité du Sous-traitant ultérieur vis-à-vis du Sous-traitant est limitée conformément aux dispositions de l’article 8.1 du présent DPA.


9. IDENTITE ET COORDONNEES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES


Le Sous-traitant ultérieur communique au Sous-traitant le nom et les coordonnées de son Délégué à la Protection des Données. A été nommé à cet effet Xxxxxx XXXXXX, joignable par courrier électronique via xxx@xxxxxxxxxxxx.xxx.

10. FIN DU CONTRAT


10.1 A l’expiration des Conditions Générales de Xxxxx, pour quelque cause que ce soit, le Sous-traitant ultérieur devra dans un délai de trente (30) jours, à la demande du Sous-traitant, détruire les données personnelles et toute copie quel qu’en soit le support, sauf à ce qu’il soit tenu de conserver les données personnelles en application du droit applicable à la protection des données.


10.2 Le Sous-traitant ultérieur s’engage à cet effet à fournir une attestation de destruction sur simple demande du Sous-traitant.


Les présentes dispositions continueront à produire effet et à s’imposer aux Parties tant que le Sous-traitant ultérieur traitera des données personnelles pour le compte du Responsable de traitement.


ANNEXE 1 : CARACTÉRISTIQUES DU TRAITEMENT DE DONNÉES PERSONNELLES



Services fournis

Traitement

Nature traitement

du

Finalités

Catégories de Données

Personnelles

Catégories personnes

concernées

de

Durée du traitement

Création

collecte des

hébergement,

animer la

Nom, prénom, âge,

clients

et

pendant

toute

la

de

jeux

données

accès,

clientèle du

adresse email,

prospect


durée des Conditions

concours

dans

le

consultation,

Responsable

adresse postale,



Générales de Vente


cadre

de

utilisation,

de traitement

données de





jeux

destruction

en organisant

connexion





concours


des jeux






marketing


concours






ANNEXE 2 : LISTE DES PRESTATAIRES


Selon les prestations souhaitées par le Responsable de traitement, le Sous-traitant ultérieur peut faire appel aux prestataires listés ci-dessous :


Google Cloud Platform :


- Prestations : Héberger les données liées aux prestations souscrites au titre des Conditions Générales de Vente

- Données concernées : Données Personnelles mentionnées dans le présent DPA

- Durée de conservation : durée de conservation indiquée par le Responsable de traitement, sauf demande de suppression et sauf expiration/résiliation des Conditions Générales de Vente

- Lieu de traitement : Union Européenne


CloudFlare :


- Prestations : Sécuriser l’accès aux services Web de SOCIALSHAKER

- Données concernées : Données Personnelles mentionnées dans le présent DPA

- Durée de conservation : durée de conservation indiquée par le Responsable de traitement, sauf demande de suppression et sauf expiration/résiliation des Conditions Générales de Vente

- Lieu de traitement : États-Unis

- Garanties prévues pour encadrer les transferts hors Union européenne : Clauses contractuelles types rédigées par la Commission européenne


MongoDB Atlas :

- Prestations : Fournir le service d’accès aux Données Personnelles liées aux prestations souscrites au titre des Conditions Générales de Vente

- Données concernées : Données Personnelles mentionnées dans le présent DPA

- Durée de conservation : durée de conservation indiquée par le Responsable de traitement, sauf demande de suppression et sauf expiration/résiliation des Conditions Générales de Vente

- Lieu de traitement : Union Européenne


Sendgrid :


- Prestations : Provider d’emailing

- Données concernées : Données Personnelles mentionnées dans le présent DPA

- Durée de conservation : durée de conservation indiquée par le Responsable de traitement, sauf demande de suppression et sauf expiration/résiliation des Conditions Générales de Vente

- Lieu de traitement : États-Unis

- Garanties prévues pour encadrer les transferts hors Union européenne : Clauses contractuelles types rédigées par la Commission européenne

Document Metadata

Filed: October 4th, 2024