PARTIE A – PREAMBULE
PARTIE A – PREAMBULE
CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL (« DATA PROCESSING AGREEMENT » OU « DPA ») RESPONSABLE DE TRAITEMENT A SOUS-TRAITANT
1. OBJET
Document Confidentiel – Copyright SIGMA INFORMATIQUE
1.1 La présente Convention de Traitement des Données à Caractère Personnel a pour objet de définir les conditions et modalités selon lesquelles le Client, en qualité de Responsable de Traitement, confie au Fournisseur en qualité de Sous-Traitant des opérations de Traitement de Données à Caractère Personnel.
2. DEFINITIONS
2.1 Les termes commençant par une majuscule ont la signification qui leur est attribuée ci-après, qu’ils soient exprimés au singulier, au pluriel, sous forme de verbe, de nom ou autre, à l’exception des termes prenant toujours une majuscule. Pour les besoins de l’exécution de la présente Convention, les termes ci-dessous complètent et/ou remplacent ceux précisés dans le Contrat.
TERME | DEFINITION |
Autorité de contrôle | L’autorité publique indépendante instituée par un Etat Membre en charge de surveiller l’application des Règlementations Informatique et Libertés, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des Traitements et de faciliter le libre flux des Données à Caractère Personnel au sein de l’Union Européenne |
Client ou SIGMA INFORMATIQUE | SIGMA INFORMATIQUE, Société par actions simplifiée, au capital de 1 729 600 EUR dont le siège social est situé à XX XXXXXXXX-XXX-XXXXX (00000), ZI La Gesvrine - Rue Newton et immatriculée sous le numéro 872 803 390 R.C.S. NANTES. |
Conditions Particulières de Traitement | Le document par lequel le Client renseigne les détails des Traitements relatifs aux Données à Caractère Personnel et dont le modèle est reproduit en Annexe 1. |
Contrat | La convention conclue entre le Client et le Sous-Traitant, référencée dans les Conditions Particulières de Traitement, par laquelle le Client confie au Sous-Traitant la réalisation de Prestations incluant des opérations de Traitement de Données à Caractère Personnel. |
Convention de Traitement des Données à Caractère Personnel ou Convention ou DPA | Le présent document et ceux auxquels il renvoie. |
Données à Caractère Personnel | Toute information se rapportant à une personne physique identifiée ou identifiable. |
Etat Membre | Etat membre de l’Union Européenne. |
Fournisseur ou Sous-Traitant | La personne physique ou morale identifiée au Contrat. |
Personne concernée | Une personne physique identifiée ou identifiable, étant entendu qu’est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. |
Prestations | Les prestations de services confiées par le Client au Sous-Traitant au titre du Contrat. |
Règlementations Informatique et Libertés | Les règlementations en vigueur et applicables à la protection des Données à Caractère Personnel compte tenu des Traitements confiés par le Client au Sous-Traitant, y compris le Règlement Général sur la Protection des Données UE 2016/679. |
Responsable de Traitement | Le Client qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement. |
Sous-Traitant Ultérieur | La personne physique ou morale, l’autorité publique, le service ou un autre organisme à qui le Sous-Traitant confie des opérations de Traitements des Données à Caractère Personnel et ce, pour le compte du Responsable de Traitement. |
Traitement | Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à Caractère Personnel et précisé dans les Conditions Particulière de Traitement. |
Violation de Données | Une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. |
Référence : Convention de Traitement des Données à Caractère Personnel (DPA) Page 1
Paraphe Client Paraphe Sous-Traitant
3. ENSEMBLE CONTRACTUEL
3.1 La présente Convention ainsi que les documents auxquels elle renvoie constituent une annexe indissociable au Contrat conclu entre le Client et le Sous-Traitant.
PARTIE B – DESCRIPTION DES TRAITEMENTS
4. OBJET DES TRAITEMENTS
4.1 Les Traitements des Données à Caractère Personnel du Client confiés au Sous-Traitant sont réalisés dans le cadre des Prestations précisées au Contrat.
5. NATURE DES TRAITEMENTS
5.1 La nature des Traitements pouvant être réalisés sur les Données à Caractère Personnel par le Sous-Traitant est celle précisée dans les Conditions Particulière de Traitement.
6. FINALITES DES TRAITEMENTS
6.1 Les finalités des Traitements sont celles précisées dans les Conditions Particulière de Traitement. Le Sous-traitant s’engage à ne pas traiter les Données à Caractère Personnel à d’autres fins que celles de l’exécution des Prestations précisées au Contrat.
7. TYPES DE DONNEES A CARACTERE PERSONNEL CONCERNEES PAR LES TRAITEMENTS
7.1 Les types de Données à Caractère Personnel pouvant faire l’objet de Traitements par le Sous-Traitant sont celles précisées dans les Conditions Particulière de Traitement.
8. CATEGORIES DE PERSONNES CONCERNEES PAR LES TRAITEMENTS
8.1 Les catégories de Personnes Concernées pouvant faire l’objet de Traitements par le Sous-Traitant sont celles précisées dans les Conditions Particulières de Traitement.
9. MODIFICATION DES TRAITEMENTS
9.1 Le Client s’engage à communiquer au Sous-Traitant tout ajout ou modification des finalités des Traitements, leur nature, les types de Données à caractère Personnel et de catégories des Personnes Concernées afin que le Sous-Traitant puisse mettre en œuvre les mesures de sécurité techniques et organisationnelles complémentaires qui s’imposeraient compte tenu des Règlementations Informatique et Libertés.
PARTIE C – DUREE DES TRAITEMENTS ET SORT DES DONNEES A LA FIN DES TRAITEMENTS
10. DATE DE DEBUT ET DE FIN DES TRAITEMENTS
10.1 Les traitements débutent à l’entrée en vigueur du Contrat et prennent fin à la cessation du Contrat. En conséquence, en cas de cessation du Contrat pour quelque cause que ce soit, la présente Convention prendra fin de plein droit à la date effective de la cessation du Contrat.
11. SUPPRESSION OU REVERSIBILITE
11.1 A la fin des Traitements, le Sous-Traitant s’engage dans les conditions convenues d’un commun accord et selon le choix effectué par le Client à : supprimer toutes les Données à Caractère Personnel ou à les retourner au Client au terme des Prestations. Le Sous-Traitant s’engage en outre à détruire les copies existantes, à moins que la règlementation en vigueur qui lui est applicable n’exige la conservation des Données à Caractère Personnel.
PARTIE D – INSTRUCTIONS DE TRAITEMENTS
12. TRAITEMENT SUR INSTRUCTION DOCUMENTEE
12.1 Le Sous-Traitant informe immédiatement le Client si, selon lui et compte tenu des informations qui lui sont communiquées par le Client, une instruction constitue une violation des Règlementations Informatique et Libertés.
12.2 Le Sous-Traitant s‘engage à ne Traiter les Données à Caractère Personnel que sur instruction documentée, y compris en ce qui concerne les transferts de Données à Caractère Personnel vers un pays tiers à l’Union Européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union Européenne ou du droit de l’Etat membre auquel le Sous-Traitant est soumis. Dans ce dernier cas, le Sous-Traitant informe le Client de cette obligation juridique avant le Traitement, sauf si le droit auquel il est soumis interdit une telle information pour des motifs importants d’intérêt public.
13. NATURE DES INSTRUCTIONS
13.1 La notion d’instruction documentée est considérée comme acquise lorsque le Sous-Traitant agit dans le cadre de l’exécution du Contrat ou au travers de tout ordre de service écrit complémentaire qui lui est communiqué par le Client en lien avec l’exécution du Contrat. Il appartient au Sous-Traitant de s’assurer que l’ordre de service écrit est suffisamment précis, détaillé et explicite.
PARTIE E – SECURITE ET CONFIDENTIALITE DES DONNEES A CARACTERE PERSONNEL
14. MISE EN PLACE DE MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES
14.1 Le Sous-Traitant s‘engage à mettre en place pour les Traitements qu’il réalise des mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté des Données à Caractère Personnel, compte tenu de la nature, de la portée, du contexte, des finalités des Traitements qui sont portées à sa connaissance, du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel.
14.2 Les mesures de sécurité techniques et organisationnelles mises en œuvre par le Sous-Traitant sont celles précisées dans le document intitulé « Mesures de sécurité techniques et organisationnelles » annexé sur document séparé.
15. RESPECT DE LA CONFIDENTIALITE
15.1 Le Sous-traitant s’engage à ne pas divulguer, sous quelque forme que ce soit, tout ou partie des Données à Caractère Personnel Traitées et ce, en dehors des instructions documentées du Client, d’une disposition légale ou règlementaire l’y autorisant, ou pour assurer la sauvegarde de ses droits éventuels.
15.2 Le Sous-Traitant s‘engage à prendre les mesures nécessaires afin que les préposés du Sous-Traitant autorisés à Traiter les Données à Caractère Personnel respectent la confidentialité dans les conditions prévues au présent article et au Contrat ou soient soumis à une obligation légale appropriée de confidentialité.
16. NOTIFICATION DES VIOLATIONS
16.1 Le Sous-Traitant s’engage à notifier au Client toute Violation de Données à Caractère Personnel en lien avec les Traitements qui lui sont confiés et ce, dans les meilleurs délais après en avoir pris connaissance. La notification est accompagnée de toute information utile afin de permettre au Client, si nécessaire, de notifier la Violation des Données à l’Autorité de Contrôle et aux Personnes Concernées le cas échéant.
PARTIE F – EXERCICE DU DROIT DES PERSONNES CONCERNEES
17. COLLECTE, INFORMATION ET RECUEIL DU CONSENTEMENT
17.1 Le Client est seul responsable de recueillir le consentement de la Personne Concernée lorsque celui-ci est requis et de lui fournir les informations et communications, y compris les modalités d’exercice de leurs droits, prévues par les Règlementations Informatique et Libertés lors de la collecte directe ou indirecte des Données à Caractère Personnel. Lorsque les prestations de collecte des Données à Caractère Personnel sont confiées au Sous-Traitant, il appartient à ce dernier de remplir les obligations à charge du Client.
18. EXERCICE DU DROIT DES PERSONNES CONCERNEES
18.1 Le Client est seul responsable de s’acquitter de ses obligations de donner suite aux demandes d’exercice des droits des Personnes Concernées, à savoir le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du Traitement, le droit à la portabilité des Données à Caractère Personnel et le droit d’opposition ainsi que de notifier les Personnes Concernées de la rectification, de l’effacement des Données à Caractère Personnel ou de la limitation du Traitement.
18.2 Dans l’hypothèse où la Personne concernée exercerait ses droits directement auprès du Sous-Traitant, le Sous-Traitant s’engage à en informer le Client dans les meilleurs délais afin que ce dernier puisse répondre aux demandes des Personnes Concernées en ce qui concerne l’exercice de leurs droits. Lorsque les prestations de réponse aux demandes d’exercice des droits par les Personnes Concernées sont confiées au Sous-Traitant, il appartient à ce dernier de remplir les obligations à charge du Client
PARTIE G – COOPERATION AVEC LE CLIENT
19. ASSISTANCE LORS DU CONTROLE DE L’AUTORITE DE CONTROLE
19.1 En cas de contrôle du Client par une Autorité de Contrôle, le Sous-Traitant s’engage à aider le Client pour lui permettre de communiquer à l’autorité de Contrôle toute information qui serait requise dans le cadre du contrôle.
19.2 Dans le cas où le contrôle mené par l’Autorité de Contrôle ne concernerait que les Traitements mis en œuvre par le Sous- Traitant pour ses besoins internes, celui-ci fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données à Caractère Personnel du Client. Dans le cas où le contrôle mené chez le Sous-Traitant concernerait les Traitements mis en œuvre pour le compte du Client, le Sous-Traitant s’engage à en informer le Client et à ne prendre aucun engagement au nom et pour le compte du Client sans son accord.
20. ASSISTANCE LORS DES NOTIFICATIONS DE VIOLATIONS DES DONNEES
20.1 En cas de Violation des Données Traitées, le Sous-Traitant s’engage à aider le Client en lui fournissant toute information pour les besoins de notification, d’enquête, de réduction ou de remédiation des Violations des Données à Caractère Personnel.
21. ASSISTANCE LORS DES ANALYSES D’IMPACT ET DES CONSULTATIONS PREALABLES
21.1 En cas de réalisation d’analyse d’impacts ou de consultations préalables de l’Autorité de Contrôle par le Client, le Sous-Traitant s’engage à aider le Client en lui fournissant toute information pour les besoins des analyses d’impacts ou des consultations préalables de l’Autorité de Contrôle.
22. ASSISTANCE LORS DE L’EXERCICE DES DROITS DES PERSONNES CONCERNEES
22.1 En cas de demande d’exercice des droits des Personnes Concernées, le Sous-Traitant s’engage à aider le Client à prendre des mesures de sécurité techniques et organisationnelles appropriées dans la mesure du possible pour que le Client s’acquitte de ses obligations vis-à-vis des personnes concernées.
23. ASSISTANCE A LA MISE EN OEUVRE DES MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES
23.1 Compte tenu de la nature, de la portée, du contexte, des finalités des Traitements poursuivis par le Client, du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel, le Sous-Traitant aide le Client à mettre en œuvre les mesures de sécurité techniques et organisationnelles complémentaires qui pourraient alors être requises.
PARTIE H – AUDIT
24. OBJET ET CONDITIONS DE REALISATION DE L’AUDIT
24.1 Sous réserve d’un préavis de quinze (15) jours, le Client peut procéder à un audit portant sur le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance au titre des Règlementations Informatique et Libertés. L’audit est réalisé pendant les heures habituelles d’ouverture du Sous-Traitant.
25. MODALITES DE REALISATION DE L’AUDIT
25.1 Lors de la réalisation de l’audit, le Sous-Traitant s’engage à mettre à disposition du Client les informations nécessaires et utiles pour démontrer le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance en lien avec les Traitements réalisés au titre des Règlementations Informatique et Libertés et de la présente Convention.
25.2 L’audit donne lieu à un rapport d’audit du Client ou du tiers qu’il a mandaté à cet effet et dont une (1) copie est remise au Sous-Traitant pour que ce dernier puisse émettre ses observations et mettre en œuvre le plan de correction qui s’avérerait nécessaire.
PARTIE I – SOUS-TRAITANCE EN CASCADE
26. AUTORISATION GENERALE
26.1 Le Sous-Traitant ne peut sous-traiter tout ou partie des Traitements à des Sous-Traitant Ultérieurs sans l’accord préalable et écrit du Client. En cas d’accord du Client, le Sous-Traitant s’engage à répercuter aux Sous-Traitants Ultérieurs et ce, au travers d’un contrat, les mêmes obligations ou des obligations similaires à celles prévues dans la présente Convention. Le Sous-Traitant veille à s’assurer qu’ils présentent des garanties quant à la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ou à toute autre garantie satisfaisante en cas de transfert hors de l’Union Européenne, de manière à ce que les Traitements qui lui sont confiés répondent aux exigences des Règlementations Informatiques et Libertés.
26.2 Si les Sous-Traitants Ultérieurs ne remplissent pas leurs obligations en matière de protection des Données à Caractère Personnel, le Sous-Traitant demeure pleinement responsable devant le Client de l’exécution par les Sous-Traitants Ultérieurs de ses obligations conformément aux termes du Contrat.
27. AJOUT OU REMPLACEMENT DE SOUS-TRAITANTS ULTERIEURS
27.1 Le Sous-Traitant s’engage à informer le Client par tout moyen de tout changement par ajout ou remplacement de Sous-Traitant Ultérieur. Le Client dispose d’un délai de trente (30) jours à compter de la communication de l’information pour émettre des objections à l’encontre de ces changements. Si le Client émet des objections, le Sous-Traitant s’engage à trouver une solution alternative dans un délai de trente (30) jours.
27.2 Le Sous-Traitant tient à la disposition du Client, une liste des Sous-Traitants Ultérieurs impliqués dans le Traitement de Données à Caractère Personnel.
PARTIE J – FORMALITES
28. FORMALITES PREALABLES
28.1 Le cas échéant, le Sous-Traitant s’engage à effectuer toutes les déclarations nécessaires et à obtenir toutes les autorisations
nécessaires auprès des autorités compétentes pour la réalisation des Traitements qui lui sont confiés par le Client.
29. REGISTRE DES ACTIVITES DE TRAITEMENT
29.1 Le Sous-Traitant s’il est tenu de tenir un registre de ses activités de traitement, s’engage à le tenir à jour et à le communiquer au Client à première demande de ce dernier.
PARTIE K – ACCORD ET SIGNATURE
Les Parties souscrivent sans réserve à la présente Convention par la signature de leurs représentants déclarant être dûment autorisés et avoir la pleine capacité aux fins des présentes.
Pour le Client | Pour le Sous-Traitant | ||
Raison sociale : | SIGMA INFORMATIQUE | Raison sociale : | |
Lieu : | Lieu : | ||
Date : | Date : | ||
Identité : | Identité : | ||
Fonction : | Fonction : | ||
Signature : | Signature : | ||
ANNEXE 1 - MODELE DE CONDITIONS PARTICULIERES DE TRAITEMENT A LA CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL RESPONSABLE DE TRAITEMENT A SOUS-TRAITANT
Référence du Contrat :
PARTIE A – NATURE DES TRAITEMENTS POUVANT ETRE CONFIES AU SOUS-TRAITANT
TYPES DE TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL | |||
☐ | Collecte | ☐ | Consultation |
☐ | Enregistrement | ☐ | Utilisation |
☐ | Organisation | ☐ | Communication par transmission |
☐ | Structuration | ☐ | Diffusion ou toute autre forme de mise à disposition |
☐ | Conservation | ☐ | Rapprochement ou interconnexion |
☐ | Adaptation | ☐ | Limitation |
☐ | Modification | ☐ | Effacement |
☐ | Extraction | ☐ | Destruction |
PARTIE B – FINALITES DES TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL
Les Finalités des Traitements poursuivis par le Client sont :
- [Finalité 1],
- [Finalité 2],
- [Finalité 3],
- [Finalité 4],
- [Finalité 5],
- [Finalité 6],
- [Finalité 7].
PARTIE C – TYPES DE DONNEES A CARACTERE PERSONNEL
CATEGORIES DE DONNEES A CARACTERE PERSONNEL | |||
DONNEES NON SENSIBLES | |||
☐ | Données d'identification | ☐ | Données d'ordre économiques et financières |
☐ | Données de vie professionnelle | ☐ | Données de connexion |
☐ | Données de vie personnelle | ☐ | Données de localisation |
DONNEES SENSIBLES | |||
☐ | Données révélant l'origine raciale ou ethnique | ☐ | Données concernant la santé |
☐ | Données révélant les opinions politiques | ☐ | Données concernant la vie sexuelle ou l'orientation sexuelle |
☐ | Données révélant l'appartenance syndicale | ☐ | Données concernant des condamnations pénales ou des infractions |
☐ | Données génétiques | ☐ | Numéro d'identification national unique |
☐ | Données biométriques aux fins d'identification | - | ---------------------------------------------------------------------------------- |
PARTIE D – CATEGORIES DE PERSONNES CONCERNEES PAR LES TRAITEMENTS
Les catégories de Personnes Concernées par les Traitements sont :
- [Catégorie 1],
- [Catégorie 2],
- [Catégorie 3],
- [Catégorie 4],
- [Catégorie 5],
- [Catégorie 6],
- [Catégorie 7].
PARTIE E – ACCORD ET SIGNATURE
Les Parties souscrivent sans réserve aux présentes Conditions Particulières par la signature de leurs représentants déclarant être dûment autorisés et avoir la pleine capacité aux fins des présentes.
Pour le Client | Pour le Sous-Traitant | ||
Raison sociale : | SIGMA INFORMATIQUE | Raison Sociale : | |
Lieu : | Lieu : | ||
Date : | Date : | ||
Identité : | Identité : | ||
Fonction : | Fonction : | ||
Signature : | Signature : | ||