ACCORD DE TRAITEMENT SUR LES DONNEES PERSONNELLES

ACCORD DE TRAITEMENT SUR LES DONNEES PERSONNELLES

Version en vigueur le 25 mai 2018

Le présent accord a pour objet de définir les conditions dans lesquelles Sarbacane Software (ci- après « Sarbacane Software » ou le « Sous-traitant »), s’engage à effectuer pour le compte de l’utilisateur (ci-après « Utilisateur » ou le « Responsable de traitement »), les opérations de traitement de données à caractère personnel définies ci-dessous. Sarbacane Software et l’Utilisateur sont dénommées ensemble les « Parties » et individuellement la « Partie ». Cet accord résilie et remplace toutes conditions, contrats antérieurs entre les Parties ayant le même objet. Dans le cadre du présent accord, l’Utilisateur agit en qualité de Responsable de traitement et Sarbacane Software agit en qualité de Sous-traitant au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, le « Règlement européen sur la protection des données »).

Sarbacane Software est qualifiée de responsable de traitement lorsqu’elle détermine les finalités et les moyens de ses traitements de données à caractère personnel. C’est notamment le cas, lorsqu’elle traite les coordonnées d’une personne physique (interlocuteur de l’entreprise utilisatrice) dans le cadre d’une demande d’assistance. Les mesures mises en œuvre par Sarbacane Software dans ce cadre sont détaillées dans une charte sur le site internet de Sarbacane Software.

Les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données

à caractère personnel et, en particulier, le Règlement européen sur la protection des données.

1. Définitions

Donnée(s) personnelle(s) ou Données à caractère personnel : désigne toute information relative à une personne physique identifiée ou identifiable au sens du Règlement européen sur la protection des données, que le Sous-traitant traite pour le compte du Responsable de traitement.

Violation de Données personnelles : signifie une violation de la sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation ou l’accès non autorisé, aux Données personnelles transmises, stockées ou autrement traitées.

Traitement : désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles, englobant la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou combinaison, restriction ou effacement de Données personnelles.

2. Détails du Traitement

a. Types de Données personnelles : Informations de contacts, dont adresses électroniques, numéros de téléphones, nom, prénom, fonction, sexe, informations démographiques, préférences, données de localisation, données de connexion et tout autre type de données déterminées et contrôlées par l’Utilisateur à sa seule discrétion, dans le cadre de son usage et de son paramétrage des services de Sarbacane Software.

b. Catégories de personnes concernées : Toutes catégories de personnes concernées (personnes physiques) déterminées et contrôlées par l’Utilisateur à sa seule discrétion, à savoir notamment :

- Toute personne (clients, prospects, salariés, sous-traitants, fournisseur, etc.) dont l’adresse électronique et/ou numéro de téléphone est/sont inclue(s) dans la liste de distribution de l’Utilisateur ; ou destinataire de toute communication emailing / sms ; ou dont les informations sont stockées ou collectées via les services.

c. Objet et nature du Traitement : L'objet du Traitement des Données personnelles par le Sous-traitant est la fourniture des services au Responsable de traitement qui implique le Traitement des Données personnelles et l’exécution des obligations du Sous-traitant dans le cadre de l’accord et de toutes conditions convenues entre les Parties. Le Sous-Traitant met à disposition des logiciels permettant la création, l’envoi, l’automatisation et l’analyse de campagnes e-mails et/ou sms, ainsi que des prestations annexes. Les services peuvent notamment comprendre : le traitement de bases de destinataires pour l’envoi de campagnes électroniques (e-mail et/ou SMS), l’analyse du comportement des destinataires, la définition et mise en place d’une stratégie de communication marketing, etc. Les Données personnelles seront soumises aux activités de Traitement telles que spécifiées dans les conditions générales, les informations convenues lors de toute commande et le cas échéant, dans toutes conditions particulières.

d. Durée du Traitement : Les Données personnelles seront traitées pour la durée des relations contractuelles entre les Parties.

3. Obligations des Parties

3.1. Obligations de l’Utilisateur

L’Utilisateur est responsable des Traitements réalisés au titre des services souscrits.

Il est, de ce fait, seul responsable des Données personnelles qu’il utilise, fournit et stocke par le biais des services de Sarbacane Software. A ce titre, l’Utilisateur est seul responsable des obligations qui lui incombent en sa qualité de Responsable de traitement au regard de la réglementation en vigueur applicable au Traitement de données à caractère personnel et, en particulier, le Règlement européen sur la protection des données.

L’Utilisateur s’engage à :

1. fournir à Sarbacane Software les Données personnelles nécessaires à l’exécution des services souscrits. Il doit veiller à ne pas fournir de données dites sensibles au sens de la réglementation sur la protection des données à caractère personnel ;

2. documenter toute instruction concernant le Traitement des Données personnelles par Sarbacane Software. Il est entendu que les modalités d’utilisation des services et le présent accord vaudront instruction adressée à Sarbacane Software quant au Traitement à mettre en œuvre. Les instructions supplémentaires ou dérogatoires nécessitent un accord écrit entre les Parties. Elles doivent initialement être spécifiées par écrit lors de la commande des services et peuvent, à tout moment, avec l’accord écrit préalable de Sarbacane Software, être modifiées, complétées ou remplacées à la demande de l’Utilisateur, dans des instructions écrites séparées ;

3. veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le Règlement européen sur la protection des données de la part de Sarbacane Software ;

4. superviser le Traitement, y compris réaliser les audits, inspections auprès de Sarbacane Software. Dans le cadre de la réalisation des audits et des inspections, l’Utilisateur s’engage à avertir Sarbacane Software de sa décision de procéder à un audit ou à une inspection en respectant un préavis minimum de 15 jours ;

Au regard de ces audits/inspections, il s’engage à (i) faire appel à un personnel ou prestataire qualifié ; (ii) supporter seul l’intégralité des frais liés aux audits/inspections ; (iii) ne procéder aux audits/inspections qu’en heures et jours ouvrés ; (iv) ce que ces audits/inspections aient pour finalités : une analyse du respect du présent accord et de la réglementation relative à la protection des données personnelles.

5.A prendre les mesures de sécurité nécessaires à la protection des Données personnelles qui lui incombent en sa qualité de Responsable de traitement et notamment à veiller à la confidentialité de ses identifiants et mots de passe de ses accès aux services, à utiliser des mots de passe respectant les règles de bonnes pratiques; à assurer la sécurité des postes de travail et des équipements à partir desquels son personnel et toute personne autorisée par lui, accèdent aux services notamment en authentifiant les utilisateurs nominativement, en révisant les habilitations périodiqueme nt, en s’assurant de l’application des correctifs et mises à jour des systèmes, en disposant d’anti -virus et de pare-feu ou similaires tenus à jour, en privilégiant les réseaux Wifi utilisant le chiffrement WPA2, WPA2_PSK ou similaire, en favorisant les sauvegardes de données de ses utilisateurs dans des emplacements adéquats; en protégeant ses locaux notamment en disposant de systèmes anti- intrusion et de contrôles d’accès périodiquement testés, différenciant les zones de locaux selon les risques (exemple : salle informatique), accordant les accès aux personnels selon les besoins opérationnels selon le principe du moindre privilège ; à recourir à des personnes formées et sensibilisées à la protection des données personnelles; etc.

6. A recueillir, dans le respect du Règlement européen à la protection des données et autres règles en vigueur sur la protection des données, lorsqu’il est nécessaire, tout consentement des personnes concernées par les opérations de Traitement envisagé, et dans tous les cas, à s’assurer que le Traitement soit et demeure licite.

Il appartient également à l’Utilisateur de fournir l’information aux personnes concernées par les

opérations de Traitement au moment de la collecte des Données personnelles.

7. A donner suite aux demandes d’exercice des droits des personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition, de limitation du traitement, de portabilité des données, de ne pas faire l’objet d’une décision individuelle automatisée).

Et plus généralement, à respecter ses obligations mises à sa charge par la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement européen à la protection des données.

3.2 Obligations du Sous-traitant

Sarbacane Software ne traite les Données personnelles que sur instruction documentée de l’Utilisateur conformément à l’article 3.1.2, à moins d'y être obligée par le droit de l'Union ou le droit français. Si Sarbacane Software considère qu’une instruction constitue une violation du Règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union

ou du droit des Etats membres relative à la protection des données, il en informe immédiatement l’Utilisateur.

Sarbacane Software s’engage :

- à traiter les Données personnelles pour les seules finalités qui font l’objet de la sous-traitance.

- à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de

protection des données dès la conception et de protection des données par défaut .

- à ne pas transférer les Données personnelles vers tout pays situé hors UE/EEE ou vers tout pays tiers non reconnu par la Commission européenne comme assurant un niveau de protection suffisant des données à caractère personnel, sans accord préalable de l’Utilisateur.

En général, le Responsable de traitement peut, à tout moment, via les services, supprimer et exporter toute Donnée personnelle. Dans tous les cas et sauf instruction contraire du Responsable de Traitement, les Données personnelles ne sont pas conservées par le Sous-traitant au-delà de six mois maximum à compter de la résiliation ou expiration du service relatif au Traitement des Données personnelles ou d’un cas de résiliation anticipée, sauf celles devant être conservées pour répondre à une obligation légale ou réglementaire.

Sécurité / Confidentialité / Violation des données

Sarbacane Software met en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du Règlement sur la protection des données. Sarbacane Software s’engage notamment à prendre toutes mesures utiles afin d’assurer la conservation et l’intégrité des Données personnelles et afin d’éviter toute utilisation détournée ou frauduleuse des Données personnelles, et ce dans la limite de son périmètre d’intervention et des moyens sous son contrôle au titre et pendant la durée des relations contractuelles. L’Utilisateur peut, à tout moment, prendre connaissance de ces mesures sur le site internet.

Sarbacane Software s’engage à conserver la confidentialité des Données personnelles, à ne pas les divulguer, sous quelle que forme que ce soit, sauf (i) pour les besoins de l’exécution des services, des finalités et du présent accord; (ii) en application d’une disposition légale ou réglementaire; (iii) pour répondre aux demandes des communications des autorités judiciaires et/ou administratives;

(iv) avec l’accord préalable ou demande de l’Utilisateur. A ce titre, Sarbacane Software veille à ce que les personnes autorisées à traiter les Données personnelles (personnel, partenaires, Sous- Traitants Ultérieurs, etc.) s’engagent à respecter la confidentialité des Données personnelles ou soient soumises à une obligation légale appropriée de confidentialité.

Sarbacane Software notifie à l’Utilisateur toute Violation de Données personnelles dans un délai maximum de 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’Utilisateur de remplir ses obligations.

Assistance

Dans la mesure du possible, compte tenu de la nature du Traitement et des informations à sa disposition, Sarbacane Software s’engage vis-à-vis de l’Utilisateur, et sur demande de ce dernier :

- à l’aider à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées par le Traitement, dans la mesure où l’Utilisateur ne dispose pas des informations ou des outils via les services. L’Utilisateur reste seul responsable de la réponse apportée aux personnes concernées. En cas de demandes d’exercice des droits ou de plaintes par

des personnes concernées parvenant directement auprès de Sarbacane Software, cette dernière

s’engage à faire parvenir lesdites demandes, dans les plus brefs délais à l’Utilisateur ;

- à l’aider pour la réalisation d’analyses d’impact relatives à la protection des Données personnelles, lorsque le Traitement de ces dernières est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, et pour la réalisation de la consultation préalable de l’autorité de contrôle ;

- à l’aider pour la réalisation de la notification auprès de l’autorité de contrôle, et si nécessaire auprès de la personne concernée, en cas de Violation de Données Personnelles conformément à la section

« Sécurité/Confidentialité/Violation des données » ;

- à mettre à la disposition de l’Utilisateur toutes les informations nécessaires pour démontrer le respect des obligations prévues dans le cadre du Règlement européen sur la protection des données et pour permettre la réalisation d'audits, y compris des inspections. La réalisation des audits se fera conformément aux dispositions de l’article 3.1.4.

Sous-traitance

Sarbacane Software peut faire appel à un autre sous-traitant pour mener des activités de Traitement spécifiques (ci-après, « Sous-Traitant(s) Ultérieur(s) »), ce que le Responsable de traitement accepte. La liste des Sous-Traitants Ultérieurs actuels est disponible sur le site internet. Le Responsable de traitement accepte et approuve que Sarbacane Software fasse appel à chaque Sous- Traitant Ultérieur figurant sur cette liste.

Sarbacane Software s’engage à informer préalablement et par écrit, y compris électronique, l’Utilisateur de tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous- Traitants Ultérieurs. L’Utilisateur dispose d’un délai maximum de 15 jours calendaires à compter de la date d’envoi de cette information pour résilier le ou les services concernés en cas d’opposition. A défaut de résilier dans le délai escompté, l’Utilisateur sera réputé avoir accepté tout changement concernant l’ajout ou le remplacement d’autres Sous-Traitants Ultérieurs. En cas de résiliation, l’Utilisateur recevra un remboursement des frais payés d'avance mais non utilisés pour la période restante à courir suivant la date d'entrée en vigueur de la résiliation, cette dernière intervenant à réception de la notification par Sarbacane Software. Toute notification de résiliation dans ce cadre doit intervenir à l’adresse suivante : dpo[at]xxxxxxxxx.xxx

Sarbacane Software s’engage à conclure un contrat avec chacun de ses Sous-Traitants Ultérieurs reprenant substantiellement les mêmes obligations que celles auxquelles elle est soumise conformément à l’accord. Si le Sous-Traitant Ultérieur traite les services en dehors de l'UE / EEE, cette information est précisée dans la liste ci-dessus évoquée. Sarbacane Software doit s'assurer que le transfert est effectué conformément aux clauses contractuelles standard approuvées par la Commission européenne pour le transfert des Données personnelles, que l’Utilisateur autorise Sarbacane Software à conclure en son nom et pour son compte ou que d'autres mécanismes légaux appropriés de transfert de données soient appliqués.

Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, Sarbacane Software demeure pleinement responsable devant l’Utilisateur.

Registre des catégories d’activités de traitement

Sarbacane Software déclare tenir par écrit un registre de toutes les catégories d’activités de

traitement effectuées pour le compte de l’Utilisateur.

4. Autorités de contrôle

Les Parties s’engagent à coopérer avec les autorités de protection des données compétentes,

notamment en cas de demande d’information qui pourrait leur être adressée ou en cas de contrôle.

5. Délégué à la protection des données

Sarbacane Software déclare qu’elle a procédé à la nomination d’un délégué à la protection des données pouvant être joignable à l’adresse électronique suivante : dpo[at]xxxxxxxxx.xxx ou par courrier au siège social de Sarbacane Software.

Dès lors que l’Utilisateur dispose d’un délégué à la protection des données, il s’engage à transmettre

ces coordonnées auprès du délégué à la protection des données de Sarbacane Software.

6. Application des conditions générales

Le présent accord complète les conditions générales applicables aux Services souscrits par

l’Utilisateur.

En cas de contradictions, le présent accord prime sur lesdites conditions générales.

7. Modifications

Le présent accord peut être modifié à tout moment. Toutes les modifications sont publiées sur le site internet de Sarbacane Software et sont portées à la connaissance de l’Utilisateur par ce biais. Il incombe à celui-ci de vérifier régulièrement sur le Site.

En cas de modifications, l'Utilisateur peut résilier sans frais les Services par lettre recommandée avec accusé de réception auprès de Sarbacane Software dans un délai de trente jours à compter de l'entrée en vigueur de ces modifications. Au-delà, l'Utilisateur sera réputé avoir accepté les modifications. Toutefois, toute modification intervenant du fait de la loi ou de la réglementation ne pourra être considérée comme ouvrant droit à résiliation.

***