Conditions générales Addendum GDPR
µ
Conditions générales Addendum GDPR
Référence : 280818-v1.2
L’Addendum GDPR complète les Conditions Générales de COMPUTERLAND et fait partie intégrante de tout Contrat de Service ou Contrat d’Implémentation de solution conclu avec un Client de COMPUTERLAND.
L’Addendum décrit les engagements de COMPUTERLAND dans le cadre du Règlement général sur la protection des données ou RGPD .
L’Addendum intègre également un engagement de confidentialité plus général conforme à l’attente de tous les clients de COMPUTERLAND.
xxx.xxxxxxxxxxxx.xx / xxxx@xxxxxxxxxxxx.xx
LIÈGE
Xxxxxx xx x’xxxxxxxxxxxx 0
X-0000 Xxxxxx
x00 (0)0 000 00 00
HAINAUT
Xxxxxx Xxxxxxx Xxxxxxxx 00 X-0000 Xxxxxxxxx
x00 (0)00 00 00 00
XXXX-XXXXXXXXXX
Xxxxxxxxxxx 0x X-0000 Xxxxxxxx
x00 (0) 00 00 00 00
ESCH-SUR-ALZETTE
Xxx xx Xxxxx 00X X-0000 Xxxxxxxx
x000 (0)00 00 00 000
Table des matières
Opérations de traitement concernées 4
Droits et obligations du Responsable du traitement 4
Droits et obligations du Sous-traitant 5
Notification d’une violation 6
Durée et fin des obligations de sous-traitance 7
Droit à réparation et responsabilité 7
Contrats de Service et d’Implémentation 9
5 Autres documents et versions 10
Modification de l’Addendum GDPR 10
Versions de l’Addendum GDPR 10
1 Addendum GDPR
L’Addendum GDPR complète les Conditions Générales de COMPUTERLAND et fait partie intégrante de tout Contrat de Service ou Contrat d’Implémentation conclu ou qui serait conclu entre les parties suivantes :
• Le Client (ou le Responsable du traitement au sens GDPR).
• COMPUTERLAND (ou le Sous-traitant au sens GDPR)
COMPUTERLAND est spécialisé dans l’implémentation, la gestion et le support de solutions logicielles et d’infrastructures IT, le support d’utilisateurs et les services de consultance IT.
COMPUTERLAND correspond à l’appellation commerciale de la SA SOCIETE LIEGEOISE DE MICRO – INFORMATIQUE (en abrégé SLM), immatriculée à la BCE sous le n°0420.329.902, dont le siège social est sis à 4432 ANS, Avenue de l’informatique 9 Belgique
L’engagement concerne également les filiales et sociétés du « groupe COMPUTERLAND ».
En acceptant les Conditions Générales, ou tout autre Contrat de Service ou d’Implémentation de solution de COMPUTERLAND, le Client accepte expressément l’application des clauses suivantes concernant le traitement des données à caractère personnel par COMPUTERLAND.
La personne de contact de COMPUTERLAND est :
• Le Délégué à la protection des données (DPO ou Data Protection Officer).
L’Addendum GDPR correspond à un contrat de sous-traitance qui définit les droits et les obligations respectifs des Parties conformément aux législations référencées à l’Art.6.
Législation :
o Règlement général sur la protection des données ou GDPR : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces données, applicable depuis le 25 mai 2018.
o Autorité de contrôle : une autorité publique nationale indépendante qui est instituée par un Etat
membre en vertu de l’article 51 du GDPR.
Contrats :
o Contrat de Service : Tous les contrats ou projets conclus avec COMPUTERLAND qui concernent l’infrastructure IT, la mise à dispositions de services Cloud et de licences, le support des utilisateurs et de l’infrastructure, la consultance, la mise à disposition de ressources.
o Contrat d’Implémentation (d’une solution) : Projet confié à COMPUTERLAND pour la mise en exploitation d’un logiciel, d’une application standard ou d’un développement spécifique traitant éventuellement des données personnelles.
o Contrat (COMPUTERLAND) : D’une manière plus générale, le (ou les) Contrat(s) de Service ou
d’Implémentation conclu(s) avec COMPUTERLAND.
o
Intervenants :
Personne concernée : la personne physique identifiée ou identifiable dont les Données à
caractère personnel font l’objet des Opérations de traitement.
o Catégories de personnes : les clients, utilisateurs, employés, sous-traitants concernés par les Opérations de traitement.
o Responsable du traitement : la personne physique ou morale qui a mis en place et détermine les moyens du traitement de Données à caractère personnel.
o Sous-traitant (de services) : la personne physique ou l’organisation COMPUTERLAND qui traite les Données à caractère personnel pour le compte et sur instruction du Responsable du traitement.
o Sous-traitant ultérieur : la personne physique ou morale qui, à la demande de COMPUTERLAND mais sans faire partie de son organisation, traite les Données à caractère personnel pour le compte du Responsable du traitement, et ce après l’obtention de son accord.
o Personnel ou Prestataire : les personnes désignées par les Parties pour exécuter le contrat et qui sont placées sous leur autorité directe.
Données :
o Données à caractère personnel : toute information se rapportant à une personne physique identifiable par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité.
o DPIA ou Analyse d’impact : Démarche d’ analyse des risques impactant la protection des données évoquée à l’ART 35 du GDPR.
o Traitement : toute opération effectuée à l’aide de procédés manuels ou automatiques et appliquée à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, la qualification, la conservation, l’adaptation, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
o Violation de données : toute violation de la sécurité, entraînant, de manière accidentelle ou illicite, la divulgation, la modification, la destruction ou l’accès non autorisé de données à caractère personnel.
o Données et informations confidentielles : secret d'affaires: information qui répond à toutes les conditions suivantes:
• Elle est secrète en ce sens que, dans sa globalité ou dans la configuration et l'assemblage exacts de ses éléments, elle n'est pas généralement connue des personnes appartenant aux milieux qui s'occupent normalement du genre d'information en question, ou ne leur est pas aisément accessible;
• Elle a une valeur commerciale parce qu'elle est secrète;
• Elle a fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à la garder secrète.
2 Engagements
Opérations de traitement concernées
Le Sous-traitant s’engage à ne traiter des Données à caractère personnel que sur la base d’instructions écrites du Responsable du traitement précisées dans le Contrat COMPUTERLAND.
Le Sous-traitant est autorisé à traiter, pour le compte du Responsable du traitement, les Données à caractère personnel nécessaires pour assurer les services prévus dans le Contrat COMPUTERLAND.
Pendant toute la durée du Contrat COMPUTERLAND, les Données à caractère personnel sont soumises aux Opérations de traitement recensées dans la définition de l’Art.9.
Droits et obligations du Responsable du traitement
Le Responsable du traitement prend en charge et assume la responsabilité :
• Des traitements de Données à caractère personnel effectués par les membres de son Personnel.
• Du registre des activités de traitement effectuées sous sa responsabilité, conformément aux
modalités prévues à l’article 30(1) du GDPR dont:
o La nature des traitements ;
o La finalité des traitements ;
o La durée des traitements ;
o Les catégories de personnes ;
o Les données à caractère sensibles.
• De la description détaillée et de la communication au Sous-traitant des informations obligatoires mentionnées aux articles 13 et 14 du GDPR pour définir les Données personnelles dans un formulaire qui identifie :
o Les traitements sous-traités dans le cadre du Contrat COMPUTERLAND ;
o Les données à caractère sensible ;
o Les données qui transitent depuis ou vers l’espace économique européen. Le Responsable du traitement s’engage à :
• Ne transmettre au Sous-traitant que les données strictement nécessaires à l’exécution du
Contrat COMPUTERLAND.
• Garantir la licéité du traitement des Données à caractère personnel vers le Sous-traitant.
• Mettre à la disposition du Sous-traitant ses instructions écrites concernant le traitement des données en garantissant leur conformité aux législations référencées à l’Art.6.
• Notifier lui-même à l’autorité de contrôle la Violation de Données à caractère personnel.
• Accepter la mise en œuvre de bonnes pratiques ou de recommandations du Sous-traitant ou d’autres consultants qu’il aurait sollicité pour les mesures de sécurité indispensables relative à son infrastructure, car le Sous-traitant ne pourrait pas être tenu pour responsable en cas de violation des données imputable à une omission dans le chef du Responsable du traitement.
Droits et obligations du Sous-traitant
Le Sous-traitant s’engage à :
• Ne traiter que les Données à caractère personnel identifiées par le Responsable du traitement et qui sont nécessaires aux finalités définies dans le Contrat COMPUTERLAND.
• Traiter les Données à caractère personnel conformément aux instructions écrites du Responsable du traitement et aux dispositions du présent Contrat de sous-traitance.
• Vérifier que la liste des personnes autorisées à traiter les données personnelles soit strictement limitée aux finalités du Contrat COMPUTERLAND et que ces personnes aient bénéficié d’une formation en matière de protection des Données à caractère personnel.
• Informer le Responsable du traitement lorsqu’une instruction constitue une violation de la législation.
• N’effectuer aucune opération de traitement en dehors de l’Espace Economique Européen, sauf si le Responsable de traitement en fait explicitement la demande et démontre respecter les prescrits du GDPR en la matière
• Transférer immédiatement les demandes des personnes exerçant leurs droits au Responsable du traitement qui se chargera du traitement ultérieur de la demande.
• Mettre fin à tout traitement de données personnelles du Responsable du traitement au terme du Contrat COMPUTERLAND.
• Tenir à disposition du Responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits.
• Mettre en œuvre, et conseiller sur, des Mesures de sécurité adaptées pour protéger les Données à caractère personnel contre la destruction accidentelle ou illicite, la diffusion, l’accès, la collecte ou tout traitement ultérieur non-autorisé et en particulier lorsque le traitement comprend la transmission de données dans un réseau.
• Informer le Responsable du traitement de non-conformités qu’il constaterait au niveau des bonnes pratiques relatives aux mesures de sécurité relative à l’infrastructure utilisée par le Client.
Le Sous-traitant s’engage à assurer les missions suivantes contre rémunération convenue avec le Responsable du traitement dans le volet financier du Contrat COMPUTERLAND :
• Réaliser des copies et/ou back-ups des Données à caractère personnel si cela s’avérait nécessaire à l’exécution du Contrat principal. Les Données à caractère personnel concernées jouiraient de la même protection que les Données à caractère personnel d’origine.
• Assister le Responsable du traitement pour :
o La réalisation d’analyses d’impact relatives à la protection des données ;
o Répondre aux sollicitations de l’autorité de contrôle ou au DPO désigné par le Responsable du traitement ou toute autre personne physique ou morale mandatée par le Responsable du traitement.
• Tenir, par écrit, un registre des catégories d’activités de traitements effectués pour le compte du Responsable du traitement et contenant toutes les informations visées à l’article 30(2) du GDPR :
• Dans le cadre de Contrats d’Implémentation couvrant la mise en place d’applications Web, contribuer, par une contribution aux développements applicatifs nécessaires, , aux obligations du Responsable du traitement de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement, et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
3 Dispositions générales
Le Sous-traitant est tenu à une obligation de confidentialité qui concerne :
• Toutes les Données à caractère personnel traitées et communiquées au Sous-traitant dans le Contrat de Service ou d’Implémentation ;
• Toutes autres données mentionnées explicitement dans le Contrat de Service ou
d’Implémentation ;
• Les données et informations confidentielles de l’entreprise telles que définies à l’Art.9. Cette obligation de confidentialité s’applique de la même manière :
• Au personnel du Sous-traitant ;
• Aux éventuels Sous-traitants ultérieurs et à leur propre personnel.
Cette obligation de confidentialité prend effet dès la négociation du premier Contrat COMPUTERLAND et n’est pas limitée dans le temps. Cette obligation de confidentialité ne s’applique pas lorsque :
• Le Sous-traitant est tenu de communiquer les Données à caractère personnel à l’Autorité de
contrôle ;
• L’information est déjà connue du public ;
• La communication des Données à caractère personnel a été autorisée par le Responsable du traitement qui assure avoir les bases légales pour le faire.
Le Sous-traitant notifie au Responsable du traitement toute Violation de Données à caractère personnel dans les plus brefs délais, et au plus tard 24 heures après en avoir pris connaissance.
Le délai est porté à 48 heures lorsque la violation n’engendre aucun risque pour les droits et
libertés des personnes concernées.
Dans une seconde étape, le Sous-traitant communique toute documentation utile pour permettre au Responsable du traitement de notifier cette violation à l’autorité de protection des données et/ou aux personnes concernées dont notamment :
• La nature de la Violation de Données à caractère personnel ;
• Les catégories et le nombre approximatif de personnes concernées ;
• Les catégories et le nombre approximatif de Données à caractère personnel concernées ;
• Les conséquences probables de la Violation de Données à caractère personnel ;
• Les mesures prises pour remédier à la Violation de Données à caractère personnel ou pour en atténuer les éventuelles conséquences négatives.
La décision d’informer ou non l’Autorité de contrôle et les Personnes concernées d’une Violation
de Données à caractère personnel incombe au Responsable du traitement.
Le Sous-traitant ne peut déléguer l’ensemble ou une partie de ses obligations à un autre Sous- traitant qu’avec l’autorisation écrite, préalable et spécifique du Responsable du traitement et sur base de la description des traitements sous-traités
Le Responsable du traitement dispose d’un délai d’un mois à compter de la date de réception de ces informations pour présenter ses objections.
Le Responsable du traitement ne peut refuser la demande du Sous-traitant que s’il invoque des
motifs sérieux.
En cas de sous-traitance ultérieure, le Sous-traitant reste le point de contact du Responsable du traitement et demeure pleinement responsable vis-à-vis du Responsable du traitement de l’exécution par le Sous-traitant ultérieur de ses obligations.
Le Sous-traitant doit s’assurer et garantit que le Sous-traitant ultérieur présente les mêmes garanties quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du GDPR, notamment en son article 32.
Les réponses au questionnaire visant à déterminer si le Sous-traitant ultérieur a mis en place des mesures de sécurité techniques et organisationnelles appropriées sont analysées avant de valider sa mission.
Les engagements prévus au Chapitre 2 s’appliquent intégralement au Sous-traitant ultérieur.
Ces obligations sont stipulées par écrit dans un Contrat de sous-traitance conclu entre le Sous- traitant et le Sous-traitant ultérieur.
Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant Initial demeure le seul responsable par rapport au Responsable du traitement..
Durée et fin des obligations de sous-traitance
L’« Addendum GDPR » sur les obligations du Sous-traitant suit le sort du Contrat COMPUTERLAND, pour le début de son application et pour sa cessation
Au terme du dernier Contrat COMPUTERLAND conclu avec le Client, le Sous-traitant devra renvoyer au Responsable du traitement toutes les Données à caractère personnel. Il lui fournit également toutes les informations et la documentation nécessaires au traitement ultérieur de ces données.
Après le renvoi des Données à caractère personnel au Responsable du traitement, le Sous- traitant met immédiatement fin à tout traitement des Données à caractère personnel et détruit toutes les copies existantes dans ses systèmes d’information. La seule exception concernerait les backups sur support amovibles dont la période de rétention d’une partie des informations ne permettrait pas la destruction globale du contenu.
Droit à réparation et responsabilité
Le sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le règlement GDPR qui incombent spécifiquement aux sous- traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
Seules les dispositions du règlement GDPR sont applicables en termes de droit à réparation et responsabilité (§2 à 6 de l’article 82).
4 Mesures permanentes
Dans ce chapitre, le terme « COMPUTERLAND » est utilisé lorsqu’il ne s’agit pas de Sous-traitance au sens GDPR.
La liste non exhaustive suivante reprend les mesures mises en place par le Sous-traitant :
• Une équipe déléguée à la protection des données a été désignée pour prendre en charge la
protection des données et des modalités de mise en œuvre du GDPR.
• L'équipe pour la protection des données est assistée par un comité d’experts dans divers domaines : juridique, méthodologique, technique, gouvernance, cybersécurité et gestion du risque.
• Tous les collaborateurs sont formés pour respecter la réglementation et les procédures.
• Un registre reprenant toutes les activités de traitement des données personnelles est constitué, selon le modèle proposé par l’ancienne commission pour la protection de la vie privée, devenue l’Autorité pour la Protection des Données le 25 mai 2018. Ce registre est consolidé et tenu à jour.
• Une analyse d’impact relative à la protection des données (AIPD) est effectuée pour chaque activité susceptible de comporter un risque pour les données personnelles.
• Des recommandations sont identifiées et revues en permanence pour réduire les risques de non-conformité.
• les projets de mise en conformité de COMPUTERLAND est supervisé par le DPO.
Ce chapitre concerne les dispositions relatives à la sécurité de l’infrastructure IT de COMPUTERLAND.
Des dispositifs de sécurité ont été mis en place tant au niveau physique (protection des bâtiments et du datacenter), organisationnel (procédures, respect de directives) que technique pour prévenir ou déceler rapidement tout incident et de le traiter conformément aux dispositions du GDPR.
Elles s’inscrivent dans la politique de gestion de la sécurité gérée par le responsable de la sécurité du Sous-traitant pour garantir :
• la confidentialité : l’accès aux bases de données est restreint et contrôlé ;
• l’intégrité :;
• la haute disponibilité : ceci est obtenu grâce à un système de redondance des serveurs et au cloud ;
• la résilience : des backups sont réalisés de manière automatique et fréquente et les données peuvent être rétablies de manière rapide.
La liste non exhaustive suivante reprend les principales procédures internes opérationnelles :
• Procédure « Access management » ;
• Procédure « Information Security Management »;
• Procédure « Gestion historique des accès physiques aux datacenters » ;
• Procédure « Test et évaluation régulière de l’efficacité des mesures de sécurité » ;
Ces procédures sont conformes et complémentaires à celles des gestionnaires des datacenters auxquels sont sous-traités les hébergements et accès.
Ces procédures intègrent notamment les mesures suivantes :
• La politique de sécurité de l’information (voir annexe « Politique de confidentialité »;
• L’évaluation des risques pour tout processus et projet relatif à la sécurité de l’information ;
• Les mesures préventives ;
• La documentation technique ;
• La sensibilisation du Personnel ;
• La mise en place de conventions avec le Personnel et les Sous-traitants ultérieurs les obligeant à signaler les incidents ;
• Les mesures de fin de Contrat.
Contrats de Service et d’Implémentation
Dans le cadre des Contrats de services conclus avec ses Clients, COMPUTERLAND s’engage à prendre en compte les mesures de protection des données qui auraient été définies dans les modalités contractuelles spécifiques acceptées par le Client et COMPUTERLAND ou relevant de bonnes pratiques et en particulier dans l’infrastructure IT du client couverte par le Contrat COMPUTERLAND :
• Empêcher les accès non autorisés par le Client et réduire au strict minimum les accès par des collaborateurs de COMPUTERLAND ;
• Détruire toute trace de moyens d’accès normalement réservés aux collaborateurs du Client et qui auraient été utilisés pour la mise en place ou le dépannage ;
• Effacer systématiquement toute trace de données personnelles sur les supports ayant servi aux migrations d’infrastructure, aux tests de rechargement (DRP) ou à la clôture du Contrat COMPUTERLAND.
Dans le cadre de Contrats d’Implémentation de Solutions, COMPUTERLAND s’engage à prendre en compte les mesures de protection des données qui auraient été définies dans l’analyse ou le cahier des charges et acceptées par le Client et COMPUTERLAND dont en particulier :
• Dans les environnements de développement, tests et acceptance, mettre en place de bonnes pratiques pour la sécurité et la confidentialité :
o L’utilisation de jeux de données limités issues des données de production ou créées entièrement à cet effet ;
o La pseudonymisation ou l’anonymisation des données à caractère personnel ;
o Le stockage des données sur des supports cryptés ;
o La conservation des données personnelles nécessaires aux développements et aux tests uniquement pendant la période d’exécution des prestations commandées. Ces données de test seront détruites de façon sécurisée après les prestations attendues.
• Dans la Solution, conception et implémentation sécurisée « par design » et mise en place de configurations sécurisées « par défaut » dont en particulier :
o La pseudonymisation ou l’anonymisation des données à caractère personnel ;
o La mise en œuvre de mesures particulières pour les données personnelles à caractères sensibles ;
o L’identification des utilisateurs et le stockage sécurisés de leurs données
d’identification ;
o L’implémentation de systèmes de contrôle d’accès basés sur les rôles (RBAC-Role Based Access Control) ;
o La sécurisation des communications vers ou au départ de la Solution : confidentialité (signature cryptographique), intégrité,;
o La documentation sur les dispositions prises (technique, procédure, manuels) actualisée au cours de la durée de vie du projet.
5 Autres documents et versions
Les documents suivants sont publiés sur le site xxx.xxxxxxxxxxxx.xx et sont considérés comme
des annexes à l’Addendum GDPR de COMPUTERLAND :
• Politique de confidentialité
• Politique d’utilisation des Cookies
Modification de l’Addendum GDPR
COMPUTERLAND se réserve le droit de compléter ou préciser l’Addendum GDPR de sa propre
initiative avec les obligations suivantes :
• Ne pas diminuer le niveau de conformité auquel COMPUTERLAND s’est engagé ;
• Publier une nouvelle version en conservant l’historique accessible au Client.
Versions successives du document COMPUTERLAND – Conditions générales – Addendum GDPR
N° | Date | Objet | Adaptations |
V0.1 | 04/05/18 | Version interne | |
V1.0 | 25/05/18 | Version publiée | |
V1.1 | 09/07/18 | Version publiée | Mise en page; / Implémentation de solutions / Droit à réparation et responsabilité |
V1.2 | 28/08/18 | Version publiée | Mesures et sécurité et responsabilité / Engagements de confidentialité / Contrats de service et d’Implémentation de solutions |