CONTRAT DE GESTION DES DOSSIERS CHÔMAGE
CONTRAT DE GESTION DES DOSSIERS CHÔMAGE
N° de CONTRAT : E202206706
CONTRAT DE PRESTATION DE SERVICES
Entre : Communauté d'Agglomération Roissy Pays de France Adresse : 0xxx Xx. Xxxxxxx xx Xxxxxx, 95700 Roissy-en-France
Représentée par :
Agissant en qualité de :
Ci-après dénommée « le CLIENT », d’une part, Et
LA SAS INFO DECISION RCS de Evry B410942 270 APE : 5829 C
SIRET : 410 942 270 000 50
N° TVA intracommunautaire : FR 84410942270
Adresse du siège social : 00 Xxxxx Xxxxxxxxxxx Xxxxxx – 00000 XXXX Xxxxx
Représentée par : Madame Xxxxxxxx XXXXXXX Agissant en qualité de : Gérante
Ci-après dénommée « le PRESTATAIRE », d’autre part
CHAPITRE I – CONDITIONS GENERALES
Article 1er – OBJET DU CONTRAT
Le présent contrat a pour objet la gestion des dossiers d’allocations chômage du CLIENT par le PRESTATAIRE à savoir :
• L’ensemble des tâches conduisant à l’engagement de la dépense (ouverture de droits, préparation du paiement des allocations, transmission des informations au payeur, etc.) ou au rejet de la demande d’allocations.
• L’établissement de divers documents relatifs à l’indemnisation destinés aux allocataires et aux organismes sociaux (notifications, avis de paiement, déclarations, notice d’information, journaux de paiements, etc.),
• Une assistance téléphonique et/ou mail des allocataires,
• La fourniture au CLIENT de documents de suivi de l’exécution de la prestation.
Article 2 – ENTREE EN VIGUEUR, DUREE DU CONTRAT, RENOUVELLEMENT
1°) – Le présent contrat prend effet à compter du 03/07/2022
2°) – La durée du contrat est fixée à 1 an renouvelable.
3°) – Le présent contrat pourra être renouvelé tacitement 2 (deux) fois pour une durée totale ne pouvant excéder 3 (trois) ans. En cas de renouvellement, le prix de la prestation acquittée par le CLIENT continue d’être déterminée comme le prévoit l’Article 9 ci-après.
En cas de non-renouvellement, l’une ou l’autre des parties devra en informer le cocontractant par courrier recommandé avec Accusé de Réception au moins 3 (trois) mois avant la date d’échéance.
Article 3 – RESPECT DES TEXTES RELATIFS A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Aucune donnée à caractère personnel n’est transférée vers un pays tiers.
Pour toutes les autres obligations prévues par le RGPD et la loi numéro 78-17 du 6 janvier 1978, veuillez-vous référer aux annexes 1 et 2.
Article 4 – PROCEDURES DE GESTION
Les deux parties s’engagent à adopter conjointement les modalités pratiques de gestion qui sont consignées dans les cahiers de procédures annexés au présent contrat destinés :
• À encadrer les échanges d’informations, de pièces et de fichiers ;
• À fixer les modalités de classement et d’archivage des dossiers ;
• À préciser les délais de traitement.
D’une manière générale, les cahiers de procédures permettent de connaître les modes opératoires à suivre pour l’ensemble de la prestation de gestion des dossiers chômage chez le prestataire. Les cahiers de procédures pourront faire l’objet d’ajustements si nécessaire.
Article 5 – OBLIGATIONS SPECIFIQUES DU PRESTATAIRE
Les obligations spécifiques du PRESTATAIRE découlent de la nature de la prestation qui lui est confiée, en sus des obligations générales créées par le contrat en dehors du présent article.
1°) – Le PRESTATAIRE est tenu à une obligation de confidentialité en ce qui concerne les informations individuelles auxquelles il accède. La même obligation s’applique aux informations communiquées par le CLIENT.
2°) Le PRESTATAIRE s’engage à effectuer la gestion des allocations dans le respect des normes juridiques applicables. Toute dérogation à cet engagement ne peut provenir que d’une instruction expresse du CLIENT.
3°) Le PRESTATAIRE s’engage à fournir au CLIENT toute information qu’il juge opportune de lui prodiguer, dès lors qu’apparaît une difficulté susceptible de créer un litige.
4°) Le PRESTATAIRE ne peut se substituer au CLIENT dans les décisions qui relèvent de la compétence de ce dernier, ni prendre une option susceptible de faire naître un litige, sans avoir préalablement consulté le CLIENT et recueilli expressément son aval.
5°) Le PRESTATAIRE est tenu à une obligation de moyen, notamment en ce qui concerne le délai de réponse. Il est tenu de répondre avec diligence, à compter du jour où il dispose de tous les éléments permettant le traitement d’un dossier. Sauf circonstance exceptionnelle ou cas de force majeur, le délai de traitement fixé comme objectif d’usage n’excède pas 8 (huit) jours.
Article 6 – OBLIGATIONS SPECIFIQUES DU CLIENT
Les obligations spécifiques du CLIENT découlent de la nature de la prestation qu’il confie au PRESTATAIRE, en sus des obligations générales créées par le contrat en dehors du présent article.
Durant l’exécution du présent contrat, le CLIENT conserve ses compétences juridiques en matière d’actes de gestion et d’engagement de dépenses. Il lui appartient de procéder :
• À la signature et à l’expédition aux allocataires et aux tiers des documents préparés par le PRESTATAIRE (déclarations, actes de gestion),
• Au versement des allocations et des cotisations sociales, en liaison avec le payeur,
• À la prise de décision sur les dossiers litigieux ou susceptibles de le devenir,
• À l’archivage et à la conservation des dossiers.
Le CLIENT autorise le PRESTATAIRE à être destinataire des actualisations mensuelles de situations envoyées mensuellement par courrier par le Pôle Emploi.
Article 7 – RESPONSABILITE
Pendant la durée du présent contrat, le CLIENT est pleinement responsable des actes de gestion qui découlent de ses compétences.
Article 8 – PRIX
Les prix sont donnés hors taxes et devront être augmentés des taxes et taux en vigueur au jour de la date de facturation.
Les prix, ainsi que les modalités de facturation sont fixés à l’Article 22 du Chapitre II – Conditions particulières du présent contrat.
Article 9 – ACTUALISATION DES PRIX
Les prix sont fermes et définitifs pour la première année du présent contrat.
Ils sont revalorisés à chaque renouvellement du contrat par applications de la formule ci-après :
Pn = Po x (Sn / So)
Où : Pn = prix applicable au renouvellement du contrat (n = année de facturation)
Po = prix appliqué à la facturation de n-1
Sn = valeur de l’indice SYNTEC du mois le plus récent publié en année n
So = valeur de l’indice SYNTEC du mois retenu en Sn pour l’année n-1
Article 10 – MODALITES DE REGLEMENT
1°) Les factures sont adressées au CLIENT via Chorus Pro.
2°) Le règlement s’effectue dans un délai maximum de 30 (trente) jours à compter de la réception de la facture, par virement sur le compte bancaire du PRESTATAIRE suivant :
Banque Populaire – 00 xxx xx xx Xxxxx – XX 00 – 00000 XXXXXXXXXX Code banque : 18707 / Code agence : 00041
N° de compte : 04121217824 / Lettre clé : 42 IBAN : XX00 0000 0000 0000 0000 0000 000 BIC : XXXXXXXXXXX
3°) Le défaut de paiement dans les délais prévus fait courir de plein droit et sans autre formalité, des intérêts moratoires au bénéfice du PRESTATAIRE. Les intérêts moratoires courent à partir du jour suivant l’expiration du délai global jusqu’à la date de mise en paiement du principal incluse.
Le calcul des intérêts moratoires a lieu selon l’article R. 2192-36 du Code de la Commande Publique.
Article 11 – REFERENCE COMMERCIALE
Le PRESTATAIRE se réserve la possibilité de faire figurer le nom du CLIENT sur une liste de références, ainsi que son logo sur le site internet du PRESTATAIRE, sauf avis contraire de ce dernier.
Article 12 – RESILIATION
1°) Chacune des parties peut mettre fin à tout moment à l’exécution du présent contrat trois mois avant son terme par une notification de résiliation par lettre recommandée avec Accusé de réception.
En l’absence d’un manquement grave et avéré aux obligations de l’une des parties, un préavis de 3 (trois) mois s’impose à la partie qui prend l’initiative de la résiliation. Le délai de préavis débute le 1er jour du mois civil suivant la date de réception de la notification de résiliation. Le terme du contrat est alors fixé au terme du préavis.
En présence d’un manquement grave et évéré à ses obligations par l’une des parties, l’autre partie peut résilier le contrat de plein droit. La résiliation prend effet le 1er jour du mois civil suivant la notification de résiliation.
2°) En l’absence d’un manquement grave et avéré aux obligations de l’une des parties, le paiement d’une indemnité de rupture du contrat, égale au montant TTC facturé pour les 3 (trois) derniers mois entiers qui précèdent la notification de résiliation, est dû par la partie qui prend l’initiative de la résiliation. Le montant de l’indemnité comprend tous les coûts définies à l’Article 22 du présent contrat.
Le paiement de l’indemnité de rupture est facturé à la partie qui prend l’initiative de la résiliation, au terme du contrat.
Article 13 – FORCE MAJEURE
1°) La responsabilité des parties sera entièrement dégagée si l’inexécution par l’une ou l’autre, d’une partie ou de la totalité des obligations mises à sa charge, résulte d’un cas de force majeure.
2°) Dans un premier temps, les cas de force majeur suspendront l’exécution du contrat.
3°) Si les cas de force majeure ont une durée supérieure à 30 (trente) jours, le présent contrat sera résilié de plein droit, sans application de l’Article 12 au terme de ce délai, sauf accord contraire entre les parties.
4°) De façon expresse sont considérés comme cas de force majeure, ceux habituellement retenus par la jurisprudence des Cours et Tribunaux français.
Article 14 – INTEGRALITE
1°) Le présent contrat et ses annexes expriment l’intégralité des obligations des parties.
2°) En dehors des documents contractuels définis au présent contrat, aucune condition générale ou particulière figurant dans les documents envoyés ou remis par les parties, ne pourra s’intégrer au présent contrat, sauf accord des parties.
Article 15 – TITRES
En cas de difficultés d’interprétation entre l’un quelconque des titres figurant en tête des clauses, et l’une quelconque des clauses, les titres sont déclarés inexistants.
Article 16 – NON-RENONCIATION
Le fait pour l’une des parties de ne pas de prévaloir d’un manquement par l’autre partie à l’une quelconque des obligations visées dans les présentes, ne saurait être interprété pour l’avenir comme une renonciation à l’obligation en cause.
Article 17 – LOI
Le présent contrat est régi par la loi française. Il en est ainsi pour les règles de fond comme pour les règles de forme.
Article 18 – CONCILIATION
1°) En cas de difficulté d’exécution et avant la mise en œuvre de l’Article 12, chacune des parties s’engage à tenter une conciliation amiable.
2°) Les parties devront se réunir sur l’initiative de la partie la plus diligente dans les 30 (trente) jours à compter de la réception de la lettre de demande de réunion de conciliation. L’ordre du jour est fixé par la partie qui prend l’initiative de la conciliation.
3°) Les décisions, si elles sont arrêtées d’un commun accord, ont valeur contractuelle. Dans le cas contraire, il sera fait application de l’Article 12.
Article 19 – ATTRIBUTION DE COMPETENCE
En cas de litige entre les parties, et après une tentative de recherche d’une solution amiable, une compétence expresse est attribuée au Tribunal Administratif compétent.
CHAPITRE II – CONDITIONS PARTICULIERES
Article 20 – FICHIER DES PAIEMENTS
Les données du paiement des allocations seront transmises au CLIENT par le PRESTATAIRE à l’aide de fichiers informatiques (journaux de paiement, avis de paiement, etc.).
Article 21 – RELATION AVEC LES ALLOCATAIRES
Le PRESTATAIRE s’engage à répondre aux interrogations des allocataires dans les limites de ses compétences prévues à l’Article 5 :
• par téléphone, au moyen d’un numéro d’appel communiqué aux allocataires. Ceux-ci pourront appeler pendant les horaires qui leurs seront indiquées, à raison de 4 (quatre) demi-journées par semaine à l’exclusion des jours fériés et conformément à l’Article 5.1 du cahier des procédures « 2 Cahier des procédures entre les allocataires et Info Décision ».
Article 22 – PRIX ET MODALITES DE FACTURATION
Les prix de la prestation de services définie à l’article 1, en application de l’article 8 du Chapitre I – Conditions générales, sont définis comme suit :
1°) Un à-valoir
Un à-valoir annuel de 2 856,00€ HT (TVA de 20% soit 3 427,20€ TTC), acquis définitivement au PRESTATAIRE est facturé à la signature du contrat et à chaque renouvellement annuel. Pour toute facture supérieure à cet à-valoir, celui-ci sera déduit de la facturation établie à terme échu.
2°) Une partie variable
Traitements mensuels
Une partie variable est facturée annuellement à terme échu, en fonction du nombre de justificatifs traités mensuellement. Les prix appliqués sont les suivants :
Tranches | PUT/Mois | TVA 20% | Tarif TTC |
1) Moins de 40 dossiers | 40,00 € | 8,00 € | 48,00 € |
2) De 41 à 60 dossiers | 36,00 € | 7,20 € | 43,20 € |
3) De 61 à 80 dossiers | 33,00 € | 6,60 € | 39,60 € |
PUT/Mois : Prix unitaire mensuel par période de chômage attestée traitée. Chaque traitement est effectué sur la base d’une actualisation mensuelle de situation.
Les tarifs dégressifs seront applicables de plein droit en cas d’évolution de la volumétrie initialement communiquée.
Un relevé des éléments facturés est établi par mois et indiqué sur la facture. Fait à : Evry Fait à
Le : 10/06/2022 Le :
En deux exemplaires originaux,
Pour le PRESTATAIRE Pour le CLIENT
Xxxxxxxx XXXXXXX – Présidente
ANNEXE 1 – TRAITEMENT DES DONNEES PERSONNELLES (RGPD)
Chaque partie doit en tout temps respecter le Règlement Général de la Protection des Données (RGPD) qui lui est applicable et mettre l’autre partie en situation de respecter ses propres obligations.
A ce titre, chaque partie s’engage notamment à mettre en œuvre, à ses frais, les obligations décrites dans la présente annexe et à les faire respecter par quiconque à qui elle donne accès à tout ou partie des Données Personnelles.
Article 1 – DEFINITIONS SPECIFIQUES
Pour les besoins de la présente annexe, les parties conviennent des définitions spécifiques suivantes :
« L’Accord » | Désigne l’accord encadrant le Contrat intitulé « Contrat de Gestion des Dossiers Chômage chez le PRESTATAIRE » (ci- après « l’Accord ») conclu entre le CLIENT et le PRESTATAIRE et dont la présente annexe fait partie intégrante. |
« Donnée Personnelle » | Désigne toute information se rapportant à une personne identifiée ou identifiable. Est réputée identifiable la personne qui peut être identifiée directement ou indirectement, notamment par référence à une identifiant ou à un ou plusieurs éléments spécifiques propres à son identité. |
« EEE » | Désigne l’Espace Economique Européen comprenant, à la date de l’Accord, l’Union Européenne, la Norvège, l’Islande et le Liechtenstein. |
« Garanties » | Désigne les garanties appropriées prises pour préserver la sécurité et la confidentialité des Données Personnelles transférées hors de l’EEE, dans un pays dont la législation n’a pas été reconnues adéquate par les autorités européennes, dans les conditions prévues par le Règlement Données. |
« Règlement Données » | Désigne le règlement applicable au CLIENT en matière d’utilisation de Données Personnelles, et en particulier la loi n°78- 17 du 06 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ainsi que toute réglementation destinée à la compléter ou à la remplacer, en particulier, le Règle (UE) 2016/679 relatif à la protection des données à caractère personnel et à la libre circulation de ces données. |
« Personne » | Désigne toute personne physique (client, salarié, prestataire, fournisseur…) dont les Données Personnelles sont susceptibles de faire l’objet d’un Traitement dans le cadre de l’Accord. |
« Prestataire » | Désigne INFO DECISION. |
« Responsable du Traitement » | Xxxxxxx la partie qui détermine, seule ou conjointement avec un autre Responsable de Traitement, les finalités et les moyens d’un Traitement, dont il peut être amené à confier la réalisation en tout ou partie à un ou plusieurs sous-traitants. |
« Sous-traitant » | Xxxxxxx toute personne physique ou morale amenée à traiter des Données Personnelles pour le compte d’un Responsable du Traitement. |
« Traitement » ou « traiter » | désigne le fait de réaliser toute opération ou série d’opérations portant sur des Données Personnelles, telle que la collecte, l’enregistrement, l’organisation, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction, indépendamment du fait que cette opération est réalisée automatiquement ou pas. |
« Transfert » ou « transférer » | Xxxxxxx le fait de transférer des Données Personnels ou d’y donner accès, y compris par simple mise à disposition, depuis le territoire d’un pays de l’EEE vers un pays situé hors de l’EEE. |
Article 2 – AUTORISATION DE TRAITEMENT
1°) Dans le cadre de l’exécution des prestations prévues à l’Accord, le PRESTATAIRE peut, pendant toute la durée de l’Accord et jusqu’à l’expiration des durées définies par le CLIENT, avoir accès aux Données Personnelles pour le compte du CLIENT, dans le cadre décrit ci-dessous :
Finalités des Traitements mis en œuvre par le PRESTATAIRE | Permettre le calcul et la préparation des éléments de paye des indemnités chômage dues aux anciens agents du client. |
Catégories de Données Personnelle traitées par le PRESTATAIRE | Les Données à caractère Personnel traitées : • Les données d’identification • Les informations relatives aux emplois précédents • Les fiches de paie • Les données fiscales • Les actualisations de Pôle Emploi |
Catégories de Personnes | Les agents du CLIENT en fin de contrat de travail, inscrits à Pôle Emploi. |
Durée de conservation | Temps de traitement des dossiers et archivage pendant 2 (deux) ans si contentieux. |
Dans ce cadre, le PRESTATAIRE agit en qualité de Sous-Traitant du CLIENT ; il reconnaît ne disposer d’aucun droit sur les Données Personnelles qu’il traite pour le compte du CLIENT.
2°) Le PRESTATAIRE s’engage à se conformer aux instructions écrites du CLIENT s’agissant de l’utilisation qui peut être faite des Données Personnelles.
Lesdites instructions seront documentées en cours d’exécution de l’Accord.
Le PRESTATAIRE s’interdit donc en particulier de réaliser tout traitement utilisant les Données Personnelles, qui ne serait pas expressément demandé par le CLIENT dans le cadre d’une instruction documentée.
3°) Le PRESTATAIRE informera immédiatement le CLIENT si, selon lui, un de ses instructions est susceptible de constituer une violation du Règlement Données.
En outre, s’il est tenu de procéder à un transfert en vertu du droit de l’Union Européenne ou du droit de l’un des pays européens auquel il est soumis, il informera le CLIENT de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
4°) Le PRESTATAIRE s’engage à maintenir en vigueur auprès d’une compagnie notoirement solvable, pendant toute la durée de l’Accord, une police d’assurance garantissant les dommages pouvant survenir à ses biens et à son personnel, ainsi qu’une police couvrant sa responsabilité professionnelle, en ce compris en cas de manquement à ses obligations au titre de la présente annexe.
Article 3 – MESURES DE SECURITE
1°) Le PRESTATAIRE s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées, précises détaillées et documentées pour protéger les Données Personnelles contre tout risque de destruction, perte, altération, divulgation ou accès non autorisé, aux Données Personnelles, mais également pour en assurer la disponibilité et l’intégrité. Ces mesures techniques et organisationnelles sont indiquées en annexe 2.
2°) Afin de garantir un niveau de sécurité adapté, le PRESTATAIRE mettra notamment en œuvre, en tenant compte des risques pour la sécurité des Données Personnelles et pour la vie privée des Personnes, les mesures techniques et organisationnelles appropriées telles que :
I. La pseudonymisation et le chiffrement des Données Personnelles et/ou des supports ;
II. Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
III. Des moyens permettant de rétablir la disponibilité des Données Personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou techniques ;
IV. Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
3°) Le PRESTATAIRE est informé que la sécurité des Données Personnelles auxquelles il a accès est d’une importante cruciale pour le CLIENT. Le PRESTATAIRE déclare être en mesure de garantir un niveau de sécurité adapté afin d’assurer la protection des Données Personnelles dans le cadre d’une obligation de résultat.
Article 4 – CONFIDENTIALITE
1°) Le PRESTATAIRE respectera les obligations de confidentialité suivantes :
I. Ne prendre aucune copie des documents et supports d’informations comportant des Données Personnelles ou des Données Personnelles elles-mêmes, à l’exception de celles strictement nécessaires pour les besoins de l’exécution de sa prestation, objet de l’Accord ;
II. Ne pas utiliser les documents et Données Personnelles à des fins autres que celles spécifiées à l’Accord ;
III. Ne pas divulguer ces documents ou Données Personnelles à des tiers non autorisés, y compris au sein du groupe de sociétés auquel il appartient.
2°) Le PRESTATAIRE s’engage à soumettre son personnel autorisé à traiter les Données Personnelles :
I. À un devoir de confidentialité et à en assurer le respect, au besoin au moyen de sanctions disciplinaires ;
II. À des formations spécifiques en matière de protection des Données Personnelles.
De manière générale, le PRESTATAIRE intégre la protection de la vie privée dans la conception et tout au long de la fourniture de ses services.
Article 5 – NOTIFICATION DES FAILLES DE SECURITE
1°) En cas de faille de sécurité de nature à affecter la sécurité des Données Personnelles (même si le risque ne s’est pas encore réalisé), le PRESTATAIRE s’engage à :
I. En notifier par écrit l’existence au CLIENT, immédiatement et au plus tard 24 heures après sa survenance ;
II. Procéder aux investigations permettant de fournir par écrit, au fur et à mesure de leur réalisation, au CLIENT, toute information utile sur la nature et l’étendue des Données Personnelles éventuellement déjà touchées et les mesures correctrices prises ou envisagées ;
III. Mettre immédiatement en place les mesures correctrices pour empêcher qu’une telle faille puisse perdurer et/ou se reproduire et réparer les conséquences dommageables.
Article 6 – SOUS-TRAITANCE
1°) Dans le cadre de la présente convention, Info Décision (le PRESTATAIRE), s’engage à se conformer aux dispositions de l’article 28 du RGPD relatif au sous-traitant.
Article 7 – TRANSFERT DE DONNEES PERSONNELLES HORS EEE
1°) Sans préjudice de l’Article 6, le PRESTATIRE s’interdit, dans le cadre d’une obligation de résultat, de procéder à tout transfert sans avoir sollicité et obtenu l’accord préalable écrit du CLIENT afin de lui permettre d’analyser l’opportunité d’un tel transfert, d’examiner les garanties que le PRESTATAIRE propose de mettre en place, et, le cas échéant, d’accomplir les formalités applicables.
2°) Aucun transfert ne saurait en tout état de cause être autorisé par le CLIENT à défaut de mise en place des garanties appropriées.
Article 8 – OBLIGATION DE COOPERATION DU PRESTATAIRE
1°) Le PRESTATAIRE s’engage à apporter toute l’assistance nécessaire au CLIENT afin de lui permettre de respecter toutes ses obligations en vertu du Règlement Données, notamment pour lui permettre de réaliser les analyses et autres consultations requises ou encore pour permettre aux personnes d’exercer leurs droits sur leurs Données Personnelles.
2°) Le PRESTATAIRE s’engage également à coopérer avec l’autorité de contrôle compétente, ce qu’il s’oblige à ne faire qu’après concertation avec le CLIENT.
3°) Le PRESTATAIRE tiendra à disposition du CLIENT et lui communiquera à première demande toutes les preuves du respect de ses obligations en vertu du Règlement Données, et en particulier, au plus tard à compter de l’entrée en application de cette obligation, une copie du registre de toutes les catégories d’activité de traitement effectuées pour le compte du CLIENT.
4°) Afin de permettre au CLIENT de s’assurer du respect de ses obligations au titre de la présente annexe, le PRESTATAIRE :
I. Pourra à la demande du CLIENT réaliser un audit de ses systèmes d’information et remettre au CLIENT un rapport écrit de cet audit.
5°) Si un des rapports d’audit effectué laisse apparaître un ou des manquements du PRESTATAIRE à l’une de ses obligations en vertu de la présente annexe, le CLIENT pourra, à son choix, demander au PRESTATAIRE de mettre immédiatement en place les mesures correctrices pour réparer son ou ses manquement(s) et en réparer les conséquences dommageables, ou résilier l’Accord de plein droit dans les conditions prévues à l’article 12.
Article 9 – DUREE DE CONSERVATION DES DONNEES PERSONNELLES
1°) Si le PRESTATAIRE est amené à stocker les Données Personnelles, il s’engage à appliquer les durées de conservation et d’accès déterminées par le CLIENT.
2°) A l’issue des durées définies, mais également à la fin de l’Accord, le PRESTATAIRE s’engage à procéder, au choix du CLIENT, à la destruction de tous fichiers comportant des Données Personnelles ou à restituer intégralement tout support comportant de telles Données Personnelles et à n’en conserver aucune copie ou original.
Article 10 – DELEGUE A LA PROTECTION DES DONNEES PERSONNELLES
1°) Le PRESTATAIRE communique au CLIENT les coordonnées de son délégué à la protection des Données Personnelles.
Article 11 – MANQUEMENT A LA PRESENTE ANNEXE
1°) En cas de manquement par le PRESTATAIRE à l’une de ses obligations au titre de la présente annexe, il s’engage à mettre en œuvre toute mesure correctrice requise dans les délais et conditions fixées par le CLIENT, et ce sans surcoût pour le CLIENT.
2°) Le CLIENT pourra, 72 heures après mise en demeure notifiée par tout moyen au PRESTATAIRE, ou immédiatement en cas de manquement non réparable, résilier l’Accord de plein droit.
Article 12 – DONNEES PERSONNELLES COMMUNIQUEES PAR LE PRESTATAIRE AU CLIENT
1°) Le PRESTATAIRE pourra donner accès à des Données Personnelles concernant son personnel au CLIENT. Celui-ci les traitera pour les besoins du suivi de l’Accord en qualité de Responsable du Traitement. Le PRESTATAIRE garantit que ces Données Personnelles ont été collectées et traitées en conformité avec le Règlement Données, et fait son affaire notamment :
I. De procéder à toutes les formalités préalables qui lui incombent en vertu du Règlement Données
II. D’informer pour le compte du CLIENT les personnes du traitement par le CLIENT de leurs Données Personnelles, dans les conditions prévues par le Règlement Données.
2°) A cette fin, le PRESTATAIRE est informé que les personnes concernées par de tels traitements réalisés par le CLIENT peuvent exercer les droits qui leur sont garantis par le Règlement Données.
ANNEXE 2 – RGPD – MESURES DE SECURITE
DESCRIPTION DE LA MESURE | MESURE APPLIQUEE (OUI/NON) | JUSTIFICATIONS SUR l’IMPLEMENTATION DE LA MESURE |
Organisation et gestion de la politique de protection de la vie privée | OUI | Depuis 2018, un groupe de travail a été constitué pour effectuer la mise en conformité RGPD ainsi que le suivi. Ont été nommés : un Responsable des traitements ainsi qu’un DPO. |
Intégrer la protection de la vie privée dans les projets | OUI | Dans le cadre de la prestation d’externalisation, nous limitons les données collectées ? Tout document papier reçu après traitement, s’il contient des données personnelles, fait l’objet d’une destruction ou d’une remise au client. |
Gérer les incidents de sécurité et les violations de données | OUI | En cas d’incident de sécurité ou de violation des données, INFO DECISION (le PRESTATAIRE) s’engage à en informer dans les plus brefs délais le CLIENT. |
Gestion des personnels dont sensibilisation | OUI | Tout nouveau salarié suit en interne une formation de sensibilisation aux mesures RGPD. |
Gestion des tiers accédant aux données | OUI | Seule la société d’infogérance (NowTeam) avec laquelle travaille INFO DECISION (le PRESTATAIRE) est susceptible d’accéder aux données. |
Mesures particulières pour la protection des données : chiffrement/anonymisation | OUI | Un archivage définitif et la destruction (logique) des données à caractère personnel sera effectué via un processus d’anonymisation de l’ensemble des données à caractère personnel, sans « désanonymisation » possible. Les autres données seront conservées à des fins de statistique et de génération de rapport, sans qu’il soit possible d’identifier une personne physique à l’aide ces données. |
Cloisonnement | OUI | Les salariés d’INFO DECISION (le PRESTATAIRE) n’ont accès qu’aux seules données dont ils ont besoin. Le service en charge de la gestion des dossiers chômage dispose d’un environnement informatique dédié pour traiter les données. |
Contrôle des accès logiques | OUI | Les salariés d’INFO DECISION (le PRESTATAIRE) ayant accès aux données traitées pour le CLIENT sont identifiés. Les accès aux données sont tracés. |
Sécurisation de l’exploitation | OUI | Les accès au réseau interne d’INFO DECISION (le PRESTATAIRE) ne se font que de l’intérieur (inaccessible depuis l’extérieur) sauf sous VPN. |
Lutte contre les codes malveillants | OUI | Protection des installations : firewall, proxy, anti-virus, liaison HTTPS pour les échanges. |
Gestion et sécurisation des équipements dont les postes de travail | OUI | Chaque salarié dispose d’un identifiant et mot de passe pour accéder à son poste de travail. Celui-ci a pour consigne de ne pas le divulguer et de verrouiller sa session quand il n’est plus physiquement présent sur son poste. Les accès font l’objet d’un chiffrement et hachage. |
Protection des sites web | OUI | Accès sécurisé en HTTPS. |
Sauvegarde des données | OUI | Sauvegarde des données quotidienne effectuée localement sur un serveur d’INFO DECISION (le PRESTATAIRE) et sur un disque externe. |
Maintenance | OUI | La maintenance des serveurs et postes de travail est effectuée par une société d’infogérance (NowTeam). |
Contrat de sous-traitance | OUI | 1 (un) seul sous-traitant (NowTeam). |
Sécurisation des canaux informatiques | OUI | Aucun accès de l’extérieur au réseau de l’entreprise n’est possible sauf à partir d’un VPN. |
Sécurité physique | OUI | L’accès aux locaux de la société se fait par un code d’accès puis par un badge. Une société de télésurveillance assura la sécurité en dehors des horaires de bureau. |