Accord de Traitement de Données Personnelles
Accord de Traitement de Données Personnelles
1. PREAMBULE
L’objet de cet Accord de traitement de Données Personnelles (ci-après "l’Accord") est de définir les obligations réciproques des Responsables de traitement et Sous-traitant pour ce qui concerne le traitement des Données Personnelles mises à disposition du Sous-traitant par le Responsable de traitement dans le cadre du contrat de prestations de services qui les lie.
Le Sous-traitant s’engage à se conformer aux clauses contenues dans cet Accord comme aux dispositions du Règlement Général sur la Protection des Données Personnelles dans le cadre des Opérations de traitement de Données Personnelles effectuées par ce dernier à la demande du Responsable de traitement.
Cet Accord comporte quatre annexes :
Annexe 1 : Catégories et types de Données personnelles
Annexe 2 : Liste des Sous-traitants agréés
Annexe 3 : Lieux de stockage des Données personnelles
Annexe 4 : Mesures de sécurité informatique complémentaires
Les obligations de chacune des Parties s’appliquent également à ses propres Affiliés.
2. DEFINITIONS ET INTERPRETATION
“Affilié” désigne toute entité ou association contrôlé ou sous l’influence de l’une des Parties étant entendu que, dans le cadre de cette définition, le terme de "contrôle" désigne (i) le fait de détenir plus de 50% (50%) des droits de vote de l’entité concernée ; (ii) the le droit de nommer, directement ou indirectement, d’élire ou de révoquer les administrateurs ou (iii) le droit de nommer les dirigeants exécutifs.
“Disposition relative à la Protection des Données" renvoie à tout texte de loi, de nature nationale ou étrangère et ce, y compris les textes en vigueur au sein de l’Union Européenne, de l’Espace Economique Européen et des Etats membres, traités, et/ou régulations applicables au traitement des données personnelles concernées par cet Accord.
“Société sœur” renvoie à toute entité ou association contrôlé ou sous l’influence de la même société mère que le Responsable de traitement. Dans ce contexte, le terme de "contrôle" est utilisé tel que défini au paragraphe 2.1. La société mère est incluse par la définition du terme "Affilié".
“Responsable de traitement” désigne toute entité légale fixant la finalité et les moyens mis en œuvre dans le cadre d’Opérations de traitement de Données Personnelles.
“Sous-traitant” désigne toute entité légale qui traite des Données Personnelles pour le compte du responsable de traitement.
“Personne Concernée” désigne la personne auxquelles les Données Personnelles se rapportent.
“Droit d’accès aux Données” désigne toute demande exprimée par la Personne Concerné d’accéder, de corriger, d’effacer, de restreindre l’utilisation le traitement ainsi que, le cas échéant, le droit à la portabilité des Données Personnelles.
“Date de prise d’effet” renvoie à la date de signature des présentes.
“Données Personnelles” signifie toute information (directe ou indirecte) permettant d’identifier la Personne Concernée et transmise par le Responsable de traitement au Sous-traitent dans l’objectif de réaliser pour son compte certaines Opérations de traitement.
“Fuite de Données Personnelles” désigne tout incident de sécurité se traduisant par la destruction accidentelle ou illégale, la perte, la modification, la divulgation non-autorisée de toute Donnée Personnelle transmise, stockées ou processée.
“Opération de traitement” renvoie à toute opération ou groupe d’opérations de traitement de Données Personnelles, y compris la collecte, l’enregistrement, l’organisation, le fait de structurer, de stocker, d’adapter, de modifier, de mettre à jour, de télécharger, de consulter, d’utiliser, de diffuser par tout moyen de distribution ou de mettre à disposition sous une quelconque forme, de combiner entre elles, de mettre en lien, de restreindre, de bloquer, d’effacer ou de détruire des Données Personnelles. Les termes de “Process”, “Processus” et “Processé” ont la même signification.
“Service” renvoie au service rendu par le Sous-traitant au Responsable de traitement dans le cadre du ou des contrat(s) qui les lie.
“Sous-traitant de rang 2” désigne une entité légale sollicitée par le Sous-traitant en vue de réaliser l’Opération de traitement. Dans un but de simplification, dans le cas où les Affiliés du Sous-traitant traitent des Données Personnelles fournies par le Responsable de traitement, ceux-ci sont considérés comme Sous-traitants de rang 2.
3. TRAITEMENT DE DONNEES PERSONNELLES
A l’occasion de services rendus au Responsable de traitement, le Sous-traitant peut être amené à traiter des Données Personnelles transmises par le Responsable de traitement.
Le Sous-traitant ne peut traiter les Données Personnelles
3.2.1. Seulement si elles sont en rapport avec la Personne Concernée et la /les finalité(s) telle(s) que décrite(s) en Annexe 1; et
3.2.2. Dans le strict respect du cadre fixé par le fait de rendre le Service convenu au Responsable de traitement (ou, le cas échéant, ses Affiliés); et
3.2.3. Seulement au cas où cela lui aurait été demandé par le Responsable de traitement ; et
3.2.4. D’une manière conforme aux termes de cet Accord et/ou de toute autre disposition règlementaires applicables au moment de la réalisation de cette Opération de traitement.
LE Sous-traitant doit s’assurer que le Traitement des Données Personnelles est effectué en priorité en France Métropolitaine ou l’un des pays reconnus par la Commission Européenne comme fournissant un niveau de protection des Données Personnelles adéquat (tel que décrit dans la Directive sur la protection des Données Personnelles).
Le Sous-traitant peut recourir des Sous-traitants de rang 2 conformément aux dispositions de la clause 6 ci-dessous.
4. DROITS DE LA PERSONNE
Au cas où le Sous-traitant recevrait une demande formulée par une Personne Concernée, le Sous-traitant devrait la transmettre immédiatement au Responsable de traitement, de sorte que ce dernier puisse la traiter sans délai.
Dans la mesure où celui est nécessaire au Responsable de traitement pour remplir ses obligations au regard du RGPD, le Sous-traitant doit, soit
4.2.1. Fournir au Responsable de traitement la capacité d’intervenir lui-même sur les Données Personnelles, pour autant que cette fonctionnalité soit compatible avec le Service rendu ou
4.2.2. Assumer lui-même cette tâche, en lui et place du Responsable de traitement, si cette fonctionnalité n’est pas compatible avec le Service rendu. Au cas où les Données Personnelles d’une Personne Concernée ne sont pas accessibles au Responsable de traitement au travers de la prestation de Services, le Sous-traitant sera tenu d’apporter de faire ses meilleurs efforts pour mettre rendre ces Données Personnelles accessibles au Responsable de traitement.
Au vu de la nature du Traitement, le Sous-traitant doit faire tout son possible pour permettre au Responsable de traitement de remplir ses obligations au regard du traitement des demandes formulées par les Personnes Concernées, telles que figurant au chapitre 3 du RGPD.
5. PERSONNEL
Le Sous-traitant doit s’assurer que ses collaborateurs
5.1.1. Traitent les Données Personnelles conformément aux instructions du Responsable de traitement
5.1.2. Reçoivent toute formation nécessaire concernant le traitement et la protection des Données Personnelles qu’ils manipulent ; et
5.1.3. Dont soumis à une obligation de confidentialité, qui se prolongera au-delà de la date d’expiration de cet Accord.
Le Sous-traitant doit prendre toute mesure commercialement acceptable afin de s’assurer que son personnel en charge dus Opérations de traitement est de confiance.
Le Sous-traitant doit s’assurer que l’accès aux Données Personnelles est limité aux seules personnes ayant ce besoin pour rendre le Service prévu.
6. SOUS TRAITANT DE RANG 2
Le Sous-traitant peut avoir recours à un ou plusieurs Sous-traitant de rang 2 afin de traiter des Données Personnelles à la condition que cela soit nécessaire au Sous-traitant pour réaliser les Opérations de traitement.
Le Sous-traitant doit s’assurer que chacun de ses Sous-traitants de rang 2 a signé un accord écrit lui faisant obligation de respecter un niveau de conformité au regard du RGPD au moins égal à celui fixé dans cet Accord. A sa demande, le Sous-traitant devra mettre à la disposition du Responsable de traitement une synthèse des accords de traitement de données signés dans ce cadre.
Le Sous-traitant sera tenu pour responsable des actes ou omissions de son propre fait comme de ceux commis par ses Sous-traitants de rang 2 et ce, dans les mêmes conditions que si ces actes ou omissions avaient été réalisés par le Sous-traitant lui-même.
Au cas où le Sous-traitant choisirait de recourir à un nouveau Sous-traitant de rang 2 et sous réserve des dispositions prévues à cet Accord, le Sous-traitant devra notifier sa décision au Responsable de traitement au moins 30 jours avant la date d’effet.
Le Responsable de traitement pourra s’opposer au recours à un nouveau Sous-traitant de rang 2, pour des raisons légitimes, transmises au plus tard dans les 14 jours suivants la notification mentionnée ci-avant. Au cas où le Sous-traitant choisirait de confirmer son choix pour un nouveau Sous-traitant de rang 2 en vue de traiter des Données Personnelles, le Responsable de traitement serait fondé à mettre un terme à la partie du contrat de services concernée, immédiatement ou dans un délai de 30 jours. La résiliation par le Responsable de traitement sur la base de ces dispositions emportera l’obligation pour le Sous-traitant de rembourser le Responsable de traitement, et à due concurrence, la fraction des honoraires correspondant à la période courant à partir de la date de résiliation (ou ses Affiliés).
Au cas où le Responsable de traitement approuverait le nouveau Sous-traitant de rang 2, l’annexe 2 de cet Accord sera mis à jour et soumise au Responsable de traitement.
Le fait pour le Sous-traitant de ne pas notifier un nouveau Sous-traitant de rang 2 au Responsable de traitement est constitutif d’une violation du contrat de services.
7. STOCKAGE ET SECURITE DES DONNES PERSONNELLES
Le Sous-traitant est responsable de prendre toute mesure administrative, organisationnelle, technique et physique dans l’objectif que les Données Personnelles ne peuvent être accidentellement ou illégalement détruites, perdues, modifiées ou portées à la connaissance de personnes non autorisées, mal utilisées ou traitées d’une manière non conforme à cet Accord ou aux dispositions du RGPD.
Le Sous-traitant ne pourra stocker les Données Personnelles que sur des serveurs tels que décrits à l’Annexe 3 de cet Accord (“Localisation des Data Centers”). Le Sous-traitant devra notifier toute modification de ces derniers au Responsable de traitement et, le cas échéant, le Sous-traitant devra mettre à jour l’Annexe 3 en conséquence.
Le Sous-traitant doit, en sus des clauses ci-dessus, maintenir le niveau de sécurité tel que décrit en Annexe 4 de cet Accord. Le Responsable de traitement sera fondé à exiger des changements à apporter à l’Annexe 4 et les Parties devront, loyalement et en toute bonne foi, discuter et convenir ensemble des modifications à apporter en la matière.
8. GESTION DES VIOLATIONS DE SECURITE ET NOTIFICATION
Dès qu’il aura connaissance d’une violation de sécurité, le Sous-traitant devra
8.1.1. Notifier sans délai la violation de sécurité impactant les Données Personnelles au Responsable de traitement ; et
8.1.2. Enquêter immédiatement sur l’étendue de ladite violation de sécurité et fournir, dans un délai maximum de 60 heures, toute information pertinente de nature à permettre au Responsable de traitement de notifier cette violation de sécurité à l’autorité en charge ainsi que la ou les Personnes Concernées ; et
8.1.3. Prendre toute mesure conservatoire nécessaire, dans l’objectif de limiter les dommages causés par cette violation de sécurité sur les Données Personnelles.
Sous la réserve des dispositions ci-dessus, le Sous-traitant devra assister le Responsable de traitement afin de lui permettre d’être en conformité avec les obligations découlant de l’article 32-34 du RGPD. Cette assistance sera fonction de la nature de l’Opération de traitement ainsi que des informations transmises au Sous-traitant.
9. AUTRES NOTIFICATIONS
Le Sous-traitant informera le Responsable de traitement de :
9.1.1. Toute réclamation déposée par une Personne Concernée ou une autre tierce personne concernant le traitement des Données Personnelles ; ou
9.1.2. Toute requête faite par l’administration ou une Personne Concernée d’obtenir des informations portant sur les Opérations de traitement de Données Personnelles réalisées par le Sous-traitant dans le cadre du contrat qui le lie au responsable de traitement.
En cas d’enquête ou de saisie de Données Personnelles réalisées par des agents publics, l’autorité en charge de la protection des Données Personnelles ou le pouvoir judiciaire, le Sous-traitant devra en informer sans délai le Responsable de traitement, sauf à ce que cela lui ait été interdit par le pouvoir judiciaire pour les besoins de son enquête.
Dans le cas où une loi s’appliquant au Sous-traitant, stipulerait que le Sous-traitant est tenu de traiter les Données Personnelles, le Sous-traitant devrait porter cette obligation légale à la connaissance du Responsable de traitement avant de réaliser cette Opération de traitement. Cela ne trouvera pas à s’appliquer s une disposition légale rend cette disposition non conforme à la loi.
Le Sous-traitant devra informer immédiatement le Responsable de traitement au cas où une opération de traitement serait, selon lui, non conforme à la loi.
10. DOCUMENTATION, CONFORMITE & AUDIT
Sur demande du Responsable de traitement, le Sous-traitant devra établir et/ou attester qu’il est conforme aux obligations découlant du RGPD et ce, y compris la documentation de la circulation des Données Personnelles au sein de son organisation et fournir les procédures y afférentes.
Le Sous-traitant devra mettre à la disposition du Responsable de traitement toute information nécessaire afin de démontrer qu’il se conforme aux dispositions de l’article 28 du RGPD et de cet Accord. A cet égard, le Sous-traitant collabore et contribue aux audits et participe aux inspections éventuellement diligentées par le Responsable de traitement.
En sus de ce qui précède, le Sous-traitant s’engage à assister le Responsable de traitement dans le but de lui permettre de démontrer qu’il se conforme à l’article 35-36 du RGPD. Cette assistance sera fonction de la nature de l’Opération de traitement ainsi que des informations transmises au Sous-traitant.
Sous réserve d’un préavis suffisant mais inférieur à 30 jours, le Responsable de traitement aura le droit de faire réaliser des audits de son Sous-traitant pour vérifier sa conformité à cet Accord.
Au cas où le Responsable de traitement, un régulateur ou une autorité administrative demanderait des informations supplémentaires à ce qui listé ci-dessus, celles-ci devraient être mises à la disposition du Responsable de traitement dans les meilleurs délais.
11. RESPONSABILITE
La responsabilité des Parties est régie par les conditions générales de vente qui régissent leurs rapports contractuels.
La responsabilité des Parties au regard des infractions à cet Accord est régie par les conditions générales de vente qui régissent leurs rapports contractuels.
12. DATE D’EFFET ET CESSATION
Cet Accord restera valide pendant toute la période pendant laquelle le Sous-traitant réalisera des Opérations de traitement de Données Personnelles pour le compte du Responsable de traitement (ci-après "le Terme").
Le Sous-traitant restera soumis aux obligations découlant de cet Accord aussi longtemps que le Sous- traitant réalisera des Opérations de traitement de Données Personnelles pour le compte du Responsable de traitement.
Au Terme, le Sous-traitant sera tenu, sur simple demande du Responsable de traitement d’effacer ou de restituer au Responsable de traitement toute Donnée Personnelle en sa possession, et de détruire toute copies dont la conservation ne serait pas fondée sur une obligation légale.
13. AUTRES DISPOSITIONS D’ORDRE GENERAL
Une ou plusieurs sociétés Affiliées pourront être ajoutées en tant que signataires de cet Accord (au moyen d’avenants signés entre les Parties) postérieurement à date de prise d’effet.
Chacune des Parties pourra porter cet Accord à la connaissance des Autorités pour autant que cela soit rendu nécessaire par une disposition légale ou requis par l’autorité en charge de la protection des Données Personnelles.
Cet Accord fait partie intégrante et ne s’oppose donc pas aux conditions générales de ventes qui lient les Patries à propos des Opérations de traitement. Pour ce qui concerne les dispositions continues dans cet Accord, et dans le cas d’incohérences entre ce dernier et d’autres textes signés entre les Parties (y compris les conditions générales de ventes applicables aux Opérations de traitement), les dispositions contenues dans cet Accord de traitement de données prévaudront sur tout autre texte.
Au cas où l’une quelconque de ces dispositions serait invalide ou impossible à mettre en œuvre, le reste de cet Accord resterait valide sans changement. La disposition invalide serait alors soit
13.4.1. Amendée en vue de restaurer sa validité ou son caractère opérant, tout en restant aussi fidèle que possible aux intentions initiales des Patries ou, si cela n’est pas possible,
13.4.2. Interprétée de telle sorte que celle-ci n’ait jamais été prévue. Ce qui précède s’appliquera également en cas d’omission.
Les mesures correctives prises par le Responsable de traitement consécutivement à toute violation, par le Sous-traitant, des termes de cet Accord seront assujetties aux mêmes limites de responsabilité que celles en vigueur au sein des conditions générales de ventes régissant les services de traitement de données.
Tout contentieux découlant de cet Accord sera de la compétence d’un tribunal arbitral ou de la juridiction de premier ressort compétente, en application du droit français.
14. RECLAMATIONS
En priorité l’utilisateur final contactera son Comité d’entreprise en charge et responsable du site internet de de l’application
Dans le cas où l’utilisateur final ne peut joindre son Comité d’entreprise ou que ce dernier ne donne pas réponse à ses demandes il est en droit de contacter ADMIN SAS en lui envoyant un email à
xxxxxxxxxx@xxxxx-xxxxxx.xxx ou en lui envoyant un courrier à
ADMIN SAS
47 RUE DE L’ALMA
00000 XXXXXXXXXX
ANNEXE 1 : CATEGORIES ET TYPES DE DONNEES PERSONNELLES
Nom de jeune fille Nom de famille Prénom
Adresse postale complète Date de naissance Situation matrimoniale Téléphone fixe et gsm Coordonnées bancaires Numéro de Sécurité Sociale
Nom, prénom et date de naissance des membres de la famille déclarées par la personne Revenu fiscal de référence
Email personnel et/ou professionnel Dates d’embauche et de départ
Type de contrat, Service et site de travail
Les données sensibles sont cryptées dans la base de données : Téléphone, gsm, coordonnées bancaires, numéro de Sécurité Sociale, informations fiscales
ANNEXE 2 : LISTE DES SOUS-TRAITANTS AGREES
Hébergement des serveurs
Les serveurs sont hébergés par la société ONLINE SAS, société par actions simplifiée au capital de 214 410,50 Euros, filiale du groupe Iliad, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro RCS PARIS B 433 115 904, numéro de TVA FR 35 433115904.
Représentée par Xxxxx Xxxxxxx et Xxxxxx Xxxxxxxxxx xx Xxxxxxxxxx
Maintenance et supervision des serveurs
La supervision des serveurs est assurée par la société Netsys 0 xxx xx XXXXXXXXXXX 00000 XXXXXXXXX
Siret : 48258279800039
Représentée par Jean-Xxxx XXXXXXX
ANNEXE 3 : LIEUX DE STOCKAGE DES DONNEES PERSONNELLES
Les données du Responsable de traitements sont stockées sur une ferme de serveurs loués par le Sous-traitant. Ces serveurs sont géographiquement obligatoirement situés en France Métropolitaine.
Ces serveurs sont accessibles uniquement par VPN sécurisé.
ANNEXE 4 : MESURES DE SECURITE INFORMATIQUE COMPLEMENTAIRES
Tous les mots de passe sont modifiés au moins une fois par an. Leurs longueurs sont de 21 caractères minimums. Les données du Client sont stockées dans une base de données distinctes des autres clients.
L’accès aux données des client est crypté à l’aide de certificat SSL