ACCORD DE SOUS-TRAITANCE DU TRAITEMENT DE DONNEES A CARACTERE PERSONNEL
ACCORD DE SOUS-TRAITANCE DU TRAITEMENT DE DONNEES A CARACTERE PERSONNEL
Le présent Accord de Sous-traitance fait partie intégrante du contrat portant sur des prestations de Service d’Online conclu entre le Client et Online S.A.S. (« Contrat »).
Aux fins de la réalisation et de l’exécution du Contrat, des Données à Caractère Personnel au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») pourront être communiquées à Online et/ou celle-ci pourra y avoir accès.
Le présent Accord de sous-traitance a pour objet de définir les conditions dans lesquelles Online s’engage à effectuer, aux seules fins de la stricte exécution du Contrat, pour le compte exclusif du Client et pendant la seule durée du Contrat, les opérations de Traitement des Données à Caractère Personnel. Les Parties s’engagent dès à présent à respecter la Réglementation relative à la Protection des Données.
Dans le cadre du Contrat, le Client agit en qualité de responsable du traitement au sens du RGPD, en ce qui concerne les Données à Caractère Personnel et Online agit en qualité de sous-traitant au sens du RGPD.
Le Client s’est assuré, sur la base des informations fournies par Online et des autres informations à sa disposition, que Online présente des garanties suffisantes, notamment en termes d’expérience, de ressources, de capacités et de fiabilité, afin de mettre en œuvre les mesures techniques et organisationnelles nécessaires pour que le Traitement des Données à Caractère Personnel prévu par le Contrat soit effectué de manière conforme à la Réglementation relative à la Protection des Données.
Online déclare et garantit qu’elle a mis en œuvre l’ensemble des mesures techniques et organisationnelles nécessaires afin que le Traitement des Données à Caractère Personnel soit effectué conformément à la Réglementation relative à la Protection des Données, y compris le RGPD.
Article 1 - Définitions
En sus des termes et expressions définis dans le présent Accord de Sous-traitance (« Accord de Sous- traitance »), les termes et expressions « Organisation Internationale », « Délégué à la Protection des Données » et « Violation des Données à Caractère Personnel » ont la même signification que celle qui leur est attribuée dans le RGPD. En outre, les termes et expressions suivants ont la signification indiquée ci-après, qu’ils soient employés au singulier ou au pluriel :
« Données à Caractère Personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale qui pourront être communiquées ou mises à disposition dans le cadre de la réalisation et l’exécution du Contrat ;
« Mesures de Sécurité » désigne les mesures de sécurité prévues par la Réglementation relative à la
Protection des Données ainsi que toute autre obligation prévue par ladite Réglementation afin de garantir la sécurité et la confidentialité des Données à Caractère Personnel, y compris les activités devant être exécutées en cas de Violation des Données à Caractère Personnel, notamment afin d’éviter ou de réduire les effets néfastes de la Violation des Données à Caractère Personnel sur les Personnes Concernées ;
« Préposé » désigne les salariés, personnes mandatées ou toute autre personne physique habilitée à exécuter des opérations de Traitement des Données à Caractère Personnel communiquées ou mises à disposition par Online et/ou ses éventuels Sous-traitants Ultérieurs ;
« Personne Concernée » désigne les personnes physiques identifiées ou identifiables auxquelles les Données à Caractère Personnel font référence ;
« Réglementation relative à la Protection des Données » désigne le RGPD, la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et ses évolutions successives (« Loi Informatique et Libertés »), la Directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électronique du 12 juillet 2002, ainsi que l’ensemble des dispositions législatives, réglementations, lignes directrices, opinions, certifications, agréments, recommandations ou décisions de justice définitives relative à la protection des données à caractère personnel applicable au Traitement des Données à Caractère Personnel, déjà en vigueur ou qui entrera en vigueur pendant la durée du présent Accord de Sous-traitance, y compris les mesures, lignes directrices et avis du Groupe de Travail visé par l’article 29 de la Directive 95/46/CE du Comité européen relative à la Protection des Données visés par les articles 63 et suivants du RGPD et de toute autre autorité compétente. En cas de contradiction entre la Loi Informatique et Libertés, le RGPD et/ou les mesures adoptées par les autorités compétentes dans la mise en œuvre de ceux-ci, les dispositions du RGPD et les mesures adoptées aux fins de sa mise en œuvre prévaudront.
« Traitement(s) » désigne le ou les traitements de Données à Caractère Personnel au sens du RGPD, confié(s) à Online dans le cadre du Contrat et décrit(s) au présent Accord de Sous-traitance.
Article 2 - Traitement(s) faisant l’objet de la Sous-Traitance
2.1 Le Traitement effectué par Online aux fins du présent Accord de Sous-traitance portera uniquement sur les types de Données à Caractère Personnel et les catégories de Personnes Concernées définies par le Client.
2.2 Online s’engage à garantir la confidentialité des Données à Caractère Personnel et à ce que tout Préposés et Sous-traitants Ultérieurs autorisés à traiter les Données à Caractère Personnel en vertu du présent Accord de Sous-traitance, respectent la confidentialité des Données à Caractère Personnel. L’obligation de confidentialité des Données à Caractère Personnel restera en vigueur cinq ans à compter de l’expiration du Contrat.
Article 3 - Nature, finalités et modalités du Traitement
3.1 Online, en qualité de Sous-Traitant du Traitement, s’engage, à ses frais, à :
a) traiter les Données à Caractère Personnel dans le but exclusif d’exécuter le Contrat dans les limites et selon les modalités stipulées dans celui-ci, le présent Accord de Sous-traitance et la Réglementation relative à la Protection des Données ;
b) ne pas définir de manière indépendante les modalités de Traitement des Données à Caractère Personnel et à ne pas agir en qualité de responsable indépendant du Traitement en relation avec celles-ci ;
c) respecter scrupuleusement les instructions écrites communiquées par le Client et à informer ce dernier si elle considère qu’une instruction enfreint la Réglementation relative à la Protection des Données ou, plus généralement, la législation applicable ;
d) traiter exclusivement les Données à Caractère Personnel qui sont strictement nécessaires à l’exécution du Contrat ou au respect des obligations légales ;
e) traiter les Données à Caractère Personnel de manière licite, et conformément au Contrat, au présent Accord de Sous-traitance et aux exigences fixées par la Réglementation relative à la Protection des Données ;
f) signaler au Client les éventuelles exigences de modification, de mise à jour, de correction ou de suppression des Données à Caractère Personnel et s’engager à mettre à jour, à modifier, à corriger ou à supprimer à la demande du Client ;
g) assister le Client et collaborer avec lui en cas de demande formulée par les autorités compétentes, les Personnes Concernées et afin de se conformer aux obligations nées de la Réglementation relative à la Protection des Données ;
h) mettre à la disposition du Client toutes les informations en sa possession, nécessaires afin de démontrer que celle-ci respecte les obligations visées par la Réglementation relative à la Protection des Données.
3.2 Il est expressément interdit à Online d’utiliser tout ou partie des Données à Caractère Personnel, à quelque fin que ce soit, pour son propre compte ou le compte d’un tiers, que ce soit pendant la durée du Contrat ou après son terme.
Article 4 - Registre des activités relatives au Traitement
4.1 Conformément à l’article 30, paragraphe 2, du RGPD, Online s’engage à tenir un registre distinct, actualisé en permanence, concernant toutes les catégories d'activités relatives au Traitement des Données à Caractère Personnel effectuées pour le compte du le Client. Celui-ci comportera :
a) le nom et les coordonnées d’Online et de ses Sous-traitants Ultérieurs, ceux du Client et, le cas échéant, du Délégué à la Protection des Données du Client et d’Online ;
b) les catégories des Traitements effectués pour le compte du Client ;
c) le cas échéant, les transferts de Données à Caractère Personnel vers un pays tiers ou à une Organisation Internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, du RGPD, les documents attestant de l'existence des garanties
appropriées imposées par l’article 49 du RGPD ; et
d) une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1, du RGPD y compris entre autres, selon les besoins:
i) la pseudonymisation et le chiffrement des Données à Caractère Personnel;
ii) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
iii) des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
iv) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
4.2 Online s’engage à fournir sans délai au Client une copie du registre visé à la clause 4.1 à la demande de celui-ci et/ou des autorités compétentes.
4.3 Online s’engage à fournir au Client toutes les informations relatives aux Traitements des Données à Caractère Personnel dont celui-ci a raisonnablement besoin afin de pouvoir établir son propre registre des activités, relatives aux traitements visés à l’article 30, paragraphe 1, du RGPD.
Article 5 - Obligations relatives aux Préposés
5.1 Online s’engage à faire en sorte que les Préposés aient exclusivement accès aux Données à Caractère Personnel qui sont strictement nécessaires à l’exécution du Contrat ou afin d’exécuter les obligations légales et Traitent exclusivement ces Données à Caractère Personnel, dans tous les cas, dans les limites et les termes du présent Accord de Sous-traitance, du Contrat et de la Réglementation relative à la Protection des Données.
5.2 Online s’engage également à n’autoriser le Traitement des Données à Caractère Personnel qu’aux Préposés qui :
a) de par leur expérience, leurs capacités et leur formation s’avèrent aptes à garantir le respect de la Réglementation relative à la Protection des Données et qui doivent y accéder afin d’exécuter le Contrat ;
b) ont suivi au moins une fois par an une formation sur les obligations fixées par la Réglementation relative à la Protection des Données ;
c) ont été désignés par écrit en tant que Préposés aux opérations de Traitement ;
d) obligés, par écrit, à respecter des obligations de confidentialité strictes pendant le Traitement des Données à Caractère Personnel
et à veiller scrupuleusement à la bonne exécution, par les Préposés, des instructions reçues ainsi que des obligations leur incombant.
5.3 Online s’engage à établir des mesures physiques, techniques et organisationnelles destinées à faire en sorte que :
a) chaque Préposé puisse avoir accès exclusivement aux Données à Caractère Personnel pouvant faire l’objet d’un Traitement en fonction de l’autorisation dont ce Préposé dispose, compte tenu de l’activité que celui-ci doit accomplir dans le cadre du Contrat ;
b) les éventuels Traitements de Données à Caractère Personnel constituant un manquement au regard du présent Accord de Sous-Traitance, du Contrat et/ou de la Réglementation relative à la Protection des Données soient sans délai identifiés et signalés au Client, y compris selon la procédure et dans les délais visés à l’Article 8 en cas de Violation des Données à Caractère Personnel ; et
c) à l’extinction du Contrat ou de la mission confiée au Préposé, le Préposé cesse immédiatement le Traitement des Données à Caractère Personnel et s’abstient de conserver de quelconques copies des Données à Caractère Personnel sous quelque forme que ce soit, notamment au format électronique ou papier.
Article 6 - Sous-traitants Ultérieurs
6.1 Online ne pourra faire appel à un autre sous-traitant (« Sous-traitant Ultérieur ») que pour mener des activités de Traitement spécifiques. A la demande du Client, Online lui transmettra une liste des Sous-traitants Ultérieurs intervenant dans le cadre du Contrat et l’informera en cas de modification de ces Sous-traitants Ultérieurs.
6.2 Online veille à ce que chaque Sous-traitant Ultérieur présente des garanties adéquates au regard de la Réglementation relative à la Protection des Données eu égard aux mesures techniques et organisationnelles adoptées pour le Traitement des Données à Caractère Personnel et s’assure que chaque Sous-traitant Ultérieur cesse immédiatement le Traitement des Données à Caractère Personnel si ces garanties viennent à faire défaut. Si un Sous-traitant Ultérieur ne remplit pas ses obligations en matière de protection des Données à Caractère Personnel, Online demeure pleinement responsable devant le Client de l’exécution par le Sous-traitant Ultérieur de ses obligations.
6.3 Online s’assure que chaque Sous-traitant Ultérieur est soumis à des obligations de confidentialité adéquates et qu’il s’engage à respecter les obligations du présent Accord de Sous-traitance pour le compte et selon les instructions du Client, par un accord écrit ayant un contenu similaire à celui de l’Accord de Sous-traitance.
Article 7 - Mesures de sécurité
7.1 Online s’engage à adopter des Mesures de Sécurité conformes aux dispositions de la Réglementation relative à la Protection des Données et au présent Accord de Sous-traitance.
7.2 Plus particulièrement, Online, compte tenu de la situation actuelle, des coûts de mise en œuvre, et de la nature, de l’objet, du contexte et des finalités du Traitement des Données à Caractère Personnel, ainsi que du risque que le Traitement présente pour les droits et libertés des
personnes physiques et de la probabilité et de la gravité de ce risque, s’engage à mettre en œuvre des mesures techniques et opérationnelles adéquates afin de garantir un niveau de sécurité approprié au risque lié au Traitement des Données à Caractère Personnel, y compris, le cas échéant, les mesures prévues à l’article 32, paragraphe 1, du RGPD. Dans tous les cas, Online s’engage :
a) à adopter, à titre d’exigence minimum, l’ensemble des mesures techniques et organisationnelles imposées par la Réglementation relative à la Protection des Données ;
b) à conserver les Données à Caractère Personnel séparément des autres données traitées pour son compte ou celui de tiers, uniquement dans les lieux indiqués par le Client ; et
c) à envoyer à la demande du Client des informations relatives notamment aux mesures physiques, organisationnelles et techniques adoptées pour le Traitement des Données à Caractère Personnel par Online et ses propres Sous-traitants Ultérieurs éventuels, ainsi que toute autre information complémentaire éventuellement demandée par le Client en relation avec les mesures physiques, techniques et organisationnelles mises en œuvre en lien avec le Traitement des Données à Caractère Personnel.
Article 8 - Violation des Données à Caractère Personnel
8.1 En cas de Violation des Données à Caractère Personnel, d’incidents susceptibles de compromettre la sécurité des Données à Caractère Personnel (par exemple : perte, dommage ou destruction des Données à Caractère Personnel, quel que soit le support ou format (papier, électronique ou autre), accès non autorisé de tiers aux Données à Caractère Personnel ou toute autre Violation des Données à Caractère Personnel), y compris de Violations des Données à Caractère Personnel découlant de la conduite des éventuels Sous-traitants Ultérieurs et/ou des Préposés d’Online, Online :
a) informera sans délai le Client après en avoir pris connaissance, au moyen d’une notification transmise par courriel à l’adresse de contact du Client et lui fournir les informations utiles afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente ; et
b) en collaboration avec le Client, adoptera immédiatement et, quoi qu'il en soit, sans retard injustifié, toute mesure s’avérant nécessaire afin de minimiser les risques de toute nature pesant sur les Données à Caractère Personnel et découlant de la Violation de celles-ci et mettra en œuvre toute opération éventuellement nécessaire afin de remédier à la Violation des Données à Caractère Personnel pour en atténuer les possibles effets néfastes et en rechercher la cause.
8.2 Aux fins du présent Accord de Sous-traitance, Online déclare et garantit que lui-même et ses éventuels Sous-traitants Ultérieurs ont adopté des mesures techniques et organisationnelles de nature à rendre improbable le risque qu’une éventuelle Violation des Données à Caractère Personnel menace les droits et libertés des Personnes Concernées correspondantes, y compris au moyen de technologies telles que le chiffrement qui rendent incompréhensibles les Données à Caractère Personnel à toute personne non autorisée à y accéder.
8.3 Online s’engage à tenir un registre énumérant les Violations de Données à Caractère Personnel
relatives aux Données à Caractère Personnel objets du présent Accord de Sous-traitance, les circonstances y associées, leurs conséquences, les mesures adoptées afin d’y remédier ainsi que tout manquement commis au regard du présent Accord de Sous-traitance.
Article 9 - Droits des Personnes Concernées
Online s’engage à collaborer avec le Client dans une mesure raisonnable afin de garantir la satisfaction, dans les délais et selon les modalités fixés par la loi, des demandes d’exercice de droits des Personnes Concernées prévus par la Réglementation relative à la Protection des Données, et plus généralement, afin de garantir le plein respect de la Réglementation relative à la Protection des Données. À cet égard, Online s’engage à informer le Client, de toutes demandes d’exercice de droits formulées par les Personnes Concernées en question.
Article 10 - Communication et transfert des Données à Caractère Personnel
Online s’engage, dans le cadre du Traitement objet du présent Accord de Sous-traitance,
a) à s’abstenir de diffuser ou de communiquer les Données à Caractère Personnel à des tiers, y compris d’éventuels Sous-traitants Ultérieurs, à moins que la Réglementation applicable ou le Contrat ne le prévoie expressément ou que le Client l’y autorise par écrit ; et
b) à s’abstenir de transmettre, diffuser ou stocker des Données à Caractère Personnel dans un pays tiers à l’Union Européenne, sans accord préalable et exprès du Client. Si Online est tenu de procéder à un transfert de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle doit en informer le Client avant le traitement et justifier du caractère impératif de cette obligation, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
Article 00 - Xxxxxxxx
11.1 Online s’engage à fournir au Client, sur demande de celui-ci, tout document raisonnablement nécessaire afin de s’assurer qu’elle se conforme aux obligations nées du présent Accord de Sous- traitance.
11.2 Online reconnaît que le Client pourra, à ses frais, faire évaluer par un tiers de confiance, reconnu en tant qu’auditeur indépendant des Parties et désigné par Online, les mesures organisationnelles, techniques et de sécurité adoptées par Online dans le cadre du Traitement des Données à Caractère Personnel, dans les conditions qui seront définies par Online et le Client et dans la limite du maintien des Services et de la confidentialité et sécurité des autres clients d’Online.
Article 12 - Rémunération
Le Client reconnaît et accepte expressément que Online pourra être rémunéré au titre de l’activité de Sous-Traitant du Traitement exécutée par ses soins et ceux de ses Sous-traitants Ultérieurs dans le cadre du présent Accord de Sous-traitance.
Article 13 - Fin du Contrat
Au terme du Contrat pour quelque motif que ce soit, Online veillera à cesser immédiatement tout Traitement des Données à Caractère Personnel et à supprimer les Données à Caractère Personnel ainsi que les éventuelles copies de celles-ci, tant au format électronique qu’au format papier, des systèmes informatiques, des archives ou de tout autre lieu ou dispositif où celles-ci sont stockées, dans un délai de dix jours ouvrés, sauf si la conservation des Données à Caractère Personnel est imposée par la législation applicable, auquel cas cette conservation devra s’inscrire uniquement dans les limites strictement prévues par cette dernière. Il incombe donc au Client de s’assurer de la conservation de ses Données à Caractère Personnel préalablement au terme du Contrat.