CONTRAT DE TRAITEMENT DE DONNÉES

CONTRAT DE TRAITEMENT DE DONNÉES

DANS LE CADRE DES PRESTATIONS DE KEYRUS

(ci-après le « CTD »)

Mai 2022

Le présent CTD définit les conditions générales de traitement des Données à caractère personnel qui s’appliquent dans le cadre du Contrat : le Client est Responsable du traitement et KEYRUS est Sous-traitant.

Le CTD entre en vigueur à compter de la date d’effet du Contrat et restera en vigueur tant qu’un Contrat lie les Parties.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de Données à caractère personnel notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD ») ainsi que toute réglementation nationale applicable (ci-après la « Réglementation »).

ARTICLE 1 - DÉFINITIONS

Tous les termes du CTD avec une lettre majuscule sont définis comme suit :

« Client » désigne le client ayant signé un Contrat avec KEYRUS, société anonyme, au capital de 4 319 467,50 €, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro 400 149 647, et dont le siège social est situé au 000 xxx Xxxxxxx Xxxxxx 00000 Xxxxxxxxx-Xxxxxx, ou l’une de ses filiales, entendu comme toute société contrôlée par KEYRUS, au sens de l’article L233-1 du code de commerce.

« Contrat » désigne tout document contractuel conclu entre les parties, notamment : un contrat autonome ;

un contrat-cadre ;

un contrat d’exécution ou d’application ; ou des conditions générales ;

un bon de commande ou une commande.

« Données à caractère personnel » ou « Données » désignent toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « Personne concernée »); est réputée être une

« personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirecte- ment, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Données sensibles » désignent les Données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orienta- tion sexuelle d'une personne physique, ainsi que les données à caractère personnel relatives aux condamna- tions pénales, aux infractions ou aux mesures de sûreté.

« Responsable du traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désigna- tion peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

« Responsables conjoints du traitement » désignent deux responsables du traitement ou plus qui déter- minent conjointement les finalités et les moyens du traitement.

« Sous-traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre orga- nisme qui traite des Données à caractère personnel pour le compte du responsable du traitement.

« Traitement » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

« Violation de Données » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

ARTICLE 2 - DOCUMENTS CONTRACTUELS

Les documents contractuels formant le CTD sont par ordre de priorité décroissante : Les présentes conditions ;

L’annexe « Description du traitement de données »

En cas de contradiction entre une et/ou plusieurs dispositions figurant dans des documents différents, le document de rang supérieur prévaudra. En cas de contradiction entre une et/ou plusieurs dispositions figurant dans un document de même rang, le document le plus récent prévaudra.

Par ailleurs, il est expressément convenu entre les parties que le présent CTD forme l’intégralité des docu- ments contractuels entre les parties concernant la protection des Données. Seul un avenant ou les disposi- tions d’un contrat, convenu d’un commun accord entre les parties mentionnant explicitement la non-appli- cation du CTD, peuvent modifier le CTD.

Le CTD peut être modifié par XXXXXX à tout moment, afin de tenir compte notamment des recommandations de la CNIL, des évolutions relatives à la loi, de la jurisprudence, des techniques informatiques et plus générale- ment en fonction de toute évolution des technologies de l’information et de la communication. XXXXXX informera le Client par tout moyen de la modification du CTD.

ARTICLE 3 - TRAITEMENT DES DONNÉES

XXXXXX s'engage à traiter les Données conformément aux instructions écrites du Client. Le Client s’engage à (i) fournir à KEYRUS les informations qui lui sont nécessaires afin de respecter la Réglementation, à (ii) documenter par écrit toute instruction concernant le traitement des Données par XXXXXX, à (iii) s’assurer que KEYRUS n’aura pas accès pendant toute la durée définie à l’Annexe 1 « Description du traitement de Données » du présent CTD à des Données à caractère personnel autres que celles visées dans ladite annexe, et à (iv) s’assurer que KEYRUS n’aura accès à aucun moment pendant toute la durée du traitement telle que définie à l’Annexe 1 « Description du traitement de Données » du présent CTD à des Données sensibles, sauf dispositions contraires dans le Contrat.

Dans l’hypothèse où le Traitement ne correspondrait pas à la description faite en annexe ou venait à être modifié (durée, finalité, type de Données, …), le Client s’engage à en informer XXXXXX et les Parties signe- ront d’un commun accord un avenant au CTD. Si le Traitement venait à évoluer sans que ladite évolution ne soit ratifiée par un avenant, quel qu’en soit la cause, seule la responsabilité du Client pourrait être retenue en cas de non-respect de la Réglementation.

XXXXXX se réserve le droit d’informer le Client si une instruction constitue selon elle une Violation de la Réglementation. Si le Client décide de tout de même poursuivre un tel Traitement de Données, seule la responsabilité du Client pourra être recherchée en cas de non-respect de la Réglementation et/ou de Viola- tion de Données et KEYRUS sera en droit de résilier le Contrat concerné de plein droit, sans pénalité, ni remboursement du Client ou autres frais, par l’envoi d’un courrier recommandé avec avis de réception.

Si le Client a un ou plusieurs Responsables conjoints du traitement, il s’engage à lui ou leur faire respecter les mêmes obligations que celles contenues dans le présent CTD. Il est solidairement responsable des Responsables conjoints en cas de Violation du présent CTD et/ou de la Réglementation.

KEYRUS, compte tenu de la nature des prestations objet du Contrat, n’a accès aux Données à caractère personnel du Client que pour les besoins de réalisation de sa mission et les utilise en l’état telles que com- muniquées par le Client.

En conséquence et pour répondre aux dispositions de l’article 28 du RGPD, il est convenu entre les Parties que XXXXXX apportera son support au Client pour le respect des articles 32 à 36 du RGPD dans les conditions suivantes :

KEYRUS respectera les mesures de sécurité visées au présent CTD.

Les obligations de disponibilité des Données et de résilience des systèmes sont assurées par le Client.

En cas d’analyse d’impact relative à la protection des Données à caractère personnel (PIA) du Client ou en cas de consultation préalable de l’autorité de contrôle, menée par le Client au cours du Contrat, le support de KEYRUS dans ce cadre se limitera à la fourniture des informations nécessaires relatives au(x) traitement(s) que KEYRUS effectue pour le compte du Client dans le cadre du Contrat.

Les Parties peuvent toutefois convenir dans le Contrat de prestations additionnelles d’accompagnement (élaboration d’un PIA, anonymisation, …) qui seront fournies conformément audit Contrat et par dérogation à cet article.

ARTICLE 4 - SÉCURITE ET CONFIDENTIALITÉ

Les Parties s’engagent à garder confidentielles les Données à caractère personnel, y compris en veillant à ce que leur personnel en lien avec le Traitement respecte cette obligation, ainsi que ses éventuels sous-traitants.

KEYRUS s’engage à respecter les mesures techniques et organisationnelles définies d’un commun accord entre les Parties conformément à l’article 32 du RGPD, afin de garantir la sécurité et la confidentialité des Données.

Les prestations de Xxxxxx étant réalisées dans l’infrastructure technique du Client qui est sous son contrôle, le Client s’engage à communiquer avant le démarrage des prestations et dans les meilleurs délais en cas de modifica- tion, les mesures de sécurité techniques et organisationnelles au personnel KEYRUS concerné par les prestations.

Compte tenu des Données à caractère personnel concernées et du traitement qui en est fait par XXXXXX, le Client reconnaît que ces mesures de sécurité permettent de préserver la sécurité, l’intégrité et la confidentiali- té de ses Données à caractère personnel et notamment d’empêcher qu’elles ne soient déformées, endomma- gées ou communiquées à des tiers non autorisés, conformément à la réglementation applicable.

Le Client ne communique à KEYRUS que les Données à caractère personnel strictement nécessaires à la finali- té du Traitement, conformément au principe de minimisation des Données.

Le Client s’engage, en fonction de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, et également en fonction des presta- tions effectuées par XXXXXX, à pseudonymiser ou chiffrer les Données à caractère personnel, le cas échéant, sans que cela n’affecte les prestations réalisées par XXXXXX et/ou à ne communiquer que des données tests, non réelles, et ce dans toute la mesure du possible.

Sauf si les Parties le prévoient autrement par le Contrat, le Client s’engage à effectuer des sauvegardes régu- lières des Données à caractère personnel, afin de garantir la disponibilité et l’accès à tout moment auxdites Données dans des délais appropriés en cas d’incident physique ou technique et qu’en cas de perte des Données à caractère personnel ces dernières puissent être restaurées sans frais supplémentaires pour KEYRUS.

ARTICLE 5 - VIOLATION DES DONNÉES À CARACTÈRE PERSONNEL

XXXXXX notifiera au Client toute Violation de Données dans les meilleurs délais après en avoir pris connais- sance, étant précisé que le Client est seul responsable de la notification éventuellement nécessaire auprès de l’autorité de contrôle compétente et/ou des personnes concernées.

La notification sera envoyée par courriel au Client.

ARTICLE 6 - SOUS-TRAITANCE

XXXXXX peut faire appel à un autre sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour réaliser une partie des prestations qui lui sont confiées, lequel pourrait avoir accès aux Données. Le Client accepte que XXXXXX sous-traite tout ou partie du Traitement de Données qui lui est confié. Dans ce cas, KEYRUS s’assurera que les obligations en matière de protection de Données en vigueur seront imposées à ce sous-traitant.

La signature du présent CTD vaut autorisation écrite générale de sous-traitance. Le Client est informé qu’il peut y avoir l’ajout ou le changement de sous-traitant au cours du Contrat. XXXXXX informera le Client au plus tard avant le démarrage de la prestation de l’existence de Sous-traitants ultérieurs. En cas de modification du Sous-traitant ultérieur pendant la prestation, XXXXXX informera le Client qui ne pourra s’opposer à cette nouvelle sous-traitance que pour justes motifs dans un délai de cinq (5) jours ouvrés après avoir eu l’information.

Le Client peut demander à tout moment la liste des sous-traitants ultérieurs à KEYRUS, qui la lui fournira dans les meilleurs délais à réception de la demande.

ARTICLE 7 - AUDIT & INSPECTION

KEYRUS permet au Client de mener, au maximum une (1) fois par an et aux frais du Client, un audit sur l’exécu- tion du Traitement et le respect des obligations imposées par le présent CTD, par des auditeurs faisant partie du personnel du Client ou des auditeurs tiers, sous réserve de l’obligation relative au secret professionnel et sous réserve du fait que les auditeurs ne soient pas des concurrents de KEYRUS.

En cas d’inspection, KEYRUS autorisera toute autorité administrative de contrôle à (i) inspecter toute installa- tion où les services sont exécutés ; (ii) surveiller et / ou auditer la conduite des services ou (iii) inspecter, audi- ter et / ou copier tous les documents, documents sources, produits de travail et licences requises, certificats et accréditations. XXXXXX veillera à ce que ses employés coopèrent avec l’autorité administrative de contrôle et fournira à l’autorité un accès rapide aux documents et installations demandés. Si possible, KEYRUS infor- mera le Client des inspections directement liées au Client. Si ceci est autorisé par l’autorité de contrôle, le Client aura le droit d'assister à toute inspection directement liée aux activités / services du Client. Le Client informera KEYRUS d'une inspection ayant un impact sur KEYRUS dans les deux (2) jours ouvrables. Les détails de l'inspection doivent être communiqués à temps par les deux parties pour assurer une bonne organisation de l'inspection.

Le Client informera KEYRUS de la réalisation de l’audit un (1) mois avant la réalisation de celui-ci. La notifica- tion d’information (i) délimitera le périmètre de l’audit, (ii) indiquera le planning de l’audit et (iii) indiquera le nom et les coordonnées de l’auditeur.

Les procédures d’accès aux locaux et système d’information seront communiquées par KEYRUS au Client qui devra les respecter et les faire respecter à l’auditeur, de même que les politiques internes notamment de sécurité de XXXXXX.

Le rapport d’audit sera adressé gratuitement à KEYRUS et ce dernier sera en droit de le contester.

Dans le cas où le rapport d’audit met en évidence des manquements dans l’exécution du CTD par XXXXXX, les Parties se rencontreront afin d’élaborer un plan d’action à mettre en œuvre.

L’audit devra, dans la mesure du possible, ne pas perturber l’activité de KEYRUS, ni celle de ses sous-traitants ultérieurs. Dans l’hypothèse où l’activité de XXXXXX serait perturbée, les Parties se rencontreront pour discuter desdites conséquences et prendre toutes les mesures notamment réparatrices qu’elles jugeront nécessaires.

Dans tous les cas, le Client devra rembourser à KEYRUS le temps qu’elle a consacré à cet audit ou le temps consacré par ses Sous-traitants ultérieurs selon les tarifs KEYRUS en vigueur, lesquels pourront être mis à la disposition du Client à sa demande.

L’audit et le rapport d’audit sont confidentiels.

ARTICLE 8 - TRANSFERT DE DONNÉES DANS UN PAYS TIERS

Le Client accepte que les Données traitées par XXXXXX puissent être transférées en dehors de l’Union Euro- péenne dans un pays tiers. XXXXXX informera le Client et, le cas échéant, effectuera au nom et pour le compte du Client toute formalité imposée par la Réglementation et notamment signera des clauses contractuelles types, au nom et pour le compte du Client qui lui donne mandat pour le faire.

Si KEYRUS est tenue de procéder au transfert de Données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'État membre auquel elle serait soumise, dans ce cas, elle informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information.

Les Parties s’engagent également à documenter ce transfert et, si demande en est faite, à être en mesure de communiquer les informations permettant de prouver le respect des obligations légales et réglementaires de ce transfert à la Personne concernée.

ARTICLE 9 - PERSONNES CONCERNÉES

Le Client s’engage à respecter les droits des personnes concernées dont les Données à caractère personnel sont transmises à KEYRUS.

Sauf disposition contraire prévue dans le Contrat, l’information et le consentement de la Personne concernée doivent être recueillis par le Client, en tant que Responsable de traitement.

Conformément à la Réglementation en vigueur, les personnes concernées disposent d’un droit d’accès, d’op- position, de rectification, d’effacement et le cas échéant, de limitation du traitement et de portabilité de leurs Données à caractère personnel.

Les demandes des personnes concernées souhaitant exercer les droits qui leur sont octroyés par la Régle- mentation seront exclusivement suivies et gérées par le Client.

En fonction de la nature du Traitement et dans la mesure du possible, XXXXXX peut aider le Client à s’acquitter de son obligation de donner suite aux demandes des Personnes concernées. L’aide fournie par XXXXXX ne doit pas avoir d’impact sur son activité ou les prestations qu’elle fait pour le Client. En tout état de cause, ladite réalisation de l’assistance au Client par KEYRUS donnera lieu à une Prestation complémentaire et donc à une commande complémentaire ou un avenant au Contrat principal.

ARTICLE 10 - COOPÉRATION

Le Client devra coopérer à la demande de XXXXXX avec les autorités de Contrôle, et inversement.

Si un tribunal ou une Autorité de Contrôle intente une action à l’encontre d’une Partie, l’autre Partie s’engage à coopérer loyalement et avec diligence pour assister ladite Partie dans le cadre de cette action dans la mesure où cette dernière en ferait la demande.

ARTICLE 11 - LIMITATION DE RESPONSABILITÉ

En cas de faute de XXXXXX dans l’exécution de ses obligations contractuelles à l'égard du CLIENT, ce dernier sera en droit d’obtenir réparation du préjudice direct dont il apportera la preuve.

Dans l’hypothèse où la responsabilité de XXXXXX serait retenue au titre du CTD et sauf faute lourde, intention- nelle ou dol, le montant global cumulé des réparations qui pourraient être dû par KEYRUS au CLIENT est limité, tous faits générateurs confondus, à la plus faible des sommes suivantes : (i) deux fois le montant du Contrat ou (ii) un (1) million d’euros.

KEYRUS n'est en aucun cas responsable : (i) des dommages causés par l'inexécution du CLIENT de ses propres obligations contractuelles et légales (ii) des dommages indirects.

Le CLIENT est seul responsable de la nature et de la qualité des Données, documents et instructions qu’il utilise et/ou fournit à XXXXXX, ou qu’il lui confie pour traitement dans le cadre de l’exécution du CTD.

ARTICLE 12 - FIN DU TRAITEMENT

Au terme de la durée du Traitement définie dans l’Annexe 1 « Description du traitement de Données » du CTD, à défaut de dispositions spécifiques dans le Contrat, KEYRUS détruira toutes les Données en sa possession dans les meilleurs délais, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation desdites Données.

ANNEXE 1 : DESCRIPTION DU TRAITEMENT DE DONNÉES

Délégué à la protection des Données personnelles (DPD ou DPO) de KEYRUS : Xxxxxx.XxxxXxxxxxxxxx@xxxxxx.xxx

XXXXXX est autorisée à traiter pour le compte du CLIENT les Données nécessaires pour fournir les prestations dont les modalités sont définies entre les Parties par Contrat séparé.

La durée du Traitement est la durée de fourniture des prestations.

La nature des opérations réalisées sur les Données est définie dans le Contrat.

Les finalités du Traitement sont celles en lien avec les prestations définies dans le Contrat. Les Données traitées sont celles en lien avec les prestations définies dans le Contrat.

Aucune Donnée sensible ne sera communiquée par le CLIENT à XXXXXX, sauf dispositions contraires dans le Contrat.

Les catégories de Personnes concernées sont celles relatives aux Données traitées par XXXXXX dans le cadre de ses prestations.

Pour les besoins de fourniture des prestations, le CLIENT autorise expressément KEYRUS à sous-traiter tout ou partie du Traitement objet des présentes, et ce pendant toute la durée du Traitement décrit ci-dessus.