Contrat de sous-traitance Législation Européenne RGPD
Contrat de sous-traitance Législation Européenne RGPD
La société :……………………………………………………………
Adresse :………………………………………………………………
………………………………………………………………………….
« Le responsable de traitement ») D’une part,
ET
ESPACE TECHNOLOGIE 26 rue du Bois Fossé 85300 CHALLANS
« Le sous-traitant »)
…………………………………………………………………………. D’autre part,
Parc d’Activités Schweitzer | 00 xxx xx Xxxx Xxxxx - XX 000 x
00000 XXXXXXXX Xxxxx | Tél. 00 00 00 00 00 | Fax 00 00 00 00 00
xxx.xxxxxx-xxxxxxxxxxx.xxx | xxxxxxx@xxxxxx-xxxxxxxxxxx.xxx
Organisme de formation n° 52850059385 - SARL au capital de 38 500 € - Siret : 38979357100024 - APE : 4741Z - RCS La Roche sur Yon B389793571
1. Objet
Le présent contrat de sous-traitance s’inscrit dans le cadre des relations contractuelles entre les parties en prévision de l’évolution de la règlementation sur les données personnelles en vigueur du traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à compter du 25 mai 2018 (ci-après,
« le règlement européen »)
Le présent contrat a pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après. Le client (responsable de traitement déclare avoir pris connaissance des conditions générales de vente et de services disponible sur le site xxxxx://xxx.xxxxxx-xxxxxxxxxxx.xxx/xxxxxxxxxx-xxxxxxxxx-xx-xxxxx/.
2. Description du traitement
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le(s) service(s) suivant(s):
- Traitement de bases de données
o Modification de structure de bases de données
o Transfert de bases de données
o Réparation de bases de données
o Concaténation de bases de données
- Réparation de matériels informatiques
o Transport du matériel contenant des données personnelles
o Intervention sur site ou en atelier
o Renvoi du matériel chez le constructeur
- Mise en fonction de formulaires Web
o Mise en forme de formulaires
o Stockage de données issues des formulaires
- Opération Webmarketing
o Emailings
o Newsletters
o Envois d’informations
Pour l’exécution du service, objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes
3. Date d’entrée en vigueur et durée du contrat
Le présent contrat entrera en vigueur le 25 Mai 2018 Pour une durée de 60 mois.
4. Obligations du sous-traitant
4.1 Respect des instructions du responsable de traitement
Il incombe au sous-traitant de traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.
En outre, le sous-traitant s’engage à traiter les données conformément aux instructions documentées du responsable de traitement. Le responsable de traitement devra remplir l’avenant de sous traitance disponible sur xxxxx://xxx.xxxxxx-xxxxxxxxxxx.xxx/xxx- documents-rgpd/. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
4.2 Garantie de confidentialité
Le sous-traitant s’engage à garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat.
Il assure également que toutes les personnes autorisées à traiter les données à caractère personnel s’engagent bien à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
4.3 Obligations de formation du personnel
Le sous-traitant s’engage à ce que toutes les personnes autorisées à traiter les données à caractère personnel aient bien reçu la formation nécessaire en matière de protection des données à caractère personnel.
A ce titre, il s’engage à faire appliquer dès la conception de ses outils, applications ou services, les principes de protection des données personnelles au sein de son établissement.
4.4 Mise en place d’une sous-traitance
Le sous-traitant est autorisé à faire appel aux éditeurs des logiciels, constructeurs de matériel et sous-traitant des constructeurs et éditeurs concernés par le traitement des bases de données ou par la réparation de matériels stockant des données personnelles.
Dans ce cas, une autorisation sera demandée au responsable de traitement qui devra s’assurer que l’éditeur du logiciel, le constructeur de matériels ou leurs sous-traitants respectifs respectent eux-mêmes les règles RGPD.
Le sous-traitant est autorisé à faire appel aux prestataires Webmarketing pour la diffusion de messages par emails, sms et autres moyens de communication.
Dans ce cas, une autorisation sera demandée au responsable de traitement qui devra s’assurer que le prestataire respecte lui-même les règles RGPD.
En cas de recrutement d’autres sous-traitants postérieurs, le sous-traitant doit recueillir l’autorisation écrite, préalable et spécifique du responsable de traitement.
4.5 Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
4.6 Modalité d’exercice des droits des personnes
Le sous-traitant doit assister du mieux possible le responsable de traitement à remplir son obligation légale de donner suite aux demandes d’exercice des droits des personnes concernées. Ce droit est décomposé comme suit :
- Droit d’accès aux données ;
- Droit de rectification des données ;
- Droit de suppression des données ;
- Droit d’opposition au traitement des données ;
- Droit à la limitation du traitement ;
- Droit à la portabilité des données ;
- Droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à
Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par lettre recommandée avec accusé de réception. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
4.7 Obligations d’assistance du sous-traitant
Le sous-traitant assiste le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données concernant notamment les traitements de données « sensibles » ou présentant un risque particulier pour les droits des personnes concernées.
Le sous-traitant est également tenu de soutenir le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
4.8 Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
Le transport des données à caractère personnelles se feront à l’aide de supports chiffrés (Clés, disques durs chiffrés) ou par plateforme de transfert sécurisée chiffrée.
Le stockage des données à caractère personnel se fera sur notre système d’informations dans un répertoire chiffré et sauvegardé.
Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Dans le cas de matériel confié stockant des données personnelles, le responsable de traitement aura préalablement chiffré (crypté) les données. Dans le cas contraire le responsable de traitement préviendra par écrit le sous-traitant qui pourra refuser la prise en charge du matériel ou de la base de données.
4.9 Renvoi des données à la fin du contrat
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à renvoyer les données à caractère personnel au responsable de traitement, ou le cas échéant au sous-traitant désigné par le responsable de traitement.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant.
4.10 Information du Délégué à la protection des données (DPO)
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.
DPO Espace Technologie :
Xxxxxxx XXXXXXX : xxx@xxxxxx-xxxxxxxxxxx.xxx
4.11 C réation d’un Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
Les catégories de traitements effectués pour le compte du responsable du traitement ;
Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres celles prévues à l’article
4.9 Mesures de sécurité.
4.12 Mise à disposition d’une Documentation
Le sous-traitant met à la disposition du responsable de traitement, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation et la contribution aux d'audits par le responsable du traitement ou un autre auditeur, qu'il aurait le cas échéant mandaté pour cette mission.
5. Obligations du responsable de traitement envers le sous-traitant
Le responsable de traitement s’engage à :
- Fournir au sous-traitant des données chiffrées (cryptées) visées à l’article II Description du traitement du présent avenant ;
- Documenter par écrit toute instruction et directive envers le sous-traitant concernant le traitement des données par le sous-traitant dans un document spécifique annexé au présent contrat ;
- Veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen de la part du sous-traitant ;
- Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.
-
Date :…………………………..
Le sous-traitant Le responsable de traitement
Espace Technologie Société :……………………….
Représenté par ………………. Représenté par ………………
……………………………….. ………………………………….
(Signature – Lu et approuvé) (Signature – Lu et approuvé)