CONDITIONS GENERALES

CONDITIONS GENERALES

TRAITEMENT DES DONNÉES PERSONNELLES EN VERTU DU REGLEMENT UE 2016/679 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 27 AVRIL 2016

1-INTRODUCTION

1.1.Le Client a conclu un contrat avec COGNITIC (ci-après désigné le « Contrat »). Le présent document qui a valeur d’avenant au Contrat a pour objet d’informer le Client sur les obligations de COGNITIC en matière de traitement de données personnelles (RGPD). Le présent document entre en vigueur à compter du 25 mai 2018, date d’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

1.2.Le présent Avenant s'applique aux traitements de données à caractère personnel mis en oeuvre par COGNITIC et ceux réalisés pour le compte du Client en vertu du Contrat.

1.3 Au sens de la réglementation applicable et notamment du Règlement européen de protection des données n°2016- 679, ci-après « Règlement », le Client peut constituer « le responsable des traitements » ou « la personne concernée

» et COGNITIC constitue le « sous-traitant » ou « le responsable des traitements » en fonction des traitements réalisés. Les Parties s’engagent à tout mettre en œuvre pour que les traitements présents et futurs soient progressivement mis en conformité avec les dispositions du Règlement, et ceci dès la signature du contrat.

2-COGNITIC SOUS-TRAITANT AU SENS DU REGLEMENT UE 2016/679

2.1 Objet, durée des traitements et catégories de personnes concernées. Dans le cadre de la fourniture de solutions logiciels et de services et/ou de prestations associé(e)s (JUNON, IRIS, KHRONOS, PAIETeam, COMPTeam, IMMOTeam, FACTeam, GEDTeam, AUDICALC reprise de données, formation, etc.) ci-après les « Services », COGNITIC pourra avoir accès, en qualité de sous-traitant, à des données à caractère personnel au sens du Règlement. COGNITIC pourra ainsi être amené à procéder à des traitements de telles données (en particulier les données des membres de la structure du Client, de clients du Client, de fournisseurs du Client, de prestataires du Client, etc.) pour le compte du Client, responsable de traitement, aux seules fins de fourniture des services et pour la durée prévue au présent Contrat.

2.2 Catégories de données. Le Client a expressément rappelé à COGNITIC le caractère strictement confidentiel de toutes les données à caractère personnel transmises pour traitement dans le cadre du Service utilisé et des services associés, incluant notamment les données relatives à l’identification des personnes concernées, leur vie personnelle, leur vie professionnelle, des données de connexion et de traçabilité.

2.3 Nature et finalité(s) des traitements. COGNITIC s’engage à ne pas traiter les données personnelles transmises pour des finalités autres que celles du Client, c’est-à-dire l’usage d’un logiciel et de services associés dans le cadre de la gestion de sa structure et la fourniture de conseils auprès de ses propres clients.

2.4 Registre. COGNITIC tient les registres requis, dont le contenu est défini par l'article 30(2) du Règlement et les met à sa disposition sur demande.

2.5 Délégué à la protection des données à caractère personnel. Conformément aux articles 38 et 39 du Règlement, le délégué à la protection des données à caractère personnel ou le service responsable de la protection des données personnelles de COGNITIC peut être contacté aux coordonnées suivantes : xxxx@xxxxxxxx.xx.

COGNITIC S.A.S

000, Xxxxxxxxx xx Xxxxxx 00000 XXXXXXXX

Tel : x00 (0)0 00 00 00 00

S.A.S au capital de 70 000 € xxxxxxx@xxxxxxxx.xx

Code APE : 5829C xxxx://xxx.xxxxxxxx.xx

TVA intracommunautaire XX 00 000000000

XXX Xxxxxxxx N° B 524 366 523

Prestataire de formation enregistré sous le numéro 73 3107349 31. Cet enregistrement ne vaut pas agrément de l’Etat

2.6 Obligations du Client vis-à-vis de COGNITIC. Le Client s’engage à :

- fournir à COGNITIC toutes les données nécessaires à la réalisation de ses obligations en vertu du Règlement ;

- documenter par écrit toute instruction concernant le traitement des données par COGNITIC ;

- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues de la part de COGNITIC;

- s’engage à répondre dans un délai de quinze (15) jours à toute demande de COGNITIC relative au traitement des données personnelles dans le cadre de la fourniture du Service ;

- respecter les obligations qui lui incombent en sa qualité de responsable de traitement, en vertu des dispositions du Règlement.

2.7 Obligations de COGNITIC vis-à-vis du Client :

COGNITIC garantit qu’il met en oeuvre toutes les mesures nécessaires pour préserver la sécurité, l’intégrité, la disponibilité, la résilience et la confidentialité des données à caractère personnel auxquelles il pourrait accéder ou qui pourraient lui être communiquées dans le cadre de l’exécution du Contrat. Aussi, COGNITIC s’engage à prendre toutes les mesures requises en vertu de l’article 32 du Règlement et notamment les mesures techniques et organisationnelles appropriées, compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités des traitements, qui seraient nécessaires au respect par lui-même et par son personnel de ces obligations de sécurité, d’intégrité et de confidentialité, et notamment à :

- ne traiter, consulter ces données à caractère personnel et fichiers que dans le cadre des instructions du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union européenne ou de la législation française. Dans ce cas, COGNITIC informera le Client de cette obligation avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;

- ne pas traiter, consulter lesdites données à caractère personnel ou les fichiers dans lesquelles elles figurent à d’autres fins que l’exécution du Service qu’il effectue pour le Client au titre du Contrat ;

- ne pas insérer dans les traitements de données à caractère personnel des données étrangères auxdits traitements ;

- prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse de ces données à caractère personnel et des fichiers ;

- prendre toutes précautions utiles afin de préserver la sécurité desdites données à caractère personnel, de veiller à ce qu’elles ne soient pas déformées, endommagées, que des tiers non autorisés y aient accès, et d’empêcher tout accès qui ne serait pas préalablement autorisé par le responsable de traitement ;

- prendre toutes mesures afin (i) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement utilisés, (ii) de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l’efficacité de ces mesures ;

- s’interdire la consultation et le traitement des données à caractère personnel autres que celles concernées par les présentes et ce même si l’accès à ces données à caractère personnel est techniquement possible ;

- veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent par écrit à respecter la confidentialité de ces dernières ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

- ne pas divulguer, sous quelque forme que ce soit, tout ou partie desdites données à caractère personnel ;

- ne pas prendre copie ou stocker, quelles qu'en soit la forme et la finalité, tout ou partie desdites données à caractère personnel contenues sur les supports ou documents qui lui ont été confiés ou recueillies par lui au cours de l'exécution du présent Contrat (outre les opérations techniques strictement nécessaires à l’exécution du Contrat).

2.8 Suppression et réversibilité des données. En fin de Contrat, COGNITIC s’engage à procéder à la restitution des fichiers détenus et des données à caractère personnel traitées pour le compte du Client dans un format standard et dans les conditions prévues au contrat, et à la destruction de tous fichiers manuels ou informatisés stockant lesdits fichiers et données à caractère personnel (et de toute copie éventuelle) après s’être assuré auprès du Client que ce dernier dispose bien de ces informations, à moins que le droit de l’Union Européenne ou la législation française n’exige la conservation de ces données à caractère personnel.

2.9 Sous-traitants ultérieurs. Par ailleurs, sauf disposition contraire dans les présentes, COGNITIC ne pourra sous-traiter l'exécution du Service que dans les conditions prévues aux conditions particulières. COGNITIC s’engage en outre à informer et à signer un contrat écrit avec chaque sous-traitant imposant à ce dernier le respect des normes édictées par le Règlement, étant précisé qu’en cas de non-respect par un sous-traitant de ses obligations en matière de protection

des données à caractère personnel, COGNITIC demeurera pleinement responsable à l’égard du Client. Par cet avenant, le Client donne son consentement général pour le recrutement d'autres sous-traitants à des fins de traitement des données à caractère personnel. COGNITIC fournit sur son site Internet une liste des sous-traitants accessible dans votre espace privé, qui sera actualisée au moins 14 jours avant l’arrivée d’un nouveau sous-traitant susceptible de traiter des données à caractère personnel.

2.10 Sécurité et confidentialité. Au titre de la sécurité et de la confidentialité des données personnelles, COGNITIC s’engage à (i) garder les données personnelles strictement confidentielles, (ii) mettre en œuvre au sein de ses services y compris son infrastructure d’hébergement, les mesures organisationnelles et techniques appropriées afin de protéger les données personnelles, et (iii) établir, maintenir et fournir à première demande la description des mesures mises en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information).

Compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques dont le degré de probabilité et de gravité varie, les parties mettront en place des mesures techniques et organisationnelles appropriées, afin d'assurer un niveau de sécurité adapté aux risques, incluant notamment, selon les besoins :

- la pseudonymisation et le chiffrement des données à caractère personnel ;

- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement ;

- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à ces dernières en temps utile en cas d'incident physique ou technique ;

- une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles, afin d'assurer la sécurité du traitement.

Lors de l'évaluation du niveau de sécurité approprié, il conviendra de tenir compte en particulier des risques que présente le traitement, liés notamment à la destruction, à la perte, à l'altération, à la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou à l'accès à de telles données et ce de manière accidentelle ou illicite. Le Client et COGNITIC prendront des mesures pour garantir que toute personne physique agissant sous l'autorité de l'une ou l'autre Partie et ayant accès aux données à caractère personnel les traite uniquement sur instruction de l'une ou l'autre Partie, sauf si elle est tenue de les traiter par le droit de l'Union Européenne ou d'un État membre.

2.11 Collaboration. COGNITIC, s’engage également à coopérer avec le Client en vue :

- de l’avertir dans les meilleurs délais de toutes demandes de personnes concernées reçues, et de coopérer raisonnablement avec lui afin de lui permettre de respecter ses obligations en vertu du règlement en relation avec de telles demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que COGNITIC fournira au regard du respect de telles obligations ;

- du respect par le Client de ses propres obligations en matière de sécurité et de confidentialité des données à caractère personnel ;

- du respect de l’obligation de notification à l'autorité de contrôle et d’information de la personne concernée d'une violation de données à caractère personnel. COGNITIC avertira le Client dans les meilleurs délais dès connaissance d'une violation des données à caractère personnel et répondra raisonnablement aux demandes d'informations supplémentaires du Client, afin de l’aider à remplir ses obligations en vertu des articles 33 et 34 du RGPD ;

- d’informer immédiatement le Client si, selon lui, une instruction constitue une violation du Règlement ou d’autres dispositions du droit de l’Union Européenne ou du droit des Etats membres relatives à la protection des données ;

- de la réalisation d’analyses d’impact relatives à la protection des données ou en cas de consultation préalable de la CNIL par le Client.

COGNITIC s’engage également à informer dans les meilleurs délais le Client si, selon lui, une instruction constitue une violation des dispositions applicables en matière de protection des données à caractère personnel.

2.12 Contrôle et audit. Le Client se réserve le droit de procéder, à ses frais, à toute vérification qui lui paraîtrait utile pour constater le respect par COGNITIC de ses obligations au titre des présentes, notamment au moyen d’audits ou d’inspections. Ces vérifications pourront être réalisées une fois par an, par le Client lui-même ou par un tiers non concurrent de COGNITIC, qu’il aura sélectionné, missionné et mandaté à cette fin. Dans ce cadre, COGNITIC mettra à la disposition du Client ou dudit tiers les informations nécessaires pour apporter la preuve du respect des obligations prévues au sein du présent Contrat, et s’engage à contribuer auxdites vérifications. Les audits doivent permettre une analyse du respect par le Client des présentes et des dispositions applicables en matière de protection des données à

caractère personnel, et notamment de s’assurer que des mesures techniques et organisationnelles de sécurité et de confidentialité adéquates sont mises en œuvre, qu’elles ne peuvent pas être contournées sans que cela ne soit détecté et que, dans une telle hypothèse ou dans toute autre hypothèse de survenance d’une violation de données à caractère personnel, une procédure de notification et de traitement par COGNITIC soit mise en œuvre afin d’y remédier sans délai. Plus généralement, chacune des Parties garantit à l’autre le respect des obligations légales et règlementaires lui incombant en matière de protection des données à caractère personnel.

2.13 Transferts des données. COGNITIC veillera à ce que, dans la mesure où de quelconques données à caractère personnel provenant de l’Union Européenne sont transférées par ses soins à un autre sous-traitant dans un pays ou territoire en dehors de la France et/ou de l’Union Européenne n'ayant pas fait l'objet d'une décision d'adéquation contraignante de la part de la Commission européenne ou de l'autorité nationale compétente en matière de protection des données, un tel transfert soit soumis à un mécanisme de transfert approprié, assurant un niveau de protection adéquat aux termes du Règlement.

2.14 Responsabilité. En toute hypothèse, il est rappelé que les Services fournis par COGNITIC constituent un élément contributif mais non suffisant à la mise en conformité du Client avec l’ensemble des exigences réglementaires en matière de protection des données, et que la responsabilité de COGNITIC en matière de conformité à la règlementation est strictement limitée au périmètre des Services opérés par ses soins. Le Client devra disposer, sans que cette liste ne revête un caractère exhaustif, d’un système d’information adapté au traitement des données personnelles, d’une analyse de risques et d’impacts le cas échéant, d’une politique de sécurité de son système d’information, d’une charte d’utilisation des moyens informatiques, d’un programme de formation et de sensibilisation de ses utilisateurs à la sécurité et à la protection des données, sous sa seule responsabilité. En aucun cas la responsabilité de COGNITIC ne peut être recherchée en cas de non-respect par le Client des mesures organisationnelles et techniques de protection des données personnelles lui incombant, ni plus généralement dans la détermination par ses soins des catégories de données collectées et/ou chargées par ses soins au sein des Services, des finalités poursuivies et des traitements mis en oeuvre par ses soins ou à sa demande.

3- COGNITIC RESPONSABLE DU TRAITEMENT AU SENS DU REGLEMENT UE 2016/679

3.1 Dans le cadre de la fourniture de services logiciels (JUNON, IRIS, KHRONOS, PAIETeam, COMPTeam, FACTeam, IMMOTeam) et de services associés (GEDTeam, AUDICALC,…) et le cas échéant de fourniture de services/prestations en ligne, COGNITIC traite des données à caractère personnel au sens de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement européen 2016/679 du 27 avril 2016 relatif aux données à caractère personnel, en qualité de responsable du traitement.

3.2 Les données recueillies dans le cadre des services susvisés sont traitées aux fins de gérer la relation commerciale, la prospection et l’élaboration de statistiques sur la base des données d’usage des Services et pour d’autres finalités complémentaires conformément à la Politique de confidentialité.

3.3 Les données collectées sont les coordonnées personnelles des abonnés et utilisateurs, les informations d’identification du compte, les données bancaires, tout commentaire ou information soumis et les coordonnées professionnelles. Les destinataires des données sont le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques, le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) au sein de COGNITIC, le Client, nos partenaires, nos filiales et nos éventuels sous-traitants dans le respect de la règlementation française et conformément à la Politique de confidentialité.

3.4 Les données sont conservées pendant le délai strictement nécessaire à l’accomplissement des finalités susvisées conformément à la Politique de confidentialité. Les données sont susceptibles de transfert hors du territoire de l’Espace Economique Européen mais bénéficient des garanties appropriées ou d’une décision d’adéquation conformément à la réglementation applicable.

3.5 Le Client reconnait que, lors de l'accès aux services en ligne et de l'utilisation de ces derniers, il lui sera demandé, ainsi qu'aux utilisateurs, de fournir des données à caractère personnel. Le Client déclare et garantit que les utilisateurs et lui avaient respecté toutes les obligations applicables aux termes de la législation relative à la protection des données

lorsque le Client a fourni à COGNITIC des données à caractère personnel, notamment la transmission de toutes notifications requises et l'obtention de tous consentements et autorisations nécessaires pour permettre à COGNITIC de traiter lesdites données à caractère personnel.

3.6 Sur demande, COGNITIC fournira au Client des données et analyses concernant l'utilisation des services en ligne par les utilisateurs (ci-après les « Analyses »). Ces analyses identifieront clairement les différents utilisateurs et détailleront leurs activités (y compris, de manière non limitative, les documents et le contenu auxquels ils auront accédé, qu'ils auront imprimés, envoyés par e-mail, téléchargés et recherchés).

COGNITIC fournira les Analyses au Client, à la condition impérative que :

- le Client ne les utilise en aucun cas à des fins autres que le soutien des processus décisionnels internes, le contrôle de l'utilisation des Documents et des Services en ligne, les activités que le Client mène avec COGNITIC en matière d'adoption de produits, ainsi que l'évaluation des niveaux d'utilisation ;

- les données des Analyses ne soient pas communiquées à des tiers sans avoir obtenu l’accord écrit préalable de COGNITIC;

- le Client assume la responsabilité exclusive de la transmission de toutes notifications requises et de l'obtention de tous consentements et autorisations nécessaires de la part des utilisateurs autorisés au regard de toutes les utilisations des Analyses ;

- le Client garantisse à COGNITIC, ainsi que nos sociétés affiliées, sur demande, contre toute responsabilité, tous préjudices, dommages-intérêts, recours, amendes, sanctions, frais et dépens encourus en raison de tout recours d'un tiers à l’encontre de COGNITIC résultant du non-respect par le Client des stipulations du présent article.

3.7 Conformément à la réglementation applicable en matière de protection des données personnelles, toute personne dispose des droits (i) d’accès, (ii) de rectification, (iii) d’effacement, (iv) de limitation, (v) de portabilité des données et

(vi) d’opposition au traitement en s’adressant à xxxx@xxxxxxxx.xx, sous réserve le cas échéant de la justification de l’identité de la personne.

3.8 En cas de litige, le Client dispose également du droit de saisir la CNIL. Pour plus d’informations sur les traitements mis en œuvre, conformément à la Politique de confidentialité mise en œuvre par COGNITIC.

Toulouse, le 20 mai 2018

Xxxxxx XXXXXX PDG COGNITIC SAS