Contract

1. Définitions

« Client » : désigne la société mentionnée dans l’offre/le devis/les conditions particulières/l’accusé de confirmation de Commande en ligne adressé au Client et qui bénéficie des Services en vertu du Contrat.

« Contrat et/ou Documents Contractuels » : désigne(nt) les documents contractuels applicables aux Services mentionnés dans l’offre/le devis/les conditions particulières/l’accusé de confirmation de Commande en ligne adressé au Client.

« Données Clients » : désignent les informations (dont les Données Personnelles) dont le Client est propriétaire et /ou responsable qu’il saisit, renseigne, transmet, collecte, conserve et/ou traite dans le cadre de l’exécution du Contrat.

« Données de Santé » : désignent les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.

« Législation sur la Protection des Données » : désigne le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et la loi française informatique et libertés de 1978 modifée.

« Services » : désignent les services et prestations fournis par VISIATIV en vertu du Contrat.

« VISIATIV » : désigne la société membre du Groupe Visiativ mentionnée dans l’offre/le devis/les conditions particulières/l’accusé de confirmation de Commande en ligne adressé au Client et qui fournit les Services en vertu du Contrat.

Il est renvoyé aux définitions données par la Législation sur la Protection des Données, et notamment par l’article 4 et 9 du RGPD, concernant les termes suivantes : « Données Personnelles », « Données Sensibles », « Personnes Concernées », « Responsable de traitement », « Sous-traitant », « Violation [de Données Personnelles] ».

2. Caractéristiques du traitement

Le Client et VISIATIV reconnaissent qu’en vertu de la Législation sur la Protection des Données le Client agit en qualité de Responsable de traitement et VISIATIV agit en qualité de Sous-traitant.

Le Client conserve la maîtrise de ses Données Personnelles et reste seul responsable du respect de ses obligations découlant de la Législation sur la Protection des Données et notamment de son obligation, le cas échéant, de fournir toute information aux Personnes Concernées et de collecter leur consentement. En outre, le Client est seul responsable de la qualité, de la licéité, de la pertinence et de l’intégrité des Données Client qui sont recueillies aux fins de fourniture des Services.

Pour les besoins de la fourniture des Services, le Client a donné instruction à VISIATIV de traiter les Données Personnelles selon les modalités prévues au sein du présent accord, ce compris l’annexe 1. Le Client garantit et déclare que les traitements de Données Personnelles réalisés par VISIATIV pour les besoins de la fourniture des Services, sur instructions du Client, seront conformes à la Législation sur la Protection des Données. Le Document ci-après - Description du traitement - décrit les caractéristiques du traitement de Données Personnelles qui peut être réalisé par VISIATIV pour les besoins de la fourniture des Services.

3. Les obligations de VISIATIV

XXXXXXXX s’engage à ne traiter les Données Personnelles que lorsque cela est strictement nécessaire pour les besoins de la fourniture des Services, en conformité avec les instructions du Client et à ne pas les traiter pour une autre finalité.

Si VISIATIV considère qu’une instruction constitue une violation de la Législation sur la Protection des Données, VISIATIV en informe immédiatement le Client.

En outre, VISIATIV s’engage à :

- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

• s’engagent à respecter la confidentialité ou soient soumises

à une obligation légale appropriée de confidentialité ;

• reçoivent la formation et/ou sensibilisation nécessaire en matière de protection des données à caractère personnel ;

- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;

- aider le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à sa disposition.

VISIATIV s’interdit de vendre ou d’exploiter les Données Personnelles

traitées pour le Client au profit d’une quelconque tierce partie.

4. Obligations du Client

Le Client s’engage à :

- Permettre à VISIATIV de réaliser les traitements de Données Personnelles nécessaires à la fourniture des Services conformément aux caractéristiques prévues à l’Annexe 2 du Contrat ;

- Ne faire traiter par VISIATIV que les Données Personnelles strictement nécessaires pour répondre à ses besoins propres et ceux des Utilisateurs dans le cadre du Service ;

- N’utiliser que les Données Personnelles strictement nécessaires

et conformément aux recommandations de la CNIL ;

- documenter par écrit toute instruction concernant le traitement des données par VISIATIV ;

- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Législation sur la Protection des Données de la part de VISIATIV ;

- superviser le traitement.

En cas de Données de Santé, le Client devra en informer expressément VISIATIV, qui pourra refuser de rendre le Service s’il considère que ce traitement présente un risque.

En particulier, sauf stipulations contraires prévues et approuvées expressément par les Parties dans les Conditions Particulières, aucun traitement des Données Sensibles et Données de Santé n’est transféré par Client et opéré dans le cadre des Services, ce que le Client reconnaît et accepte expressément.

5. Sécurité

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, VISIATIV met œuvre les mesures techniques et organisationnelles appropriées prévues aux Documents Contractuels, et notamment au Plan Assurance Sécurité (PAS), afin de garantir un niveau de sécurité adapté au risque.

Pour sa part, le Client garantit en tout état de cause que les Données ne contiennent ni ne véhiculent aucun virus, vers, chevaux de Troie et autres contenus nuisibles ou destructeurs susceptibles de porter atteinte tant aux droits des personnes concernées, qu’à VISIATIV.

6. Violation de Données Personnelles

VISIATIV notifie au Client toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance.

VISIATIV communiquera au Client dans les plus brefs délais les informations dont elle a connaissance, pour le cas où la Violation serait causée à l’occasion des Services, permettant au Client de répondre à son obligation de notification et de remédiation auprès de l'autorité de contrôle et des personnes concernées.

7. Transfert de Données Personnelles hors UE

Le Client autorise VISIATIV à utiliser les Données Personnelles conformément aux présentes au sein de l’Union Européenne ou en dehors de l’Union Européenne, seulement si ce transfert répond à l’une des conditions suivantes : (i) le traitement est réalisé au sein d’un « pays tiers » bénéficiant d’une décision d’adéquation de la Commission Européenne ; (ii) le traitement est encadré par des Clauses contractuelles types émises par la Commission européenne. Dans cette hypothèse, les Parties intègrent par référence aux Documents Contractuels lesdites clauses contractuelles types, qu’elles s’engagent à ratifier préalablement à la mise en œuvre du ou des traitements concernés ; (iii) le traitement est encadré par des « Binding Corporate Rules » type Sous-traitants.

8. Sous-traitance

Le Client autorise VISIATIV à avoir recours à des sous-traitants, et plus précisément ceux cités notamment aux Documents Contractuels ; VISIATIV demeure responsable desdits sous-traitants et répercute l’ensemble des engagements prévues au présent accord, notamment les engagements de sécurité, aux dits sous-traitants, désignés de par la Législation sur la Protection des Données comme sous-traitants ultérieurs.

9. Exercice des droits des personnes, plaintes et droits des tierces parties

Sous réserve du respect de la législation applicable, VISIATIV s’engage à notifier au Client toute demande de transmission ou de consultation des Données Personnelles émise par une autorité judiciaire ou administrative. VISIATIV exécutera, si elle en les moyens, toutes instructions écrites données par le Client, pour procéder dans un délai raisonnable à la suppression des Données Personnelles pour permettre au Client de respecter ses obligations vis-à-vis des personnes concernées.

Toutefois, le Client reconnaît et accepte que VISIATIV n’a pas les capacités techniques de procéder à des suppressions partielles, ou ciblées concernant une ou plusieurs Donnée(s) Personnelle(s) en particulier. Il se peut donc que, pour répondre à une demande en ce sens du Client, VISIATIV soit contrainte d’arrêter partiellement ou totalement les Services et de supprimer toutes les Données.

Dans l’hypothèse où, exceptionnellement, VISIATIV serait saisie, directement ou par l’intermédiaire d’un Sous-traitant, d’une demande portant sur les droits visés ci-dessus, elle s’engage à en informer le Client dans les plus brefs délais pour qu’il puisse répondre de ses propres obligations.

10. Audit

Si VISIATIV ne répond pas aux demandes de documents du Client, le Client pourra à ses frais, une fois maximum par année contractuelle, faire réaliser un audit par un auditeur indépendant tenu à un engagement de confidentialité, qui n’est ni directement ni indirectement concurrent de Visiativ. Dans ce cas, le Client notifiera par lettre recommandée avec accusé de réception à VISIATIV son projet d’audit au moins 1 (un) mois à l’avance, afin que Visiativ soit en mesure de collecter toutes les informations pertinentes pour contribuer à l’audit, qui sera réalisé par le biais de questionnaire(s). Par la suite, conformément à ses procédures internes, VISIATIV pourra fournir au Client toute la documentation nécessaire. L’inspection des serveurs de Visiativ ou de ses sous-traitants ultérieurs, et de manière générale, de leur système d’information, n’est pas autorisée.

11. Sort des données

Au terme du Contrat et selon les conditions prévues à ce dernier, VISIATIV

s’engage à :

− détruire toutes les Données Personnelles et leurs copies, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel ;

− Ou à renvoyer toutes les Données Personnelles et leurs copies dans les formats précisés au Contrat au Client ;

− Ou à renvoyer les Données Personnelles et leurs copies au sous- traitant désigné par le Client.

Sur demande du Client, VISIATIV pourra justifier par écrit de la destruction.

ANNEXE 1. DESCRIPTION DU TRAITEMENT

VISIATIV est autorisée à traiter pour le compte du Client les Données Personnelles nécessaires pour fournir le Service.

La nature des opérations réalisées sur les Données Personnelles est déterminée par la nature des Services et peuvent être, sans être limitatif : stockage, hébergement, accès, transfert, modification, consultation.

Seules les opérations nécessaires à la réalisation des Services seront mises

en œuvre.

La ou les finalité(s) du traitement sont : la fourniture des Services.

Les Données Personnelles traitées sont celles fournies par le Client, à l’exception des Données Sensibles et Données de Santé, sous réserve de dispositions contraires prévues au Contrat.

Les catégories de Personnes Concernées sont celles rattachées aux Données Personnelles fournies par le Client.

Pour l’exécution des Services, le Responsable de Traitement mettra à la

disposition du Sous-traitant toutes les informations nécessaires.