Contrat de traitement des données
Contrat de traitement des données
Entre
en tant que responsable (ci-après le « commanditaire »)
et
Xxxxxx Xxxx GmbH
Juliusplatz 1 · 00000 Xxxxxxx · GERMANY Directeurs : Xxxxxxxx Xxxx-Xxxx, Xxx Xxxxxxxxx
en tant que sous-traitant (ci-après le « mandataire »)
Préambule
Le commanditaire souhaite confier au mandataire les services désignés au § 3. Le traitement des données personnelles fait partie de l’exécution du contrat. En particulier l'art. 28 du RGPD impose certaines exigences quant à un tel traitement de données. Pour le respect de ces exigences, les parties concluent l'accord suivant, dont l'accomplissement n'est pas rémunéré séparément, si cela n'est pas expressément convenu.
§ 1 Définitions
(1) Le responsable, selon l'art. 4, alinéa 7 du RGPD est l'organe qui, seul ou avec d'autres responsables, décide des finalités et des modalités du traitement des données à caractère personnel.
(2) Le sous-traitant, selon l'art. 4, alinéa 8 du RGPD est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable.
(3) Les données personnelles, selon l'art. 4, alinéa 1 du RGPD sont toutes les informations qui concernent une personne physique identifiée ou identifiable (ci-après « personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à une identification telle qu'un nom, à un numéro d'identification, à des données de localisation, à une identification en ligne ou à plusieurs éléments spécifiques, propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
(4) Les données à caractère personnel à protéger sont les données personnelles, selon l'art. 9 du RGPD, lesquelles indiquent l'origine ethnique, les positions politiques ou religieuses ou les convictions philosophiques ou l'appartenance syndicale des personnes concernées, les données à caractère personnel selon l'art. 10 du RGPD sur les condamnations pénales et infractions ou, dans ce cadre, les mesures de sécurité connexes prises ainsi que les données génétiques, selon l'art. 4, alinéa 13 du RGPD, les données biométriques, selon l'art. 4, alinéa 14 du RGPD, les données médicales selon l'art. 4, alinéa 15 du RGPD ainsi que les données sur la vie sexuelle ou l'orientation sexuelle d'une personne physique.
(5) Le traitement, selon l'art. 4, alinéa 2 du RGPD est toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
(6) L'autorité de contrôle, selon l'art. 4, alinéa 21 du RGPD est une agence gouvernementale indépendante d'un des États membres, conformément à l'art. 51 du RGPD.
§ 2 Objet du contrat
(1) Le mandataire fournit les services au commanditaire dans le domaine
basé sur le contrat principal. À cette fin, le mandataire reçoit l'accès aux données à caractère personnel et traite ces dernières exclusivement sur ordre et selon les instructions du commanditaire. L'étendue et les finalités du traitement des données par le mandataire découlent du contrat principal. L'appréciation et la recevabilité du traitement des données incombent uniquement au commanditaire.
(2) Pour la concrétisation des droits et des obligations mutuels de protection applicables, les parties concluent le présent accord. En cas de doutes sur les dispositions du présent accord relatives à la protection des données, les dispositions du contrat principal prévalent.
(3) Les dispositions du présent contrat trouvent leur application dans toutes les activités en rapport avec le contrat principal et pour lesquelles le mandataire et ses employés ou les personnes désignées par le mandataire sont en contact avec des données à caractère personnel qui proviennent du commanditaire ou qui ont été recueillies pour le commanditaire.
(4) La durée du présent contrat est fonction de la durée du contrat principal, à moins que d'autres obligations ou droits de résiliation issus des dispositions suivantes soient établis.
§ 3 Droit d'instruction
(1) Le mandataire peut collecter, traiter ou utiliser des données uniquement dans le cadre du contrat principal et conformément aux instructions du commanditaire ; ceci s'applique notamment en ce qui concerne la transmission des données à caractère personnel vers un pays tiers ou à une organisation internationale. Si le mandataire est soumis à d'autres traitements par la législation de l'Union européenne ou des États membres à laquelle il appartient, il doit informer le commanditaire de ces exigences légales avant le traitement.
(2) Les instructions du commanditaire sont initialement définies par le présent contrat et peuvent être modifiées, complétées ou remplacées par la suite par le commanditaire par écrit, par instructions individuelles (directives individuelles). Le commanditaire est autorisé à tout moment à donner les instructions correspondantes. Ceci comprend les instructions de rectification, d'effacement et de verrouillage des données. Les personnes autorisées à donner des instructions figurent à l'annexe 2. En cas de changement ou d'empêchement de longue durée d'une personne désignée, le successeur ou le représentant est à désigner sans délai au partenaire contractuel.
(3) Les directives qui vont au-delà du service contracté dans le contrat principal sont considérées comme demande de modification de service.
(4) Si le mandataire pense qu'une directive du commanditaire viole les dispositions légales de protection des données, il doit en aviser immédiatement le commanditaire. Le mandataire a le droit de suspendre la mise en œuvre de l'instruction concernée jusqu'à ce que celle-ci soit confirmée ou modifiée par le commanditaire. Le mandataire peut refuser la réalisation d'une instruction manifestement illicite.
§ 4 Type des données traitées, cercle des personnes concernées
(1) Dans le cadre de la mise en œuvre du contrat principal, le mandataire obtient un accès aux données à caractère personnel spécifiées plus précisément dans l'annexe 4. Ces données comportent les données à caractère personnel mentionnées dans l'annexe 4 et désignées comme catégories particulières.
(2) Le cercle des personnes concernées par le traitement des données est présenté en annexe 5.
§ 5 Mesures de protection du mandataire
(1) Le mandataire s'oblige à respecter les dispositions légales sur la protection des données et à ne pas diffuser ou donner l'accès aux informations obtenues par le commanditaire. Les documents et les données doivent être protégés contre toute intrusion en tenant compte de l'état d'évolution de la technique.
(2) Le mandataire doit concevoir son organisation interne dans le champ de sa responsabilité de telle manière à ce qu'elle réponde aux exigences particulières relatives à la protection des données. Il prend toutes les mesures techniques et organisationnelles nécessaires pour assurer, sur la durée, la protection adaptée des données du commanditaire, conformément à L'art. 32 du RGPD, notamment en ce qui concerne au moins les mesures mentionnées dans l'annexe 1
1. concernant la pseudonymisation et le verrouillage des données à caractère personnel ;
2. la capacité, la fiabilité, l'intégrité, la disponibilité et la résistance des systèmes et des services en rapport avec le traitement ;
3. la restauration immédiate de la capacité, la disponibilité des données à caractère personnel et leur accès lors d'un incident technique ou physique ;
4. un procédé de vérification régulière, l'analyse et l'évaluation de l'efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement.
Le mandataire se réserve le droit d'une modification des mesures de sécurité concernées par laquelle il garantit que le niveau de protection n'est pas inférieur à celui conclu contractuellement.
(3) Pour le mandataire, comme préposé à la protection des données en exercice / interlocuteur pour la protection des données (si aucun préposé à la protection des données selon l'art. 37, alinéa 1 du RGPD ne doit être missionné) est missionnée :
Avocate et préposée à la protection des données certifiée TÜV, Xxxxxx Xxxxxx du cabinet d'avocats Schenk Datenschutz Rechtsanwaltsgesellschaft mbH Téléphone : 08333 / 926936-0
Fax : 08333 / 926936-1
Adresse :
Xxx xxx Xxxx 00 00000 Xxxxxxxxxxx Agence :
Xxxxxxxx. 00 (x xxxxxxxxx xx xx Xxxxxxxxxx / Xxxxxxx) 00000 Xxxxxx
Téléphone : 089 / 00000000
E-mail : xxxx@xxxxxxxxxxxx-xxxxxx.xxx
Le mandataire publie les données de contact du préposé à la protection des données sur son site internet et les transmet à l'autorité de surveillance. Le mandataire sur demande du commanditaire justifie la publication et la transmission de la manière appropriée.
(4) Pour le commanditaire, comme préposé à la protection des données en exercice / comme interlocuteur pour la protection des données (si aucun préposé à la protection des données selon l'art. 37, alinéa 1 du DP ne doit être missionné) est missionné : voir Annexe 6
(5) Il est interdit aux personnes employées pour le traitement des données à caractère personnel à collecter de traiter ou d'utiliser des données personnelles sans autorisation. Le mandataire doit veiller à obliger en conséquence toutes les personnes à qui il a confié le traitement et l'exécution de ce contrat (ci-après employés) (obligation de confidentialité, art. 28, alinéa 3 lettre b du RGPD) et s'assurer du respect de cette obligation avec une diligence raisonnable. Ces obligations doivent être établies de telle manière qu'elles restent valables même après la fin du présent contrat ou du contrat de travail entre l'employé et le mandataire. Ces obligations doivent être justifiées de la manière appropriée sur demande du commanditaire.
§ 6 Obligations d'information du mandataire
(1) En cas de dysfonctionnements, de présomptions de violations de la protection des données ou de violations des obligations contractuelles du mandataire, de soupçons d'incidents liés à la sécurité ou d'autres irrégularités lors du traitement des données à caractère personnel par le mandataire, chez lui, dans le cadre de missions confiées à des personnes en charge ou par des tiers, le mandataire doit informer le commanditaire immédiatement par écrit. La notification de la violation de la protection des données à caractère personnel contient au minimum les informations suivantes :
a) une description du type de violation de la protection des données à caractère personnel et, dans la mesure du possible, indiquant les catégories et le nombre de personnes concernées, les catégories concernées et le nombre d'enregistrements des données personnelles affectées ;
b) une description des mesures engagées ou proposées par le mandataire pour la suppression de la violation et, le cas échéant, les mesures d'atténuation des conséquences négatives possibles.
(2) Le mandataire prend immédiatement les mesures nécessaires pour la sécurisation des données et la minoration des conséquences négatives possibles sur les personnes concernées, informe à ce sujet le commanditaire et lui demande les instructions à suivre.
(3) Le mandataire est en outre tenu de fournir des informations au commanditaire, dans la mesure où ces données sont concernées par une violation visée à l'article 1.
(4) Un changement de la personne préposée à la protection des données / d'interlocuteur pour la protection des données est à signifier sans délai au commanditaire.
(5) Le mandataire et, le cas échéant, son représentant dressent une liste de toutes les catégories des activités exercées relatives au traitement, sur ordre du commanditaire, qui comprend toutes les informations, conformément à L'art. 30, alinéa 2 du RGPD.
(6) Le mandataire doit établir les procédures en collaboration avec le commanditaire. Il communique au commanditaire les renseignements nécessaires sous une forme appropriée.
§ 7 Droit de contrôle du commanditaire
(1) Le commanditaire a le droit établi dans le cadre du RGPD de s'assurer des mesures techniques et organisationnelles prises par le mandataire. À cet effet, il peut par exemple consulter les renseignements du mandataire, se faire présenter les attestations d'expertise disponibles, les certifications ou les contrôles internes ou contrôler personnellement les mesures techniques et opérationnelles en temps utile aux heures d'ouverture habituelles ou faire faire un contrôle par un tiers spécialisé, à moins que ce dernier se trouve être dans un rapport de concurrence avec le mandataire. Le commanditaire supporte lui-même les frais du contrôle. Le commanditaire effectue les contrôles uniquement dans la mesure nécessaire et n'interfère pas dans le fonctionnement du mandataire de manière excessive.
(2) Le mandataire est tenu de fournir toutes les informations et justificatifs au commanditaire, à sa demande écrite ou orale, dans un délai raisonnable en vue de procéder à une inspection des mesures techniques et organisationnelles du mandataire qui sont nécessaires.
(3) Le commanditaire documente le résultat de l'inspection et le transmet au mandataire. En cas de manquements ou d'irrégularités, constatés par le commanditaire, notamment lors de l'inspection des résultats du mandat, il doit en informer immédiatement le mandataire. Si lors du contrôle, des faits nécessitant des modifications de la procédure établie, afin de les éviter à l'avenir, étaient constatés, le commanditaire indique sans délai au mandataire les modifications de procédure nécessaires.
§ 8 Recours à des sous-traitants
(1) Les services conclus contractuellement ou les services partiels décrits ci-dessous sont réalisés avec la participation des sous-traitants désignés dans l'annexe 3. Le mandataire est
autorisé dans le cadre de ses obligations contractuelles au motif de sous-traitance à avoir recours à des entreprises de sous-traitance (« sous-traitance »). Il en informe à ce sujet le commanditaire, sans délai. Le mandataire est tenu de sélectionner soigneusement l'entreprise de sous-traitance selon son aptitude et sa fiabilité. Le mandataire doit, dans le cas d'un recours à un sous-traitant, obliger celui-ci à se conformer aux dispositions du présent accord et s'assurer que le commanditaire puisse exercer ses droits issus du présent accord (notamment son droit de contrôle et d'inspection) également directement auprès du sous-traitant. Si une intervention de sous-traitants doit avoir lieu dans un pays tiers, le mandataire doit s'assurer qu'un niveau de protection des données raisonnable pour chacun des sous-traitants soit garanti (par exemple, par la conclusion d'un accord sur la base des clauses de protection de données de l'Union européenne).
(2) Un accord de sous-traitance dans le sens de ces dispositions n'existe pas si le mandataire confie des services à des tiers qui sont considérés comme des services purement accessoires. En font partie, par exemple, les services postaux, de transport et d'expédition, de nettoyage, de télécommunication sans relation concrète avec les services que le mandataire fournit au commanditaire et les services de gardiennage. Les contenus de sous-traitance soumis à approbation comportent les services d'entretien et de contrôle si ceux-ci doivent être entrepris pour les systèmes informatiques qui doivent également être utilisés dans le cadre de l'exécution des services auprès du commanditaire.
§ 9 Demandes et droits des personnes concernées
(1) Le mandataire assiste le commanditaire, dans la mesure du possible, à l'aide de mesures techniques et organisationnelles pour remplir ses obligations, conformément aux art. 12 à 22, 32 et 36 du RGPD.
(2) Si une personne concernée fait valoir ses droits, par exemple, sur la diffusion d'informations, la correction ou la suppression concernant ses données, directement envers le mandataire, celui-ci ne doit pas réagir de manière individuelle, mais doit renvoyer immédiatement la personne concernée au commanditaire et attendre ses instructions.
§ 10 Responsabilité
(1) Le mandataire est seul responsable envers la personne affectée pour le dédommagement du préjudice subi en raison d'un traitement ou d'une utilisation non autorisée ou incorrecte, dans le cadre de la relation interne avec le commanditaire.
(2) Les parties dégagent chacune, le cas échéant en partie, leur responsabilité si l'une des parties justifie qu'elle n'est à aucun égard responsable, ou seulement en partie, des circonstances qui ont donné lieu au préjudice causé à une personne.
§ 11 Fin du contrat principal
(1) Le mandataire doit restituer au commanditaire tous les documents, données et supports de données que ce dernier lui a confiés, à la fin du contrat principal ou à tout moment sur sa demande ou, au choix du commanditaire, les supprimer à moins que, conformément au droit européen ou à la législation de la République fédérale d'Allemagne, une obligation de
sauvegarde des données personnelles existe. Ceci concerne également toutes les sauvegardes de données en possession du mandataire.
(2) Le mandataire est tenu également de traiter confidentiellement les données qui ont été portées à sa connaissance, dans le cadre du contrat principal, une fois le contrat principal terminé. Le présent accord reste valable après la fin du contrat principal tant que le mandataire dispose des données à caractère personnel qui lui ont été transmises par le commanditaire ou qu'il a collectées pour ce dernier.
§ 12 Dispositions finales
(1) Les parties conviennent que l'exception du droit de rétention par le mandataire, dans le sens du § 273 du code civil allemand BGB, en ce qui concerne les données à traiter et les supports de données correspondants est exclue.
(2) Les modifications et les ajouts au présent accord nécessitent la forme écrite. Ceci s'applique également pour la dispense de cette exigence de forme. La primauté des accords contractuels individuels reste inchangée.
(3) Si des dispositions spécifiques de cet accord s'avéraient totalement ou partiellement nulles ou inefficaces, la validité des dispositions restantes n'en sera pas affectée.
(4) Les annexes 1 à 6 font partie de ce contrat.
(5) Cet accord est régi par le droit allemand. Le lieu exclusif de juridiction est Munich.
Date Signature du commanditaire
Date Signature du mandataire