Contract
CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL (« DATA PROCESSING AGREEMENT » OU « DPA ») RESPONSABLE DE TRAITEMENT A SOUS-TRAITANT
PARTIE A – PREAMBULE
1. OBJET
1.1 La présente Convention de Traitement des Données à Caractère Personnel a pour objet de définir les conditions et modalités selon lesquelles le Client, en qualité de Responsable de Traitement, confie à SIGMA INFORMATIQUE en qualité de Sous-Traitant des opérations de Traitement de Données à Caractère Personnel et ce, pour le compte du Client.
2. DEFINITIONS
2.1 Les termes commençant par une majuscule ont la signification qui leur est attribuée ci-après, qu’ils soient exprimés au singulier, au pluriel, sous forme de verbe, de nom ou autre, à l’exception des termes prenant toujours une majuscule. Pour les besoins de l’exécution de la présente Convention, les termes ci-dessous complètent et/ou remplacent ceux précisés dans le Contrat.
TERME | DEFINITION |
Autorité de contrôle | L’autorité publique indépendante instituée par un Etat Membre en charge de surveiller l’application des Règlementations Informatique et Libertés, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des Traitements et de faciliter le libre flux des Données à Caractère Personnel au sein de l’Union Européenne |
Client | La personne morale identifiée comme telle dans le Contrat. |
Conditions Particulières de Traitement | Le document par lequel le Client renseigne les détails des Traitements relatifs aux Données à Caractère Personnel et dont le modèle est reproduit en Annexe 1. |
Contrat | La convention conclue entre le Client et le Sous-Traitant, référencée dans les Conditions Particulières de Traitement, par laquelle le Client confie au Sous-Traitant la réalisation de Prestations incluant des opérations de Traitement de Données à Caractère Personnel. |
Convention de Traitement des Données à Caractère Personnel ou Convention ou DPA | Le présent document et ceux auxquels il renvoie. |
Données à Caractère Personnel | Toute information se rapportant à une personne physique identifiée ou identifiable. |
Etat Membre | Etat membre de l’Union Européenne. |
Personne concernée | Une personne physique identifiée ou identifiable, étant entendu qu’est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. |
Prestations | Les prestations de services confiées par le Client au Sous-Traitant au titre du Contrat. |
Règlementations Informatique et Libertés | Les règlementations applicables à la protection des Données à Caractère Personnel compte tenu des Traitements confiés par le Client au Sous-Traitant, y compris le Règlement Général sur la Protection des Données UE 2016/679. |
Responsable de Traitement | Le Client qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement. |
Sous-Traitant ou SIGMA INFORMATIQUE | SIGMA INFORMATIQUE, Société par actions simplifiée, au capital de 1 729 600 EUR dont le siège social est situé à XX XXXXXXXX-XXX-XXXXX (00000), ZI La Gesvrine - Rue Newton et immatriculée sous le numéro 872 803 390 R.C.S. NANTES. |
Sous-Traitant Ultérieur | La personne physique ou morale, l’autorité publique, le service ou un autre organisme à qui le Sous-Traitant confie des opérations de Traitements des Données à Caractère Personnel et ce, pour le compte du Responsable de Traitement. |
Traitement | Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à Caractère Personnel et précisé dans les Conditions Particulières de Traitement. |
Violation de Données | Une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. |
3. ENSEMBLE CONTRACTUEL
3.1 La présente Convention ainsi que les documents auxquels elle renvoie constituent une annexe indissociable au Contrat conclu entre le Client et le Sous-Traitant.
PARTIE B – DESCRIPTION DES TRAITEMENTS
4. OBJET DES TRAITEMENTS
4.1 Les Traitements des Données à Caractère Personnel du Client confiés au Sous-Traitant sont réalisés dans le cadre des Prestations précisées au Contrat. Les Prestations sélectionnées puis commandées auprès du Sous-Traitant constituent donc un des moyens que le Client a décidé de mettre en œuvre pour la réalisation des Traitements. Dans le cadre des Prestations prévues au Contrat, le Client, donneur d’ordre du Sous-Traitant s’engage donc à superviser les Traitements.
5. NATURE DES TRAITEMENTS
5.1 La nature des Traitements pouvant être réalisés sur les Données à Caractère Personnel par le Sous-Traitant pour le compte du Client compte tenu des instructions qu’il lui communique, est celle précisée dans les Conditions Particulières de Traitement.
6. FINALITES DES TRAITEMENTS
6.1 Les finalités des Traitements déterminées et poursuivies par le Client sont celles précisées dans les Conditions Particulières de Traitement. Le Sous-traitant s’engage à ne pas traiter les Données à Caractère Personnel à d’autres fins que celles de l’exécution des Prestations précisées au Contrat.
7. TYPES DE DONNEES A CARACTERE PERSONNEL CONCERNEES PAR LES TRAITEMENTS
7.1 Les types de Données à Caractère Personnel pouvant faire l’objet de Traitements par le Sous-Traitant sont celles collectées directement ou indirectement par le Client, puis soumises sous sa seule discrétion, sous son entier contrôle et sa seule responsabilité au Sous-Traitant. Les types de Données à Caractère Personnel pouvant faire l’objet de Traitements par le Sous- Traitant pour le compte du Client sont celles précisées dans les Conditions Particulières de Traitement.
8. CATEGORIES DE PERSONNES CONCERNEES PAR LES TRAITEMENTS
8.1 Les catégories de Personnes Concernées pouvant faire l’objet de Traitements par le Sous-Traitant pour le compte du Client sont celles précisées dans les Conditions Particulières de Traitement.
9. INFORMATIONS A COMMUNIQUER PAR LE CLIENT
9.1 Le Client s’engage à retourner les Conditions Particulières dument complétées et signées au Sous-Traitant. Une notice informative sous forme de FAQ est intégrée en Annexe 2 de la Convention. Cette notice vise à informer le Client sur les finalités des Conditions Particulières et les risques qui pèsent sur la bonne exécution du Contrat en cas d’absence de fourniture ou des informations demandées ou de fourniture d’informations inexactes.
10. MODIFICATION DES TRAITEMENTS
10.1 Le Client s’engage à communiquer au Sous-Traitant dans les meilleurs délais tout ajout ou modification des finalités des Traitements, leur nature, les types de Données à caractère Personnel et des catégories des Personnes Concernées afin que le Client et le Sous-Traitant puissent préalablement convenir des modalités de mise en œuvre d’éventuelles mesures de sécurité techniques et organisationnelles complémentaires et conclure de nouvelles Conditions Particulières de Traitement.
PARTIE C – DUREE DES TRAITEMENTS ET SORT DES DONNEES A LA FIN DES TRAITEMENTS
11. DATE DE DEBUT ET DE FIN DES TRAITEMENTS
11.1 Les traitements débutent à l’entrée en vigueur du Contrat et prennent fin à la cessation du Contrat. En conséquence, en cas de cessation du Contrat pour quelque cause que ce soit, la présente Convention prendra fin de plein droit à la date effective de la cessation du Contrat.
12. SUPPRESSION OU REVERSIBILITE
12.1 A la fin des Traitements et aux frais du Client, le Sous-Traitant s’engage dans les conditions convenues d’un commun accord et selon le choix effectué par le Client à : supprimer toutes les Données à Caractère Personnel ou à les retourner au Client au terme des Prestations. Le Sous-Traitant s’engage en outre à détruire les copies existantes, à moins que la règlementation en vigueur qui lui est applicable n’exige la conservation des Données à Caractère Personnel.
13. SURVIE
13.1 En cas de cessation du Contrat pour quelque cause que ce soit, le Sous-Traitant est néanmoins autorisé à conserver dans une ou plusieurs archives intermédiaires une copie de l’ensemble des Données à Caractère Personnel éventuellement Traitées par le Sous-Traitant pendant la seule durée des délais de prescription applicables pour assurer la sauvegarde de ses droits éventuels.
PARTIE D – INSTRUCTIONS DE TRAITEMENTS
14. TRAITEMENT SUR INSTRUCTION DOCUMENTEE
14.1 Le Sous-Traitant s‘engage à ne Traiter les Données à Caractère Personnel que sur instruction documentée, y compris en ce qui concerne les transferts de Données à Caractère Personnel vers un pays tiers à l’Union Européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union Européenne ou du droit de l’Etat membre auquel le Sous-Traitant est soumis. Dans ce dernier cas, le Sous-Traitant informe le Client de cette obligation juridique avant le Traitement, sauf si le droit auquel il est soumis interdit une telle information pour des motifs importants d’intérêt public.
14.2 Le Sous-Traitant informe immédiatement le Client si, selon lui et compte tenu des informations qui lui sont communiquées par le Client, une instruction constitue une violation des Règlementations Informatique et Libertés.
15. NATURE DES INSTRUCTIONS
15.1 La notion d’instruction documentée est considérée comme acquise lorsque le Sous-Traitant agit dans le cadre de l’exécution du Contrat ou au travers de tout ordre de service écrit complémentaire qui lui est communiqué par le Client en lien avec l’exécution du Contrat et ce, aux frais du Client et sous réserve de faisabilité. Il appartient dans ce cas au Client de s’assurer que l’ordre de service écrit est suffisamment précis, détaillé et explicite.
15.2 Compte tenu de la diversité des savoir-faire ou des composants techniques d’origines différentes mis en œuvre pour la réalisation des Prestations, le Client accepte que les Sous-Traitants Ultérieurs puissent être situés en dehors de l’Union Européenne. Le Sous-Traitant peut être amené à leur transférer des Données à Caractère Personnel pour les besoins des missions qu’il leurs confie au titre des services sous-traités et ce, notamment dans le cadre des prestations de tierce maintenance applicative.
15.3 En conséquence, la présente Convention vaut instruction de procéder pour le Sous-Traitant à des transferts de Données à Caractère Personnel vers un pays tiers à l’Union Européenne ou à une organisation internationale pour la fourniture des Prestations. Ces transferts sont réalisés dans le respect des Règlementations Informatique et Libertés, à savoir : dans le cadre d’une décision d’adéquation de la Commission Européenne ou de garanties appropriées, ou le cas échéant, des règles d’entreprise contraignantes, lesquelles sont mises à la disposition du Client à première demande.
PARTIE E – SECURITE ET CONFIDENTIALITE DES DONNEES A CARACTERE PERSONNEL
16. MISE EN PLACE DE MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES
16.1 Le Sous-Traitant s‘engage à mettre en place pour les Traitements qu’il réalise pour le compte du Client des mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté, compte tenu de l’état de ses connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des finalités des Traitements qui sont portées à sa connaissance, du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel.
16.2 Les mesures de sécurité techniques et organisationnelles mises en œuvre par le Sous-Traitant sont celles précisées dans le document intitulé « Mesures de sécurité techniques et organisationnelles » annexé sur document séparé.
17. RESPECT DE LA CONFIDENTIALITE
17.1 Le Sous-traitant s’engage à ne pas divulguer, sous quelque forme que ce soit, tout ou partie des Données à Caractère Personnel Traitées et ce, en dehors des instructions documentées du Client, d’une disposition légale ou règlementaire l’y autorisant, ou pour assurer la sauvegarde de ses droits éventuels.
17.2 Le Sous-Traitant s‘engage à prendre les mesures raisonnables afin que les préposés du Sous-Traitant autorisés à Traiter les Données à Caractère Personnel respectent la confidentialité dans les conditions prévues au présent article ou soient soumis à une obligation légale appropriée de confidentialité.
18. NOTIFICATION DES VIOLATIONS
18.1 Le Sous-Traitant s’engage à notifier au Client toute Violation de Données à Caractère Personnel en lien avec les Traitements qui lui sont confiés et ce, dans les meilleurs délais après en avoir pris connaissance. La notification est accompagnée de toute information utile en possession du Sous-Traitant afin de permettre au Client, si nécessaire, de notifier la Violation des Données à l’Autorité de Contrôle et aux Personnes Concernées le cas échéant.
PARTIE F – EXERCICE DU DROIT DES PERSONNES CONCERNEES
19. COLLECTE, INFORMATION ET RECUEIL DU CONSENTEMENT
19.1 Le Client est seul responsable de recueillir le consentement de la Personne Concernée lorsque celui-ci est requis et de lui fournir les informations et communications, y compris les modalités d’exercice de leurs droits, prévues par les Règlementations Informatique et Libertés lors de la collecte directe ou indirecte des Données à Caractère Personnel.
20. EXERCICE DU DROIT DES PERSONNES CONCERNEES
20.1 Le Client est seul responsable de s’acquitter de ses obligations de donner suite aux demandes d’exercice des droits des Personnes Concernées, à savoir le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du Traitement, le droit à la portabilité des Données à Caractère Personnel et le droit d’opposition ainsi que de notifier les Personnes Concernées de la rectification, de l’effacement des Données à Caractère Personnel ou de la limitation du Traitement.
20.2 Dans l’hypothèse où la Personne concernée exercerait ses droits directement auprès du Sous-Traitant, le Sous-Traitant s’engage à en informer le Client dans les meilleurs délais afin que ce dernier puisse répondre aux demandes des Personnes Concernées en ce qui concerne l’exercice de leurs droits.
PARTIE G – COOPERATION AVEC LE CLIENT
21. ASSISTANCE LORS DU CONTROLE DE L’AUTORITE DE CONTROLE
21.1 En cas de contrôle du Client par une Autorité de Contrôle, le Sous-Traitant s’engage à fournir au Client une assistance raisonnable compte tenu de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seuls Traitements réalisés par le Sous-Traitant, pour permettre au Client de communiquer à l’autorité de Contrôle toute information qui serait en possession exclusivement du Sous-Traitant, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.
21.2 Dans le cas où le contrôle mené par l’Autorité de Contrôle ne concernerait que les Traitements mis en œuvre par le Sous- Traitant pour ses besoins internes de responsable de traitement, celle-ci fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données à Caractère Personnel du Client. Dans le cas où le contrôle mené chez le Sous- Traitant concernerait les Traitements mis en œuvre pour le compte du Client, le Sous-Traitant s’engage à en informer le Client et à ne prendre aucun engagement au nom et pour le compte du Client sans son accord.
22. ASSISTANCE LORS DES NOTIFICATIONS DE VIOLATIONS DES DONNEES
22.1 En cas de Violation des Données Traitées, le Sous-Traitant s’engage à fournir au Client une assistance raisonnable compte tenu de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seules Violations des Données à Caractère Personnel en lien avec les Traitements confiés au Sous-Traitant et consiste en la fourniture d’informations qui seraient exclusivement en sa possession notamment pour les besoins d’enquête, de réduction ou de remédiation des Violations des Données à Caractère Personnel, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.
23. ASSISTANCE LORS DES ANALYSES D’IMPACT ET DES CONSULTATIONS PREALABLES
23.1 En cas de réalisation d’analyse d’impacts ou de consultations préalables de l’Autorité de Contrôle par le Client, le Sous-Traitant s’engage à fournir au Client une assistance raisonnable compte tenu de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seuls Traitements confiés au Sous-Traitant et consiste en la fourniture d’informations qui seraient exclusivement en sa possession, dans les conditions qui sont alors convenues avec le Client.
24. ASSISTANCE LORS DE L’EXERCICE DES DROITS DES PERSONNES CONCERNEES
24.1 En cas de demande d’exercice des droits des Personnes Concernées, le Sous-Traitant s’engage à fournir au Client une assistance raisonnable compte tenu de la nature des Traitements et des informations en sa possession et ce, sur demande écrite et aux frais du Client. Cette assistance est fournie pour les seules Personnes Concernées par les Traitements confiés au Sous-Traitant, et consiste à prendre des mesures de sécurité techniques et organisationnelles appropriées dans la mesure du possible pour que le Client s’acquitte de ses obligations vis-à-vis des personnes concernées. Cette assistance est fournie, sous réserve que le Client justifie ne pas pouvoir satisfaire lui-même à cette demande, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.
25. ASSISTANCE A LA MISE EN OEUVRE DES MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES
25.1 Compte tenu de la nature, de la portée, du contexte, des finalités des Traitements poursuivis par le Client, du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel, le Sous-Traitant, s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles complémentaires qui pourraient être requises par le Client et ce, sur demande écrite et aux frais du Client. Cette assistance est alors fournie pour les seuls Traitements confiés au Sous-Traitant, dans les conditions qui sont alors convenues avec le Client et sous-réserve de faisabilité.
PARTIE H – AUDIT
26. OBJET ET CONDITIONS DE REALISATION DE L’AUDIT
26.1 Sous réserve d’un préavis de quinze (15) jours envoyé par lettre recommandée avec avis de réception, le Client peut procéder sous sa responsabilité à un audit portant sur le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance au titre des Règlementations Informatique et Libertés. L’audit est réalisé aux frais du Client et pendant les heures habituelles d’ouverture du Sous-Traitant sans que cela ne perturbe les activités et l’organisation quotidienne du Sous-Traitant.
26.2 L’audit ne peut avoir lieu plus d’une (1) fois par année à moins que celui-ci ne soit exigé par une Autorité de Contrôle ou par toute autre autorité similaire qui ordonne de procéder à un audit sur le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance au titre des Règlementations Informatique et Libertés. Le Client doit communiquer au Sous-Traitant au moins quinze (15) jours avant la date de début de réalisation de l’audit prévu la liste de ses questions et points devant être audités. Avant de débuter l’audit, le Client et le Sous-Traitant devront s’accorder sur l’étendue, le calendrier et la durée de l’audit.
26.3 En tout état de cause, le Client s’engage à rembourser le Sous-Traitant pour le temps qu’il a consacré à l’audit ainsi que celui consacré par ses Sous-Traitants Ultérieurs au tarif alors en vigueur chez le Sous-Traitant ou le Sous-Traitant Ultérieur, lesquels sont mis à disposition du Client sur demande de ce dernier.
27. MODALITES DE REALISATION DE L’AUDIT
27.1 Le Sous-Traitant accepte que l’audit soit réalisé directement par un ou plusieurs préposés du Client ou indirectement par ou
conjointement avec un cabinet d’audit ou d’expertise mandaté par le Client, approuvé par le Sous-traitant et reconnu comme auditeur indépendant de l’organisation de chacune des parties.
27.2 Lors de la réalisation de l’audit, le Sous-Traitant s’engage à mettre à disposition du Client les informations nécessaires et utiles pour démontrer le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance en lien avec les Traitements réalisés au titre des Règlementations Informatique et Libertés et de la présente Convention.
27.3 L’audit doit donner lieu à un rapport d’audit du Client ou du tiers qu’il a mandaté à cet effet, prenant en compte les remarques et observations éventuelles du Sous-Traitant, et dont une (1) copie est remise au Sous-Traitant pour que ce dernier puisse émettre ses observations et réponses ou pour qu’il puisse discuter avec le Client, si besoin, de l’éventuel plan de correction qui serait décidé d’un commun accord, le cas échéant.
PARTIE I – SOUS-TRAITANCE EN CASCADE
28. AUTORISATION GENERALE
28.1 Le Client accepte que le Sous-Traitant puisse sous-traiter tout ou partie des Traitements à des Sous-Traitants Ultérieurs. Le Sous-Traitant s’engage à répercuter aux Sous-Traitants Ultérieurs et ce, au travers d’un contrat, les mêmes obligations ou des obligations similaires à celles prévues dans la présente Convention. Le Sous-Traitant veille à s’assurer qu’ils présentent des garanties quant à la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ou à toute autre garantie satisfaisante en cas de transfert hors de l’Union Européenne, de manière à ce que les Traitements qui lui sont confiés répondent aux exigences des Règlementations Informatiques et Libertés.
28.2 Si les Sous-Traitants Ultérieurs ne remplissent pas leurs obligations en matière de protection des Données à Caractère Personnel, le Sous-Traitant demeure pleinement responsable devant le Client de l’exécution par les Sous-Traitants Ultérieurs de ses obligations conformément aux termes du Contrat.
29. AJOUT OU REMPLACEMENT DE SOUS-TRAITANTS ULTERIEURS
29.1 Le Sous-Traitant s’engage à informer le Client par tout moyen de tout changement par ajout ou remplacement de Sous-Traitant Ultérieur. Le Client dispose d’un délai de trente (30) jours à compter de la communication de l’information pour émettre des objections à l’encontre de ces changements et ce, sous réserve de justifier d’un motif avéré et légitime par écrit. Si le Client justifie d’un motif avéré et légitime pour le Client, ce dernier s’engage à fournir les justificatifs au Sous-Traitant et ce dernier s’engage à faire ses meilleurs efforts pour trouver une solution alternative.
29.2 Le Sous-Traitant tient à la disposition du Client, une liste des Sous-Traitants Ultérieurs impliqués dans le Traitement de Données à Caractère Personnel.
PARTIE J – ACCORD ET SIGNATURE
Les Parties souscrivent sans réserve à la présente Convention par la signature de leurs représentants déclarant être dûment autorisés et avoir la pleine capacité aux fins des présentes.
Pour le Client | Pour le Sous-Traitant | ||
Raison sociale : | Raison sociale : | SIGMA INFORMATIQUE | |
Lieu : | Lieu : | ||
Date : | Date : | ||
Identité : | Identité : | ||
Fonction : | Fonction : | ||
Signature : | Signature : | ||
ANNEXE 1 - MODELE DE CONDITIONS PARTICULIERES DE TRAITEMENT A LA CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL RESPONSABLE DE TRAITEMENT A SOUS-TRAITANT
Référence du Contrat :
PARTIE A – NATURE DES TRAITEMENTS POUVANT ETRE CONFIES AU SOUS-TRAITANT
TYPES DE TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL | |||
☐ | Collecte | ☐ | Consultation |
☐ | Enregistrement | ☐ | Utilisation |
☐ | Organisation | ☐ | Communication par transmission |
☐ | Structuration | ☐ | Diffusion ou toute autre forme de mise à disposition |
☐ | Conservation | ☐ | Rapprochement ou interconnexion |
☐ | Adaptation | ☐ | Limitation |
☐ | Modification | ☐ | Effacement |
☐ | Extraction | ☐ | Destruction |
PARTIE B – FINALITES DES TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL
Les Finalités des Traitements poursuivies par le Client sont :
- [Finalité 1],
- [Finalité 2],
- [Finalité 3],
- [Finalité 4],
- [Finalité 5],
- [Finalité 6],
- [Finalité 7].
PARTIE C – TYPES DE DONNEES A CARACTERE PERSONNEL
CATEGORIES DE DONNEES A CARACTERE PERSONNEL | |||
DONNEES NON SENSIBLES | |||
☐ | Données d'identification | ☐ | Données d'ordre économiques et financières |
☐ | Données de vie professionnelle | ☐ | Données de connexion |
☐ | Données de vie personnelle | ☐ | Données de localisation |
DONNEES SENSIBLES | |||
☐ | Données révélant l'origine raciale ou ethnique | ☐ | Données concernant la santé |
☐ | Données révélant les opinions politiques | ☐ | Données concernant la vie sexuelle ou l'orientation sexuelle |
☐ | Données révélant l'appartenance syndicale | ☐ | Données concernant des condamnations pénales ou des infractions |
☐ | Données génétiques | ☐ | Numéro d'identification national unique |
☐ | Données biométriques aux fins d'identification | - | ---------------------------------------------------------------------------------- |
PARTIE D – CATEGORIES DE PERSONNES CONCERNEES PAR LES TRAITEMENTS
Les catégories de Personnes Concernées par les Traitements sont :
- [Catégorie 1],
- [Catégorie 2],
- [Catégorie 3],
- [Catégorie 4],
- [Catégorie 5],
- [Catégorie 6],
- [Catégorie 7].
PARTIE E – ACCORD ET SIGNATURE
Les Parties souscrivent sans réserve aux présentes Conditions Particulières par la signature de leurs représentants déclarant être dûment autorisés et avoir la pleine capacité aux fins des présentes.
Pour le Client | Pour le Sous-Traitant | ||
Raison sociale : | Raison sociale : | SIGMA INFORMATIQUE | |
Lieu : | Lieu : | ||
Date : | Date : | ||
Identité : | Identité : | ||
Fonction : | Fonction : | ||
Signature : | Signature : | ||
ANNEXE 2 – NOTICE INFORMATIVE
FAQ CONDITIONS PARTICULIERES DE TRAITEMENT RESPONSABLE DE TRAITEMENT A SOUS-TRAITANT
Pourquoi remplir les conditions particulières ?
Au titre de l’article 28 du Règlement (UE) 2016/679 relatif à la protection des données (« RGPD »), le client (en tant que responsable de traitement) et le prestataire (en tant que sous-traitant) sont tenus de conclure une convention de traitements de données à caractère personnel communément appelé Data Privacy Agreement dès lors que le prestataire traite des données à caractère personnel pour le compte du client.
L’objet des clauses devant figurer dans la convention est indiqué à l’article 28 du RGPD. Ces clauses prévoient un ensemble d’obligations et de responsabilités pour le client et le prestataire (dans le corps de la convention). L’article 28 du RGPD exige aussi que la convention précise certaines informations dont le prestataire n’a pas connaissance. Celles-ci doivent donc lui être communiquées par le client (dans les conditions particulières).
Que se passe-t-il si les conditions particulières de traitements ne sont pas retournées ou si les informations sont inexactes ?
Si les conditions particulières ne sont pas retournées ou si les informations qui y sont mentionnées sont inexactes, SIGMA INFORMATIQUE ne pourra pas remplir correctement l’ensemble de ses obligations de sous-traitant au titre du RGPD.
Si vous n’êtes pas en mesure de remplir les conditions particulières concomitamment à la signature de la convention, nous vous demandons néanmoins de nous retourner la convention signée. Cela permettra à SIGMA INFORMATIQUE de remplir déjà une partie de ses obligations de sous-traitant.
Nous vous rappelons qu’il est de votre responsabilité de communiquer à SIGMA INFORMATIQUE les informations qui vous sont demandées dans le cadre des conditions particulières. En outre, il est aussi de votre responsabilité de pouvoir démontrer en cas de contrôle des autorités de contrôle en matière de protection des données (la CNIL en France) que vous avez un contrat avec votre prestataire conforme à l’article 28 du RGPD précisant également les informations demandées dans les conditions particulières.
Comment trouver les informations devant être fournies dans les conditions particulières ?
En tant que responsable de traitement, vous êtes tenus de cartographier et de consigner tout un ensemble d’informations sur les traitements de données à caractère personnel que vous réalisez, notamment les finalités des traitements, les données à caractère personnel que vous traitez, les durées de conservation, etc… et plus particulièrement celles des articles 13 et 14 du RGPD.
Si vous êtes tenu de disposer d’un registre des activités de traitements en application de l’article 30 du RGPD, alors vous trouverez ces informations dans votre registre. Vous pouvez aussi demander l’aide de votre délégué à la protection des données si vous en avez nommé un ou celle de toute personne qui a été désignée dans votre organisation pour superviser la protection des données à caractère personnel que vous traitez ou que vous confiez en traitement à vos sous-traitant.
Si cette personne n’existe pas, vous pouvez vous renseigner auprès de la CNIL (xxx.xxxx.xx). Vous pouvez également faire appel à l’un des prestataires spécialisé dans l’accompagnement à la protection des données et dont les coordonnées figurent sur le site du SYNTEC (xxxxx://xxxxxx-xxxxxxxxx.xx/xxxxxxx-xxxxxxxxx-xxxxxxxxx/xxxxx-xxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxxxx-xxxx-xx- oeuvre).
Néanmoins, pour vous aider, nous avons prévu ci-après des exemples qui nous l’espérons vous permettront de mieux comprendre ce qu’il faut entendre par personnes concernées, traitement, données à caractère personnel et finalité de traitement.
A quoi correspondent les finalités des traitements ?
Les finalités d’un traitement correspondent aux objectifs que vous poursuivez en traitant des données à caractère personnel. Les finalités vous sont propre et dépendent de votre activité, de vos processus et politiques internes. Se demander quelles sont les finalités, c’est se demander pourquoi et à quoi servent les données à caractère personnel. 3 exemples concrets :
Cas 1 – Vous avez un service qui administre les ressources humaines :
Vous collectez puis traitez surement des données à caractère personnel concernant des salariés ou des stagiaires. Ces traitements sont probablement destinés à des fins d’exécution du contrat de travail ou de stage, de réalisation de la paye des collaborateurs ou de gratification des stagiaires, d’évaluation des performances de collaborateurs, de suivi des absences, etc…
Cas 2 - Vous vendez des biens et des services :
Vous collectez puis traitez surement des données à caractère personnel concernant des prospects et des clients. Ces traitements sont probablement destinés à des fins d’exécution du contrat de vente, de suivi de la relation client, de prospection réalisation etc…
Cas 3 - Vous êtes un établissement de santé :
Vous collectez puis traitez surement des données à caractère personnel concernant des patients. Ces traitements sont probablement destinés à des fins d’administration de soins, de suivi médical, de recherche, etc…
A quoi correspondent les types de Données à Caractère Personnel ?
Les types de données à caractère personnel correspondent à des regroupements de données à caractère personnel au sein de grandes catégories. Le tableau ci-dessous vous donne des exemples pour savoir de quelle catégorie relèvent les données à caractère personnel que vous collectez et traitez.
TYPE | EXEMPLES (A TITRE INDIDICATIF) |
DONNEES NON SENSIBLES | |
Données d'identification | Nom, prénom, n° de pièce d’identité, adresse, identifiant et mot de passe, n° de téléphone, adresse, email, n° d’adhérent, n° de contrat, n° de compte, etc.. |
Données de vie professionnelle | Fonction, salaire, appréciation professionnelle, diplômes obtenus, etc… |
Données de vie personnelle | Statut marital, nombre d’enfants, taille, couleur des yeux, pointure des chaussures, préférence alimentaires, préférence de voyage, etc… |
Données d'ordre économiques et financières | RIB, n° de carte bancaire, information sur les difficultés économiques, etc… |
Données de connexion | Logs de connexions, cookies, etc… |
Données de localisation | Données issues de GPS ou de systèmes permettant d’indiquer où se situe une personne. |
DONNEES SENSIBLES | |
Données révélant l'origine raciale ou ethnique | Information sur l’ethnie, les origines, etc… |
Données révélant les opinions politiques | Informations relatives à des adhésions à des partis politiques, intentions de vote, etc… |
Données révélant l'appartenance syndicale | Information relatives à des adhésions à des syndicats ou participations à des éventements syndicaux, etc… |
Données génétiques | Données relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique, etc…. |
Données biométriques aux fins d'identification | Empreinte digitale ou vocale, contour/réseau veineux de la main, image de la rétine, etc… |
Données concernant la santé | Numéro, symbole ou élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé, informations obtenues lors de test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques, toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro, etc… |
Données concernant la vie sexuelle ou l'orientation sexuelle | Préférences, pratiques sexuelles, etc… |
Données concernant des condamnations pénales ou des infractions | Informations sur les crimes et délits commis, etc… |
Numéro d'identification national unique | N° de sécurité sociale. |
A quoi correspondent les catégories de personnes concernées ?
Les catégories de personnes concernées correspondent aux types de personnes physiques dont les données à caractère personnel font l’objet d’un traitement. 3 exemples concrets (toujours les mêmes pour aller plus loin dans la réflexion) :
Cas 1 – Vous avez un service qui administre les ressources humaines :
Vous collectez puis traitez probablement des données à caractère personnel concernant des candidats, des salariés, des stagiaires, etc…
Cas 2 - Vous vendez des biens et des services :
Vous collectez puis traitez potentiellement des données à caractère personnel concernant des prospects et des clients, ou celles de leurs collaborateurs lorsque le prospect ou le client ne sont pas des consommateurs mais des personnes morales.
Cas 3 - Vous êtes un établissement de santé :
Vous collectez puis traitez potentiellement des données à caractère personnel concernant des patients.
A quoi correspondent les catégories de Traitements ?
Les catégories de traitements ne correspondent pas aux services et prestations que nous vous commercialisons mais aux opérations sur les données à caractère personnel elles-mêmes et que vous nous confiez.
TYPE | EXEMPLES (A TITRE INDIDICATIF) |
Collecte | Obtenir des données auprès des personnes concernées |
Enregistrement | Xxxxxx, reprendre ou synchroniser des données |
Organisation | Dédoublonner, joindre, filtrer ou grouper des données |
Structuration | Indexer des données |
Conservation | Héberger ou stocker des données |
Adaptation | Changer le format des données |
Modification | Rectifier des données |
Extraction | Exporter de données |
Consultation | Visualiser des données |
Utilisation | Manipuler les données pour obtenir un résultat attendu |
Communication par transmission | Envoyer des données par un réseau de transmission |
Diffusion ou toute autre forme de mise à disposition | Fournir des données par tout moyen |
Rapprochement ou interconnexion | Envoyer ou réceptionner des données par interface |
Limitation | Limiter temporairement le traitement à l’exception de la conservation des données |
Effacement | Suppression de la donnée |
Destruction | Effacement définitif et irréversible de donnée |
FIN DU DOCUMENT