Annexe 2 : Accord sur le Traitement des Données Personnelles

Annexe 2 : Accord sur le Traitement des Données Personnelles

I. Objet

Les présentes clauses de sous-traitance (« Data Processing Agreement » ou « DPA ») ont pour objet de définir les conditions dans lesquelles LEARN & GO (ci-après « le sous-traitant ») s’engage à effectuer, de la solution vendue en application des Conditions Générales auxquelles sont annexées les présentes (« le Contrat »), les opérations de traitement de données à caractère personnel définies ci-après, pour le compte du Client ou de l’Utilisateur final qui agira en tant que responsable de traitement.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

Le présent DPA est exclusivement applicable au traitement de données à caractère personnel dans le cadre du Contrat.

Pendant l’exécution du Contrat, le Sous-traitant peut traiter des données à caractère personnel (“Données à caractère personnel”) pour le compte et sur instruction du Responsable du traitement dans le cadre de l’exécution du Contrat avec le Responsable du traitement. Un relevé des catégories de Données à caractère personnel, les finalités pour lesquelles elles peuvent être traitées et une description de la ou des activités de traitement, des mesures de protection et des transferts éventuels de Données à caractère personnel est établi par les Parties et communiqué séparément. Le Responsable du traitement est, à l’exclusion de tout autre, seul responsable de la détermination des finalités pour lesquelles des Données à caractère personnel seront (devront être) traitées ainsi que de la manière de procéder.

La propriété des Données à caractère personnel ne sera jamais transférée au Sous-traitant, à moins qu’il s’agisse de ses propres Données à caractère personnel ou de celles de son personnel ou de ses préposés.

II. Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) faisant l’objet du Contrat.

La nature des opérations réalisées sur les données relève de leur hébergement en mode Cloud et, sur demande du Client, de l’accès par les équipes technique du sous-traitant aux données afin de les déplacer, de les restaurer ou de les supprimer.

La ou les finalité(s) du traitement, les données à caractère personnel traitées ainsi que les catégories de personnes concernées dans le cadre des prestations visées par le contrat sont répertoriées dans le registre des traitements établi le responsable de traitement d’une part et le sous-traitant d’autre part, ce dernier n’ayant pas le contrôle sur les données recueillies et sauvegardées.

Pour le respect des présentes conditions, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes :

Nom et informations de contact du Responsable du traitement

Nom et informations de contact du Délégué à la Protection des Données

III. Durée du contrat

Le présent contrat entre en vigueur rétroactivement à la date du Contrat et pour une durée égale à ce dernier.

IV. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s'engage à :

- traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet du Contrat et de

- traiter les données conformément aux instructions documentées du responsable de traitement dont il aura accusé réception. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous- traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public

- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat

- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

o s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité

o reçoivent la formation nécessaire en matière de protection des données à caractère personnel

- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

V. Sous-traitance

Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai maximum de 5 jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. Cette sous- traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.

Le liste des sous-traitants ultérieurs figure au registre des traitements de données et est mise à la disposition du client par n’importe quel moyen.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

VI. Droit d’information des personnes concernées

Il appartient au responsable de traitement de fournir une information suffisante et pertinente aux personnes concernées par les opérations de traitement au moment de la collecte des données.

VII. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable de traitement, sous réserve que celui-ci lui ait fourni les contacts nécessaires à cet effet.

VIII. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures ouvrées après en avoir pris connaissance, par tout moyen. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

IX. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

Le sous-traitant apporte une aide raisonnable au responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le sous-traitant apporte une aide raisonnable au responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

X. Mesures de sécurité

Sans préjudice d’éventuelles autres normes de sécurité convenues ailleurs par les Parties, le Sous-traitant prendra, de manière démontrable, des mesures techniques et organisationnelles de sécurisation adéquates qui, eu égard à l’état d’avancement actuel de la technique et aux frais y afférents, sont en adéquation avec la nature des Données à caractère personnel à traiter, afin de sécuriser à tout moment les Données à caractère personnel contre toute destruction accidentelle ou illicite, perte ou altération accidentelle, publication ou accès non-autorisé ou traitement illégal. Ces mesures comprendront dans tous les cas :

- des mesures destinées à faire en sorte que les Données à caractère personnel soient uniquement accessibles pour les collaborateurs compétents qui ont besoin d’accéder aux Données à caractère personnel aux fins prévues au Contrat ;

- des mesures de protection des Données à caractère personnel contre toute destruction accidentelle ou illicite, perte ou modification accidentelle, conservation, traitement, accès ou publication non-autorisé ou illicite ;

- des mesures destinées à constater toute vulnérabilité sur le plan du traitement des Données à caractère personnel dans les systèmes qui sont utilisés pour les prestations de services au Responsable du traitement ;

- les mesures de protection convenues entre Parties lors de l’exécution du Contrat.

XI. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage, sur simple demande du responsable de traitement, à lui restituer l’ensemble des données hébergées.

Une fois les données restituées, le sous-traitant attestera de leur suppression sur ses systèmes.

XII. Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un, conformément à l’article 37 du règlement européen sur la protection des données.

A défaut de délégué à la protection des données, le sous-traitant porte à la connaissance du responsable de traitement, par tout moyen, l’identité de la personne à contacter pour les questions relatives à la protection des données personnelles.

XIII. Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;

- les catégories de traitements effectués pour le compte du responsable du traitement;

- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées;

- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

o la pseudonymisation et le chiffrement des données à caractère personnel;

o des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

o des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

o une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

XIV. Documentation

Le sous-traitant met à la disposition du responsable de traitement, sur demande par ce dernier, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits dans la mesure des moyens raisonnables qu’il peut mettre en œuvre.

XV. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

- fournir au sous-traitant les données visées au II des présentes clauses

- documenter par écrit toute instruction concernant le traitement des données par le sous- traitant

- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous- traitant

- superviser le traitement, y compris réaliser les audits et les inspections auprès du sous- traitant.