Clauses contractuelles types de sous-traitance - Hôtel
MCI
Clauses contractuelles types de sous-traitance - Hôtel
CLAUSE DONNEES PERSONNELLES/PROTECTION DES DONNEES
I. Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles l’Hôtel, sous- traitant, s’engage à effectuer pour le compte de MCI, responsable de traitement, les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « le RGPD »).
Les termes suivants sont définis comme suit :
- “responsable de traitement” : la personne physique ou morale (ex. filiale), l'autorité publique, le service ou un autre organisme qui détermine seul ou conjointement avec d’autres les finalités et méthodes de traitement.
- “sous-traitant” : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
II. Description du traitement faisant l’objet de la sous-traitance
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) – Réservation de chambres d’hôtel.
Les informations relatives au traitement faisant l’objet de la sous-traitance sont détaillées ci- après :
Finalité(s) du traitement | Réservation de chambres d’hôtel |
Catégories de données à caractère personnel traitées, | Rooming list : Nom, prénom, adresse email, pays d’origine, |
nom de l’entreprise, date d’arrivée et de départ | |
Catégories de personnes concernées | Participants aux congrès |
Durée de conservation des données ou critère justifiant la conservation des données (à différencier de la durée du contrat) | Maximum un an après la date de départ |
Le cas échéant, point de contact/coordonnées du délégué à la protection des données à caractère personnel du sous- traitant | Signataire du contrat |
Ce tableau est considéré comme une instruction écrite formelle pour le traitement des données par le sous-traitant.
III. Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant s'engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
2. traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement.
3. sauf autorisation expresse spécifique contraire du responsable de traitement, traiter les données exclusivement sur le territoire d’un État membre de l’EEE. Le sous- traitant s’engage à ne divulguer, à ne rendre accessible ou à ne transférer aucune donnée du responsable de traitement, même à des fins d’acheminement, à toute entité de traitement ou tout sous-traitant établi(e) dans un pays tiers situé en dehors de l’EEE, sauf avec le consentement préalable et écrit du responsable de traitement. Le responsable de traitement se réserve le droit de procéder à toute vérification qu’il estime nécessaire afin de confirmer l’exécution des obligations découlant du présent article.
En cas de transfert en dehors de l’EEE autorisé par le responsable de traitement, ce transfert ne pourra intervenir que dans la stricte limite nécessaire à l’exécution des prestations, et pour autant que ce transfert soit opéré vers un État dont la législation en matière de protection des
données personnelles a été reconnue par la Commission européenne comme présentant un niveau de protection équivalent, ou soit encadré par la conclusion de clauses contractuelles types émises par la Commission européenne ou s’effectue sur la base de tout autre fondement alternatif reconnu par le règlement européen sur la protection des données, sous réserve de l’accord préalable écrit du responsable de traitement sur ce fondement alternatif. Le sous- traitant s’engage à annexer au présent contrat le justificatif lui permettant d’opérer un tel transfert.
Le sous-traitant se porte fort de la signature et du respect des exigences du présent article par ses propres sous-traitants.
4. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
5. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
reçoivent la formation nécessaire en matière de protection des données à caractère personnel
6. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
7. Sous-traitance
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur
») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum d’un mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
8. Droit d’information des personnes concernées
Le sous-traitant, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doit être convenue avec le responsable de traitement avant la collecte de données.
9. Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à xxxx.xxxxx@xxx-xxxxx.xxx, MCI Group Data Protection Officer.
10. Notification des violations de données à caractère personnel
Le sous-traitant notifie au DPO Groupe ou DPO référent du responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par email. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Le sous-traitant met en place et maintient pendant toute la durée du Contrat, et obtient de chacun de ses sous-traitants qu’ils mettent en place et maintiennent pendant toute la durée du Contrat, un processus et des procédures de gestion des incidents de sécurité (y compris notamment des violations de données à caractère personnel) et de gestion de la continuité des prestations conformes aux standards de l’industrie. Le sous-traitant (i) communique au responsable de traitement le nom et les coordonnées de l’un de ses employés qui intervient comme principal interlocuteur du responsable de traitement en matière de sécurité et est disponible en cas de besoin 24h/24 et 7J/7 pour prendre en charge tout incident de sécurité. Toute demande du responsable de traitement relative à la sécurité doit être traitée avec diligence et de manière prioritaire par le sous-traitant.
Sans limitation des autres droits et recours du responsable de traitement, en cas d’incident de sécurité ou de violation de données à caractère personnel avéré(e) ou présumé(e), le sous- traitant en avisera le responsable de traitement sans délai et au plus tard dans les 24 heures après la survenance de l’incident de sécurité ou de la violation de données à caractère personnel.
Immédiatement après ladite notification, les Parties coordonneront leurs actions afin d’enquêter sur l’incident de sécurité concerné. Le sous-traitant s’engage à coopérer pleinement, à ses frais, avec le responsable de traitement afin de l’aider à gérer la situation,
notamment, sans que cela ne soit limitatif : (i) en l’aidant pour toute enquête ; (ii) en fournissant au responsable de traitement ou au tiers indépendant désigné par le responsable de traitement un accès physique aux installations et opérations concernées ; (iii) en organisant des entretiens avec les employés du responsable de traitement et toutes autres personnes appropriées ; et (iv) en fournissant tous les registres, journaux, dossiers, communications de données et autres documents pertinents nécessaires pour se conformer aux lois, réglementations et standards de l’industrie ou tels que requis par le responsable de traitement.
Le sous-traitant fournira également toute l’aide raisonnable nécessaire au responsable de traitement en cas de notification que ce dernier pourrait être contraint ou pourrait choisir de faire relativement à une violation de données à caractère personnel. Le sous-traitant s’engage à ne pas informer les tiers, y compris les personnes concernées, de toute violation de données à caractère personnel sans avoir obtenu le consentement préalable et écrit du responsable de traitement, sauf dans les cas prévus par le règlement européen sur la protection des données. Par ailleurs, le sous-traitant reconnait que le responsable de traitement est seul habilité à déterminer : (i) si la violation de données à caractère personnel doit ou non être notifiée à toute personne, autorité de régulation, autorité administrative ou à toute autre personne en vertu du règlement européen sur la protection des données ; et (ii) le contenu de ladite notification. Lorsque règlement européen sur la protection des données exige du responsable de traitement qu’il notifie la violation de données à caractère personnel aux personnes concernées, il est entendu que le sous-traitant supporte l’ensemble des coûts associés à ladite notification.
Le sous-traitant prend les mesures appropriées, à ses frais, pour atténuer les conséquences de tout incident de sécurité et y remédier, et apporte toutes les modifications jugées nécessaires afin d’éviter que pareil Incident ne se reproduise. Le sous-traitant aide, à ses frais, le responsable de traitement à restaurer les données du responsable de traitement en cas de perte de données occasionnée par tout manquement à ses obligations au titre du Contrat.
Le sous-traitant coopère et fournit au responsable de traitement l’assistance nécessaire s’agissant de toute plainte formulée par une personne concernée ou de toute enquête ou requête émanant d’une autorité de régulation en vertu du règlement européen sur la protection des données ou de toute autre réglementation applicable.
Le sous-traitant remboursera au responsable de traitement les coûts réellement encourus par celui-ci afin d’apporter une réponse à tout incident de sécurité et d’atténuer les dommages occasionnés par celui-ci, y compris, entre autres, le coût des enquêtes, des notifications et/ou des mesures correctives. Lorsque le règlement européen sur la protection des données impose au responsable de traitement de notifier une violation de données à caractère personnel, le sous-traitant prend en charge les frais liés à cette notification.
Il est de convention expresse entre les Parties qu’en cas de violation de données à caractère personnel, les dommages suivants sont considérés comme directs : (i) les frais raisonnables et nécessaires d’enquête et de remédiation ; (ii) les couts raisonnables et nécessaires de notification lorsqu’un telle notification est requise par la réglementation applicable et (ii) les pénalités, dommages et intérêts, montants payés au titre de transaction, remboursements, compensation, et autres coûts liés au respect d’obligations résultant d’un jugement, d’une
transaction ou de la réglementation applicable (les « Pertes ») dans la mesure où ces Pertes sont dues à un manquement du sous-traitant à ses obligations contractuelles.
Le sous-traitant tient, et met à la disposition du responsable de traitement, un registre des incidents de sécurité y compris notamment des violations de données à caractère personnel et documente toute information pertinente concernant les circonstances de ces incidents et violations, les dommages et les mesures correctives prises afin d’atténuer leurs effets, ainsi que les actions et mesures prises afin d’éviter toute répétition de pareils incidents ou violations.
11. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant collabore avec le responsable de traitement et met tout en œuvre pour aider le responsable de traitement à prouver qu’il respecte toute obligation législative ou réglementaire prévue notamment par le règlement européen sur la protection des données.
Le sous-traitant aide notamment le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Le sous-traitant aide également le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
12. Mesures de sécurité
Le sous-traitant reconnaît que la sécurité est un critère fondamental pour le responsable de traitement, et que le respect, par le sous-traitant, des exigences de sécurité définies dans les présentes constitue une obligation essentielle et déterminante du consentement du responsable de traitement au présent contrat.
Le sous-traitant s’engage à détailler en annexe du présent contrat les mesures de sécurité prises pour assurer la sécurité des traitements de données personnelles réalisés pour le compte du responsable de traitement, conformément à l’article 32 du RGPD.
13. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à :
- Détruire toutes les données à caractère personnel ou
- À tout moment, sur demande écrite du responsable de traitement, et au plus tard dans les 15 jours calendaires suivant la fin du Contrat, le sous-traitant s’engage à retourner, sous une forme lisible ou interopérable convenue entre les Parties, les données à caractère personnel du responsable de traitement et à détruire toutes les copies (papier ou électronique) de données à caractère personnel du responsable de traitement qu’il pourrait détenir. Le sous-traitant devra sur demande attester de la destruction effective des données à caractère personnel du responsable de traitement dans les 15 jours calendaires suivant la demande du responsable de traitement ou la fin du Contrat.
Le responsable de traitement se réserve le droit de procéder à toute vérification qu’il estime nécessaire afin de confirmer l’exécution de ces obligations.
Cet article restera en vigueur après l’expiration ou la résiliation du Contrat pour quelle que raison que ce soit.
14. Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
• le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
• les catégories de traitements effectués pour le compte du responsable du traitement ;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
▪ la pseudonymisation et le chiffrement des données à caractère personnel;
▪ des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
▪ des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
▪ une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
15. Documentation
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
16. Audit
Pendant toute la durée du Contrat, le responsable de traitement pourra réaliser lui-même ou par l’intermédiaire d’un tiers indépendant à ses frais – sous réserve d’un préavis de cinq (5) jours ouvrés – des tests et audits de tout ou partie des prestations, y compris auprès des sous- traitants autorisés, afin de s’assurer du respect des stipulations du Contrat, en termes de :
▪ conformité aux Politiques de Sécurité,
▪ qualité de service,
▪ maintien des mesures de sécurité appropriées, pour assurer notamment la protection de l’intégrité et de la confidentialité des données du Responsable de traitement.
Lorsque les prestations impliquent le traitement de données à caractère personnel, l’audit pourra également porter sur la vérification du règlement européen sur la protection des données et sur la vérification :
▪ des lieux de traitement et/ou de stockage des données à caractère personnel ;
▪ des transferts de données à caractère personnel en dehors l’Espace Economique Européen ;
▪ des mesures prises afin d’assurer la sécurité des données à caractère personnel et de lutter contre les violations de données à caractère personnel.
Le sous-traitant s’engage à autoriser le responsable de traitement, ou les sociétés nommées par ce dernier auxquels est confié l’audit, à accéder aux informations nécessaires pour mener leur mission à bien et accéder aux sites où sont assurées les prestations.
Le sous-traitant coopèrera pleinement (et, s’agissant des sous-traitants et représentants, il veillera à ce que ces derniers coopèrent) avec le responsable de traitement et, selon le cas, les représentants de l’audit du responsable de traitement, y compris en leur donnant accès aux locaux, au personnel, aux environnements physiques et techniques, à l’équipement, aux logiciels, à la documentation, aux données, registres et systèmes relatifs aux prestations, et à toute information utile dans la mesure raisonnablement nécessaire pour réaliser l’audit.
Un rapport d’audit devra être adressé au sous-traitant.
Le sous-traitant autorise également le responsable de traitement à effectuer ou à faire effectuer des tests de sécurité en continu pour vérifier que les systèmes du sous-traitant ne sont pas vulnérables (par exemple du fait d’un défaut de configuration ou d’un défaut de mise à jour) et détecter tout changement susceptible d’exposer les données à des risques d’intrusion.
Par ailleurs, le responsable de traitement peut procéder à toute investigation sur Internet permettant de détecter des violations de données à caractère personnel avérées.
S’il s’avère suite aux mesures d’audit et de tests décrites ci-dessus que les mesures de sécurité mises en œuvre par le sous-traitant ne sont pas appropriées ou suffisantes, ou si ces audits ou tests révèlent certaines lacunes ou non-conformités aux exigences énoncées dans le présent Contrat et/ou aux exigences légales applicables et/ou aux standards en vigueur, le sous-traitant mettra en place des actions correctives dans des délais à convenir entre les Parties, et fonction de la gravité du manquement constaté, dans un délai maximum de 15 jours, et ce, sans préjudice des droits supplémentaires du responsable de traitement de demander des dommages-intérêts et/ou de résilier le Contrat. Les frais d’audit sont à la charge du sous-traitant en cas de manquements constatés dans le cadre de l’audit.
V. Obligations du responsable de traitement vis-à-vis du sous-traitant
Le responsable de traitement s’engage à :
1. fournir au sous-traitant les données visées au II des présentes clauses
2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous- traitant
Data controller – MCI | Data processor |
Date Nom Signature | Date Nom Signature |