Accord de traitement des données

Accord de traitement des données

Le Responsable du traitement et le Sous-traitant conviennent par les présentes de ce qui suit :

1. Interprétation

1.1 Aux fins du présent Accord de traitement des données :

« Accord » désigne le contrat portant sur la fourniture de services Cloud, de programmes et de services professionnels auquel le présent Accord de traitement des données est joint, tel que modifié de temps à autres.

Aux fins du présent Accord de traitement des données, le terme « Responsable du traitement » désigne le client tel que défini dans l'Accord.

Aux fins du présent Accord de traitement des données, le terme « Sous-traitant » désigne le fournisseur tel que défini dans l'Accord.

1.2 Les termes utilisés dans cet Accord de traitement des données mais qui ne sont pas définis dans la présente se verront attribuer la signification qui leur est donnée dans l'Accord.

2. Objet du présent Accord de traitement des données

2.1 L'Accord de traitement des données a pour objet d'assurer la mise en place de dispositifs appropriés pour le traitement par le Sous-traitant des Données personnelles provenant du Responsable du traitement et se rapportant à la prestation de services Cloud et des services correspondants, comme définis dans l'Accord (les services Cloud et les services collectivement désignés dans cet Accord de traitement des données par les « Services »).

2.2 Par « Législation sur la protection des données », on entend toutes les lois sur la protection des données et de la vie privée applicables aux Données personnelles, le Règlement général sur la protection des données (UE) 2016/679 (ci-après le « RGPD ») ainsi que toutes les lois, règlementations et législations secondaires nationales en vigueur, telles que modifiées ou mises à jour, et toute législation ultérieure au RGPD.

2.3 Les termes tels que « traitement » (ou les termes qui en sont dérivés), « Données personnelles », « Responsable du traitement », « Sous-traitant », « Personne concernée » et « mesures techniques et organisationnelles appropriées » ont le sens qui leur est attribué dans la Législation sur la protection des données.

2.4 Les conditions du présent Accord de traitement des données s'appliqueront dans la mesure où le Sous-traitant traitera les Données personnelles soumises à la Législation sur la protection des données pour le compte du Responsable du traitement pendant la fourniture des Services au Responsable du traitement. Un aperçu des catégories de Données personnelles, des types de Personnes concernées et des finalités de traitement des Données personnelles est présenté à l'Annexe 2.

3. Le Responsable du traitement et le Sous-traitant

3.1 Le Responsable du traitement et le Sous-traitant s'engagent à respecter toutes les exigences applicables de la Législation sur la protection des données.

3.2 Le Responsable du traitement déterminera la portée et les finalités du traitement des Données personnelles ainsi que la manière dont le Sous-traitant pourra y accéder et pourra les traiter. Le Sous-traitant ne traitera les Données personnelles que selon les instructions écrites du Responsable du traitement.

3.3 Le Sous-traitant ne traitera les Données personnelles que sur instruction documentée du Responsable du traitement dans une mesure et selon les modalités appropriées pour la prestation des Services, sauf disposition contraire nécessaire pour assurer le respect d'une obligation légale à laquelle le Sous-traitant est soumis. Dans ce cas, le Sous-traitant

informera le Responsable du traitement de cette obligation légale avant le traitement, à moins que la loi interdise explicitement la communication d'une telle information au Responsable du traitement.

3.4 Le Sous-traitant fournit les Services afin que le Responsable du traitement bénéficie de l'expertise du Sous-traitant en matière de sécurisation et de traitement des Données personnelles pour les finalités précisées à l'Annexe 2. Le Sous-traitant sera autorisé à exercer son bon jugement dans la sélection et l'utilisation des moyens qu'il considère nécessaires pour atteindre ces finalités, sous réserve des dispositions du présent Accord de traitement des données.

3.5 Le Responsable du traitement fera en sorte d'avoir tous les droits nécessaires pour fournir les Données personnelles au Sous-traitant en vue de leur traitement dans le cadre des Services. Dans la mesure requise par la Législation sur la protection des données, le Responsable du traitement est tenu de s'assurer que les consentements des Personnes concernées nécessaires audit traitement ont été obtenus et qu'un registre de ces consentements est tenu à jour. En cas de révocation d'un tel consentement par une Personne concernée, le Responsable du traitement est tenu d'en informer le Sous-traitant, et ce dernier demeure responsable de l'exécution de toute instruction du Responsable du traitement quant au traitement ultérieur des Données personnelles de la Personne concernée.

4. Confidentialité

Sous réserve des accords contractuels en vigueur entre les Parties, le Sous-traitant traitera toutes les Données personnelles de manière strictement confidentielle et fera en sorte que tous ses employés, ses agents et/ou ses sous-traitants ultérieurs participant au traitement des Données personnelles soient obligés de protéger la nature confidentielle des Données personnelles.

5. Sécurité du traitement

5.1 Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Responsable du traitement et le Sous-traitant mettront en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement des Données personnelles adapté au risque, sous réserve des autres normes de sécurité convenues par les Parties. Ces mesures incluront le cas échéant :

a) des mesures pour que seul le personnel autorisé puisse accéder aux Données personnelles pour les finalités précisées à l'Annexe 2 du présent Accord de traitement des données ;

b) dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de Données personnelles, tels que la destruction, la perte ou l'altération accidentelles ou illicites de Données personnelles, la conservation, le traitement, la divulgation ou l'accès non autorisés ou illicites à de telles Données ;

c) la pseudonymisation et le chiffrement des Données personnelles ;

d) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

e) des moyens permettant de rétablir la disponibilité des Données personnelles et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

f) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement des Données personnelles ; et

g) des mesures pour identifier les vulnérabilités liées au traitement des Données personnelles dans les systèmes utilisés pour fournir des services au Responsable du traitement.

5.2 Chaque Partie sera indépendamment responsable de réaliser les analyses d'impact appropriées relatives à la protection des données, y compris la consultation d'une autorité de régulation. À la demande de l'une des Parties, l'autre lui apportera l'aide et les informations dont elle pourrait raisonnablement avoir besoin pour remplir de telles obligations.

6. Amélioration de la sécurité

6.1 Le Responsable du traitement reconnaît que les mesures techniques et organisationnelles précisées à la Clause 4 ci-dessus sont sujettes à des avancées et évolutions techniques. Le Sous-traitant peut prendre d'autres mesures adéquates sans en aviser au préalable le Responsable du traitement, à condition que celles-ci ne soient pas moins adéquates que le niveau de sécurité assuré par les mesures spécifiques acceptées par le Responsable du traitement au moment de la conclusion du présent Accord de traitement des données.

7. Transferts des données

7.1 Le Responsable du traitement consent par la présente à ce que le Sous-traitant traite ou transfère des Données personnelles en vertu du présent Accord de traitement des données dans un pays hors de l'Espace Économique Européen aux fins des activités de traitement concernées par le présent Accord de traitement des données (y compris, pour éviter tout doute, le transfert des Données personnelles à un sous-traitant ultérieur basé dans un pays hors de l'Espace Économique Européen, à condition que le dit sous-traitant ultérieur ait été désigné conformément aux conditions du présent Accord de traitement des données) à condition que les dispositions prévues dans la Législation de protection des données pour un tel transfert international soient respectées, notamment : l'existence de garanties appropriées pour le transfert ; l'existence de droits opposables et de voies de droit effectives pour la personne concernée ; l'assurance d'un niveau de protection adéquat des Données personnelles transférées ; et le respect des instructions raisonnables qui lui sont notifiées à l'avance par le Responsable du traitement quant au traitement des Données personnelles.

7.2 Dans la mesure où, pour normaliser les transferts internationaux de données, le Responsable du traitement ou le Sous-traitant a recours à un mécanisme légal spécifique qui est ensuite modifié, révoqué ou jugé être invalide par un tribunal d'une juridiction compétente, le Responsable du traitement et le Sous-traitant conviennent de coopérer de bonne foi pour mettre rapidement fin au transfert ou pour se doter d'un mécanisme alternatif approprié pouvant soutenir légalement le transfert.

8. Incidents de sécurité, droits des Personnes concernées et autres demandes

8.1 Lorsque le Sous-traitant prend conscience d'un incident qui affecte le traitement des Données personnelles faisant l'objet de l'Accord de traitement des données, il s'engage à en informer le Responsable du traitement dans les meilleurs délais et à l'assister à l'égard de tels incidents, afin de permettre au Responsable du traitement d'effectuer une enquête approfondie de l'incident, de formuler une réponse correcte et de prendre les mesures supplémentaires appropriées face à l'incident. Chaque partie assumera ses propres frais concernant l'enquête et la réponse à l'incident et prendra les mesures supplémentaires prévues à la présente Clause 7.

8.2 Le terme « incident » utilisé à la clause 7.1 s'entend en tout cas de ce qui suit :

a) une réclamation ou requête concernant l'exercice des droits d'une Personne concernée en vertu de la Législation sur la protection des données ;

b) une enquête ou saisie des Données personnelles par une autorité de régulation ou une autorité de contrôle, ou une indication spécifique comme quoi une telle enquête ou saisie est imminente ;

c) l'accès, le traitement, la suppression ou la perte non autorisés ou accidentels de Données personnelles, ou toute forme de traitement illicite de celles-ci ;

d) toute violation de la sécurité et/ou confidentialité prévues aux clauses 3 et 4 du présent Accord de traitement des données, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles ou l'accès non autorisé à de telles données, ou encore toute indication qu'une telle violation a eu lieu ou est sur le point d'avoir lieu ;

e) si, selon le Sous-traitant, l'exécution d'une instruction en provenance du Responsable du traitement viole les lois en vigueur auxquelles le Responsable du traitement et le Sous-traitant sont soumis.

Le Sous-traitant s'engage à avoir en place des procédures écrites lui permettant de répondre rapidement au Responsable du traitement à propos d'un incident.

8.3 Toute notification faite au Responsable du traitement en vertu de la présente clause 7 doit être adressée à son employé dont les coordonnées sont précisées à l'Annexe 1 du présent Accord de traitement des données, et doit contenir :

a) une description de la nature de l'incident, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;

b) le nom et les coordonnées du délégué à la protection des données du Sous-traitant ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

c) une description des conséquences probables de l'incident ;

d) une description des mesures prises ou que le Sous-traitant propose de prendre pour remédier à l'incident, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

9. Contrats avec des Sous-traitants ultérieurs

9.1 Le Responsable du traitement autorise le Sous-traitant à recruter des Sous-traitants ultérieurs de Données personnelles en vertu du présent Accord de traitement des données. Le Sous-traitant s'engage à faire en sorte que tout Sous-traitant ultérieur qu'il recrute soit lié par des obligations de protection des données identiques ou équivalentes à celles qui lui incombent en vertu du présent Accord de traitement des données, à assurer le suivi du respect de celles-ci et plus particulièrement à imposer à ses Sous-traitants ultérieurs l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées de manière que le traitement respecte les dispositions de la Législation sur la protection des données.

10. Retour ou destruction des Données personnelles.

10.1 Dès la résiliation du présent Accord de traitement des données ou dès la demande écrite du Responsable du traitement, ou dès l'atteinte de toutes les finalités convenues dans le cadre de la fourniture des Services à la suite de quoi aucun autre traitement n'est requis, le Sous-traitant doit, sur les instructions du Responsable du traitement, effacer, détruire ou retourner à celui-ci toutes les Données personnelles et en détruire ou retourner toutes les copies existantes.

10.2 Le Sous-traitant notifiera la résiliation de l'Accord de traitement des données à tous les Sous-traitants ultérieurs soutenant son propre traitement des Données personnelles, et fera en sorte que tous ces tiers détruisent les Données personnelles ou les retournent au Responsable du traitement, selon les instructions de ce dernier.

11. Soutien du Responsable du traitement

11.1 Le Sous-traitant aidera le Responsable du traitement à respecter son obligation de Responsable du traitement consistant à répondre aux demandes d'exercice des droits des Personnes concernées en vertu de la Législation sur la protection des données.

11.2 Le Sous-traitant aidera le Responsable du traitement à garantir le respect des obligations lui incombant en vertu de la clause 4 (Sécurité du traitement) et découlant des consultations préalables avec les organismes de réglementation et les autorités de contrôle, qui sont exigées en vertu de l'article 36 du RGPD ou de la Législation sur la protection des données pertinente, en tenant compte de la nature du traitement et des informations à la disposition du Sous-traitant.

11.3 Le Sous-traitant mettra à la disposition du Responsable du traitement toutes les informations nécessaires pour lui démontrer le respect de ses obligations et prévoira et participera à des audits (notamment des inspections) qui seront réalisés par le Responsable du traitement ou par un autre auditeur mandaté par ce dernier.

12. Garantie

Dans la mesure où la loi le permet, le Responsable du traitement garantit le Sous-traitant contre toute perte, tous frais (y compris les frais de justice), tout dommage ou toute dépense encourus par le Sous-traitant, découlant directement ou indirectement d'une violation par le Responsable du traitement des obligations lui incombant au titre du présent Accord de traitement des données ou d'une violation par celui-ci des obligations lui incombant au titre de la Législation sur la protection des données, y compris les coûts et dépens de traitement des réclamations privées ou de l'application de la réglementation.

13. Durée et résiliation

13.1 Le présent Accord de traitement des données entrera en vigueur à la Date d'entrée en vigueur de celui-ci.

13.2 La résiliation ou l'expiration de celui-ci ne dégagera en aucun cas le Sous-traitant des obligations de confidentialité lui incombant au titre de la clause 3.

13.3 Le Sous-traitant traitera les Données personnelles jusqu'à la fin de la Durée de l'abonnement, sauf instructions contraires de la part du Responsable du traitement, ou jusqu'au retour ou à la destruction des Données personnelles sur instruction du Responsable du traitement.

14. Dispositions diverses

14.1 Le présent Accord de traitement des données est régi par le droit anglais. Tout litige lié à ou découlant du présent Accord de traitement des données sera soumis exclusivement au tribunal anglais compétent.

Annexe 1 : Coordonnées

Coordonnées du délégué à la protection des données / chargé de la conformité du Responsable du traitement.

Voir l'Annexe du Contrat

Coordonnées du délégué à la protection des données du Sous-traitant. Head of Data Protection

Glory Global Solutions (International) Limited Infinity View

1 Xxxxxxxxx Lime Xxxx Xxx Xxxxxxxx Xxxxxxxxxxx Xxxxxxxxx XX00 0XX

Xxxxxxx-Xxx XXX@Xxxxx-Xxxxxx.xxx

Annexe 2 : Traitement, Données personnelles et Personnes concernées Traitement par le Sous-traitant

Portée

Traitement des Données personnelles du client pour la fourniture et l'accès aux services GGS Cloud appropriés. Les Données personnelles pourront également être collectées par le biais de l'outil du client dans ses locaux.

Nature et finalité

Traitement des Données personnelles requis pour l'exécution du Contrat convenu entre les parties auquel le présent Accord de traitement des données est joint. Le traitement des Données personnelles est limité aux activités incluses dans ce champ d'application.

Durée

Le traitement des Données personnelles se fera pendant toute la durée du Contrat

Personnes concernées

Les Données personnelles traitées peuvent concerner les catégories suivantes de Personnes concernées :

Personnes concernées telles que fournies par le client ; il peut s'agit d'employés du client, responsables, mandataires, employés détachés, bénévoles, stagiaires, agents, sous-traitants, consultants externes, représentants tiers et partenaires commerciaux, ainsi que toutes les autres personnes associées au client.

Catégories de données

Les Données personnelles traitées peuvent concerner les catégories suivantes de données (cocher toutes les options pertinentes) :

☒Nom ☒Adresse (facultative) ☒adresse e-mail

☐Adresse e-mail personnelle ☒Numéro de téléphone (facultatif) ☐Numéro de téléphone personnel

☒Date de naissance ☒Numéro de sécurité sociale ☐Informations relatives au passeport

☒Informations sur la famille ☐Parents les plus proches ☒Sexe

☒Informations sur le permis de conduire ☒Informations financières ☐Autre (veuillez préciser ci-dessous)

Catégories particulières de données (le cas échéant)

Sans objet