DATA PRIVACY AGREEMENT
DATA PRIVACY AGREEMENT
Le présent engagement est conclu entre :
MINDBAZ, société par actions simplifiée située 00 xxx Xxxxxxxxx, 00000 XXXXX, enregistrée au Registre du commerce et des sociétés de LILLE MÉTROPOLE sous le numéro 893278382 et représentée par son Président Monsieur Xxxxxxxxx XXXXXX,
ci-après « MINDBAZ »
ET
Ci-après « LE CLIENT »
Ensemble dénommées « Les Parties », ou isolément « La Partie ».
1. Cadre général
Les Parties reconnaissent et acceptent que, concernant le traitement de données à caractère personnel dans le cadre des services SaaS de routage emailing, LE CLIENT est le responsable du traitement et que MINDBAZ est le sous-traitant au sens de la législation
« informatique et liberté » et RGPD.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et en particulier le règlement (UE) 2016/679 du 27 avril 2016, applicable depuis le 25 mai 2018.
Les présentes clauses ont pour objet de définir les conditions dans lesquelles MINDBAZ s’engage à effectuer pour le compte du CLIENT les opérations de traitement de données à caractère personnel définies ci-après.
2. Traitement
Le CLIENT s’engage, lors de son utilisation des services SaaS de routage emailing, à traiter les données à caractère personnel en conformité avec les exigences des lois et réglementations relatives à la protection des données à caractère personnel. Les instructions du CLIENT pour le traitement des données à caractère personnel doivent être conformes aux lois et réglementations relatives à la protection des données à caractère personnel. Le
CLIENT est seul responsable de l’exactitude, de la qualité et de la légalité des données à caractère personnel et des moyens par lesquels le CLIENT a acquis les données à caractère personnel.
Le CLIENT donne instruction à MINDBAZ de traiter les données à caractère personnel pour les finalités déterminées entre les Parties.
L'objet du traitement des données à caractère personnel opéré par MINDBAZ est la gestion des services SaaS de routage emailing conformément au(x) contrat(s) qui sont en vigueur entre les Parties.
3. Modalités
Le traitement a pour finalité exclusive l’exécution des contrats du CLIENT, à savoir la gestion des solutions SaaS de routage. Les personnes concernées par ces traitements sont les clients du CLIENT.
Les données collectées sont conservées pendant la durée de l’intervention sur les dossiers du CLIENT, à défaut d’exigence législative ou réglementaire contraire. A l’issue de cette période, les données à caractère personnel sont supprimées par MINDBAZ.
4. Sécurité et confidentialité
MINDBAZ s’engage à ne procéder au traitement de données à caractère personnel que pour le compte du CLIENT et s’engage à maintenir des mesures techniques et organisationnelles appropriées pour assurer la sécurité, la confidentialité et l’intégrité des données du CLIENT.
MINDBAZ ne traite les données à caractère personnel que sur instruction documentée du CLIENT, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel MINDBAZ est soumis ; dans ce cas, MINDBAZ informe le CLIENT de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs d'intérêt public.
MINDBAZ s’engage à informer immédiatement le CLIENT si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données à caractère personnel.
MINDBAZ veille à ce que les personnes autorisées qui traitent les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
Dans ce cadre, MINDBAZ s'interdit :
- de divulguer, sous quelque forme que ce soit, tout ou partie des données exploitées ;
- de prendre copie ou de stocker, quelles qu'en soit la forme et la finalité, tout ou partie des informations ou données contenues sur les supports ou documents qui lui ont été confiés ou recueillies par elle au cours de l'exécution du présent Contrat, en dehors du cadre contractuel.
5. Mesures techniques et organisationnelles de sécurité du traitement
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, MINDBAZ s’engage à prendre des mesures commercialement raisonnables afin de garantir un niveau de sécurité adapté au risque, y compris entres autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel ;
- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. Dans le cadre de cette évaluation, MINDBAZ prend en compte les risques que présente le traitement résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
MINDBAZ s’engage à maintenir ces moyens au cours de l’exécution des présentes et à défaut, à en informer immédiatement LE CLIENT.
6. Personnel de MINDBAZ
MINDBAZ s’assure que son personnel impliqué dans le traitement des données à caractère personnel est informé de la nature confidentielle des données à caractère personnel, a reçu une formation appropriée sur ses responsabilités et a signé des accords de confidentialité écrits. MINDBAZ s’assure que ces obligations de confidentialité survivent à la cessation du contrat du personnel.
MINDBAZ s’engage à prendre des mesures commercialement raisonnables pour assurer la fiabilité de tout membre du son personnel impliqué dans le traitement des données à caractère personnel.
MINDBAZ s’assure que l’accès de son personnel aux données à caractère personnel est limité aux seuls membres du personnel qui participent à la fourniture des services conformément au Contrat.
7. Notification des incidents sur les données à caractère personnel
MINDBAZ notifie au CLIENT tout incident relatif à des données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au CLIENT, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
MINDBAZ fera des efforts raisonnables pour identifier la cause de cet incident et effectuera toute démarche qu’il estime nécessaire afin d’y remédier.
MINDBAZ fournira au CLIENT une assistance pour lui communiquer les informations requises dans le cadre de la notification au responsable du traitement, conformément aux lois et réglementations relatives à la protection des données à caractère personnel.
Ces informations comprendront :
- la date et l’heure de la découverte de l’incident ;
- la nature et la portée de l’incident ;
- des informations supplémentaires permettant au CLIENT d'évaluer les données personnelles affectées par l’incident et les conséquences observées et probables de l’incident sur le traitement des données à caractère personnel ;
- les mesures prises ou proposées par MINDBAZ pour atténuer les effets négatifs de l’incident ;
- toute autre information liée à l’incident, telle que raisonnablement demandée par le CLIENT.
8. Droit d’information des personnes concernées
Il appartient au CLIENT de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données et de recueillir leur consentement spécifique sur le traitement effectué par MINDBAZ aux fins d’emailing.
9. Exercice des droits des personnes
Lorsque les personnes concernées exercent auprès de MINDBAZ des demandes d’exercice de leurs droits, MINDBAZ doit adresser ces demandes dès réception par courrier électronique au CLIENT.
10. Assistance du sous-traitant
MINDBAZ s’engage, selon les moyens et les informations dont il dispose, ainsi qu’en fonction de la nature du traitement, à fournir au CLIENT toute aide raisonnable qui lui serait nécessaire pour :
- garantir le respect des obligations de sécurité des données à caractère personnel ;
- notifier à l’autorité de contrôle une violation de données à caractère personnel ;
- consulter l’autorité de contrôler en cas d’analyse d’impact, indiquant que le traitement présente un risque élevé si le CLIENT ne prend pas de mesure pour atténuer le risque ;
- communiquer à la personne concernée une violation de données à caractère personnel ;
- effectuer l’analyse d’impact relative à la protection des données.
MINDBAZ aidera le CLIENT à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement
et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris profilage).
11. Sous-traitance ultérieure
Dans le cas où MINDBAZ est amené à recruter des sous-traitants ultérieurs pour réaliser des prestations dans lesquels des traitements de données à caractère personnel sont effectués, les Parties dans le cadre de ce contrat s’assureront notamment, que MINDBAZ:
- demande l’autorisation écrite préalable du CLIENT pour recruter un autre sous-traitant ;
- s’assure que tous ses sous-traitants, qu’ils soient recrutés par ses soins ou par un de ses propres sous-traitants qu’il aurait recruté ou par un sous-traitant de rang encore inférieur, s’engagent tous au même degré d’obligation que MINDBAZ concernant la protection des données à caractère personnel.
Le sous-traitant ultérieur est donc tenu de respecter les obligations du présent Contrat pour le compte et selon les instructions du CLIENT. Il appartient à MINDBAZ de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.
12. Registre des catégories d’activités de traitement
MINDBAZ déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du CLIENT comprenant :
- le nom des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du CLIENT;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
o la pseudonymisation et le chiffrement des données à caractère personnel ;
o des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
o une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
13. Documentation
MINDBAZ met à la disposition du CLIENT la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le CLIENT ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
14. Restitution et suppression des données à caractère personnel
Selon le choix du CLIENT, MINDBAZ à l’issue de leur relation commerciale supprimera toutes les données à caractère personnel ou les renverra au CLIENT ; les copies existantes seront détruites, à moins que le droit de l’Union ou le droit de l’État membre n'exige la conservation des données à caractère personnel.
15. Gestion de la preuve
MINDBAZ met à la disposition du CLIENT toutes les informations nécessaires pour démontrer le respect de ses obligations prévues au présent article.
Cette documentation sera notamment constituée de tous les éléments permettant de démontrer que les traitements sont effectués conformément à une instruction du CLIENT.
Il est précisé que cette documentation permettra la réalisation d'audits, y compris des inspections, par le CLIENT ou un autre auditeur qu'il a mandaté.
16. Obligations du CLIENT vis-à-vis de MINDBAZ
LE CLIENT s’engage à :
- Fournir à MINDBAZ les données nécessaires à la mise en œuvre de ses obligations ;
- Documenter par écrit toute instruction concernant le traitement des données par MINDBAZ;
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données, notamment l’obtention du consentement aux traitements des données par MINDBAZ s’agissant de ses propres clients, et aux fins d’emailing;
- Superviser le traitement, y compris réaliser les audits et les inspections auprès du MINDBAZ.
17. Délégué à la protection des données
MINDBAZ communique, s’il en a un, au CLIENT le nom et les coordonnées de son délégué à la protection des données s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.
Fait le , à en deux exemplaires originaux.
Signatures :
Pour le CLIENT :
Pour MINDBAZ :
Xx Xxxxxxxxx Xxxxxx
Son Président Directeur Général