Conditions de traitement des données
Conditions de traitement des données
(le « Contrat »)
Page 1
g
ENTRE:
RICOH Luxembourg PSF S.à.r.l, dont le siège est X.X. Xxxxxxxxx, 00 xxx xx Xxxxx Romain Atrium Business Park, L-8070 Bertrange, Luxembourg, TVA LU 20913675 (« Ricoh »)
ET : Nom du Client : Siège social :
Numéro de TVA :
1. DÉFINITIONS
Les termes définis utilisés dans la présente annexe sont les suivants :
Règlement sur la protection des données désigne toutes les lois applicables à toutes les données personnelles traitées en vertu ou en relation avec le présent Contrat, y compris :
(a) la directive 2002/58/CE sur la vie privée et les communications électroniques
(b) le RGPD
(c) la loi de 2018 sur la protection des données et toute autre législation nationale mettant en œuvre ou complétant l’une des dispositions qui précèdent, et
(d) tous les codes de bonnes pratiques associés et autres directives contraignantes émises par toute autorité de contrôle;
toutes telles que modifiées, réédictées et/ou remplacées et en vigueur de temps à autre
RGPD désigne le Règlement Général sur la Protection des Données 2016/679
Contrat(s) principal(s) désigne un ou plusieurs contrats que Ricoh et le Client ont conclus en ce qui concerne les services d'application relatifs à l'"espace de travail digitale", qui comprennent des logiciels et/ou des applications de services en cloud. .
Services désigne tous les produits et/ou services à fournir par Ricoh au Client en vertu du Contrat(s) principal(s)
Lorsqu'ils sont utilisés dans la présente Annexe, les termes suivants ont la même signification que dans les Réglementations sur la protection des données : « données personnelles », « responsable du traitement », « sous- traitant », « traitement » ; et « autorité de contrôle ».
2. CONTEXTE
2.1. Le Client et Ricoh sont parties à un ou plusieurs Contrats principaux par lesquels Ricoh fournit des Services au Client.
2.2. L’exécution des Services peut impliquer le traitement de données personnelles par Ricoh en sa qualité de « sous-traitant » pour le compte du Client en tant que «responsable du traitement». Les droits et obligations du Client en tant que responsable du traitement et de Ricoh en tant que sous- traitant en ce qui concerne les activités de traitement sont énoncés dans le présent Contrat.
3. DESCRIPTION DU TRAITEMENT
L’objet, la finalité, la nature et la durée du traitement, les types de données à caractère personnel et les catégories de personnes concernées sont indiqués dans le tableau dans l’Annexe 1.
4. RESPECT DE LA RÉGLEMENTATION SUR LE CONTRAT ET LA PROTECTION DES DONNÉES
Chacun du Client et Ricoh se conformeront (et veilleront à ce que son personnel et/ou ses sous-traitants s’y conforment) au Contrat et au Règlement sur la protection des données. Le Client garantit Ricoh contre toute responsabilité contre toute réclamation relative au traitement des données personnelles en dehors du présent Contrat et pour les infractions au Règlement sur la protection des données, qui ne sont pas commises par Ricoh.
5. RELATIONS ENTRE LES PARTIES
En ce qui concerne le traitement des données personnelles dans le cadre du présent Contrat, les parties reconnaissent et conviennent que (a) le Client est le responsable du traitement des données ; et (b) Ricoh est le sous-traitant, en ce qui concerne le traitement de données. Le Client doit également, si nécessaire, conclure un accord de traitement des données avec le fournisseur tiers du logiciel et/ou de l'application de service en cloud.
6. PERSONNES RESPONSABLES ET DEMANDES DE RENSEIGNEMENTS
Le Client et Ricoh se notifieront mutuellement la personne de leur organisation autorisée à répondre aux requêtes concernant les données personnelles et le traitement faisant l'objet du présent Contrat. Le Client et Ricoh s'engagent à traiter rapidement et raisonnablement lesdites requêtes.
7. TRAITEMENT DES DONNÉES PERSONNELLES PAR RICOH
7.1. En ce qui concerne le traitement des données personnelles en vertu du présent Contrat, Ricoh doit :
(a) traiter les données personnelles (y compris lors d'un transfert international des données personnelles) uniquement dans la mesure nécessaire à la fourniture des Services et uniquement conformément au présent Contrat et aux instructions écrites du Client, sauf disposition contraire des Réglementations sur la protection des données. Le Client reconnaît que ses instructions en matière de traitement des données sont telles que définies dans le présent Contrat ;
(b) lorsque Ricoh est tenu légalement de traiter les données personnelles autrement que comme prévu par le présent Contrat, il en informera le Client avant d'exécuter le traitement concerné (à moins que Ricoh ne puisse légalement le faire pour des raisons d'intérêt public) ;
(c) mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques présentés par le traitement et les Services, en particulier la protection contre toute destruction, perte, altération, divulgation non autorisée ou accès accidentels ou illégaux aux données personnelles transmises, enregistrées ou autrement traitées dans le cadre du présent Contrat. Ces mesures sont décrites dans l’Annexe 2;
(d) prendre toutes les mesures raisonnables pour s'assurer que seul le personnel autorisé a accès aux données personnelles et que tout individu autorisé à accéder à ces données en respectera et en maintiendra la confidentialité requise (y compris au moyen d'une obligation contractuelle de confidentialité appropriée lorsque les individus concernés ne sont pas déjà soumis légalement à une telle obligation) ;
(e) ne pas recruter d'autres sous-traitants pour l'exécution des Services sans le consentement écrit préalable du Client et, par ailleurs, se conformer à tout moment à la clause 8;
(f) ne rien faire, ou omettre de faire quoi que ce soit, qui entraînerait une violation par le Client de ses obligations en vertu des Réglementations sur la protection des données ;
(g) informer immédiatement le Client si, de l'avis de Ricoh, une instruction donnée à Ricoh enfreint les Réglementations sur la protection des données ;
Version 1 –2022
Conditions de traitement des données
(le « Contrat »)
Page 2
(h) le cas échéant, en relation avec le traitement des données personnelles dans le cadre du présent Contrat, coopérer avec le Client et l'aider à respecter les points suivants :
(i) les obligations du Client de répondre aux requêtes de toute personne concernée cherchant à exercer ses droits en vertu du chapitre III du RGPD, y compris en notifiant au Client toute demande écrite d'une personne concernée que Ricoh reçoit concernant les obligations du Client en vertu des Réglementations sur la protection des données ; et
(ii) les obligations du Client en vertu des articles 32 – 36 du RGPD.
8. SOUS-TRAITANTS
8.1. Ricoh veillera à ce que tout sous-traitant ultérieur qu’elle engage pour fournir des services en son nom en relation avec le présent Contrat ne le fasse que sur la base d’un contrat écrit imposant à ce sous-traitant ultérieur des conditions équivalentes à celles imposées à Ricoh dans le présent Contrat, y compris les mesures énoncées à l’Annexe 2, ou d’autres dispositions convenues avec le Client.
8.2. Le Client consent à l’utilisation des catégories de sous-traitants énumérés dans le tableau ci-dessous ; ce consentement constitue le consentement écrit préalable du Client à l’externalisation par Ricoh si nécessaire. La liste actuelle dessous-traitants qualifiés est disponible pour inspection par le Client au siège social de Ricoh en tout temps ou sur demande.
9. CONTRÔLE DE LA CONFORMITÉ DE RICOH
Le Client a le droit de contrôler et de vérifier le respect par Ricoh des Réglementations sur la protection des données et de ses obligations en matière de traitement des données en vertu du présent Contrat, à tout moment pendant les heures de bureau normales. Ricoh accepte de fournir rapidement au Client tout accès, assistance et information raisonnablement nécessaires pour permettre le contrôle et les vérifications pertinentes.
10. TRANSFERTS INTERNATIONAUX
Il n’y a pas de transferts internationaux de données personnelles en dehors de l’UE.
11. ACHÈVEMENT DES SERVICES
Une fois les Services terminés, Ricoh supprimera toutes les données personnelles (y compris les copies) traitées en vertu du présent Contrat, sauf dans la mesure où Ricoh est tenue par la loi de conserver toute copie des données personnelles.
12. AUTRES DISPOSITIONS
12.1. Tous les notifications et consentements relatifs au présent Contrat doivent être donnés par écrit. Toute modification apportée au présent Contrat ne prendra effet qu’après avoir été convenue par les deux parties dans un document écrit signé par les deux parties.
12.2. Le présent Contrat (et ses Annexes) constitue l’intégralité de l’entente entre les parties en ce qui concerne l’objet du Contrat. Aucune autre déclaration ou disposition ne s’appliquera ou ne fera partie du présent Contrat.
12.3. Le présent Contrat est régi par le droit luxembourgeois. Les deux parties reconnaissent la compétence exclusive des tribunaux de Luxembourg, Luxembourg pour tous les litiges découlant du présent Contrat.
En deux (2) exemplaires. Chaque partie reconnaît en avoir reçu une copie. Signé à (lieu) le (date)
Au nom de Ricoh Au nom du Client
Nom : Nom
Titre: Titre:
Signature: Signature :
Conditions de traitement des données
(le « Contrat »)
Page 3
Ricoh conservera les données du Service Desk de manière adéquatement sécurisée pendant la durée du contrat à des fins de correction à la demande du Client ou de vérification en cas de litige. Ceci est considéré comme faisant partie de l’affectation de traitement. | |
Transferts vers des sous-traitants ultérieurs | Par les présentes, le Client autorise explicitement Ricoh à faire appel à des fournisseurs et sous-traitants qualifiés pour certaines parties du traitement ou pour des activités de support, sous réserve d’un contrat écrit imposant à ces sous-traitants ultérieurs des conditions équivalentes à celles imposées à Ricoh dans le présent Contrat, y compris les mesures spécifiées à l’Annexe 2, ou d’autres dispositions convenues avec le Client. La liste des fournisseurs qualifiés et des sous- traitants est à la disposition du Client au siège social de Ricoh ou sur demande. |
Annexe 1 – Détails de la procédure
Objet du traitement : | Assistance à distance du Centre de services et des services d’installation et maintenance pour les services d’application suivantes: □ Document Management □ Intelligent Automation Le présent Contrat ne couvre pas le traitement éventuel des données à caractère personnel par les logiciels et/ou les applications de services en cloud, avec les services de gestion de garantie associés, de tiers, vendu avec les services informatiques. Le Client peut être amené à conclure un accord de traitement distinct avec le fournisseur du logiciel et/ou des applications de services en cloud. |
Finalité du traitement | □ Document Management Gestion des documents, des numérisations, des flux de travail numériques et des approbations. □ Intelligent Automation Extraction, catégorisation et traitement des informations numérisées à partir de sources et de documents papier ou numériques. |
Nature du traitement | ▪ Assistance à distance du Centre de services pour les problèmes techniques/logiciels et cloud sur les produits Ricoh. Un utilisateur final doit d’abord donner une autorisation explicite pour le support. ▪ Installation et maintenance des des logiciels et/ou des applications de services en cloud dans les locaux du Client. |
Duration du traitement: | Durée du Contrat principal |
Mesures de sécurité prises par Ricoh : | Voir Annexe 2 |
Types de données personnelles dans le traitement | Identification et coordonnées |
Catégories de personnes concernées dont les données à caractère personnel sont traitées: | Utilisateurs autorisés des Services tels qu’identifiés par le Client |
Périodes d’utilisation et de conservation | Période d’utilisation : durée de la mission. |
Conditions de traitement des données
(le « Contrat »)
Page 4
Annexe 2 – Mesures techniques et organisationnelles
Les mesures techniques générales peuvent être consultées via notre site Web: xxxxx://xxx.xxxxx.xxx/xxxxxxxx/xxxxxxxx/
Ricoh est certifié ISO27001:2013 et suit les mesures techniques et organisationnelles énumérées dans la certification. Un résumé de ces mesures générales ainsi que des mesures spécifiques est disponible ci-dessous.
1. Mesures techniques
• Gestion d’actifs
• Accès physique aux zones sécurisées
• Gestion des utilisateurs, y compris la gestion de l’identification et de l’authentification
• Gestion ou sauvegardes
• Gestion anti-malware
• Gestion des mises à jour
• Gestion du pare-feu
• Service desk pour les failles de sécurité
• Installation du logiciel
• Gestion du changement
• Continuité des activités et plan d’urgence
• Cryptage sur les appareils mobiles, les sites Web et les VPN.
• Effacement irréversible des données après l’expiration de la période
de conservation 2. Mesures organisationnelles
• Mise en place d’un système de management de la sécurité de
l’information (ISO27001:2013 depuis 2008)
• Politique de gestion de la sécurité de l’information
• Rôles et responsabilités en matière de sécurité de l’information
• Groupe de pilotage de la sécurité de l’information avec consultation
trimestrielle / rapport sur la sécurité de l’information / GDPR.
• Xxxxxxxxxxx et enregistrement officiel d’un délégué à la protection
des données
• Coordonnées DPO
• Xxxxxxx Xxxxxxx
• Portable: 0473 99 80 23
• Document de politique de confidentialité et formation pour les employés
• Classification des données et périodes de conservation
• Registre de données
• Registre des risques et gestion des risques
• Politique de mot de passe, politique des TIC, politique de travail à domicile, etc.
• Séparation des tâches (gestion des rôles d’administrateur)
• Droits d’accès basés sur les rôles - principe du « besoin de savoir »
• Contrôle d’accès physique
• Gestion des droits d’accès
• Journalisation, surveillance et notifications
• Procédure de traitement des droits des personnes concernées
• Procédure de traitement des fuites de données
• Clauses de confidentialité avec le personnel
• Gestion des accords de protection des données
• Formation de sensibilisation et tests d’hameçonnage
• Audits internes et externes ISO27001:2013
• Examen périodique des processus/procédures par le comité directeur
• Audits périodiques par le délégué à la protection des données
• Application de « Protection de la vie privée dès la conception » et « Protection de la vie privée par défaut » lors du développement de nouveaux produits/services
• Réalisation d’une analyse d’impact sur la protection des données si
nécessaire
3) Mesures techniques spécifiques pour cette activité de traitement
• On-Premise installation and configuration
o Dans ce cas, les mesures techniques et organisationnelles du Client s'appliquent et l'application est configurée et fonctionne dans l'environnement de sécurité du Client..
• Docuware
o xxxxx://xxxxx.xxxxxxxx.xxx/xxxxxxxxx-xxx-xxxxxxxxxxxxxx- measures
• Kofax
o Annexe 2 du Kofax Data Processing Agreement