Broadbean Technology Limited - Contrat de traitement de données (9 février 2018)
Broadbean Technology Limited - Contrat de traitement de données (9 février 2018)
Le contrat entrera en vigueur le 25 mai 2018 et remplacera à compter de cette date les clauses contractuelles de l’article 7 des Conditions générales pour les employeurs directs de Broadbean – 8 avril 2016. Pour écarter tout doute, l’article 7 restera en vigueur jusqu’au 25 mai 2018.
(1) Cet article relatif au traitement des données (« Contrat de traitement de données ») spécifie les obligations de protection des données des Parties qui s’appliquent en relation avec la prestation des Services selon cette Commande. Le présent Contrat de traitement de données s’applique à toutes les activités réalisées en relation avec cette Commande dans lesquelles le Sous -traitant et, le cas échéant et dans la mesure admissible, un tiers agissant pour le Sous-traitant, peut entrer en contact avec des données à caractère personnel du Responsable du traitement.
(2) Les types pertinents de données à caractère personnel, les personnes auxquelles s e rapportent ces données à caractère personnel et les types de traitement des données à caractère personnel étant réalisés dépendent des produits et services achetés par le Client en vertu de la présente Commande et sont définis ici
xxxxx://xxx.xxxxxxxxx.xxx/xxxxx/ 14837/schedule-of-data-processing-corporate.pdf
(3) La durée du présent Contrat de traitement de données équivaut à la durée de la Commande.
(4) Aux fins du présent Contrat de traitement de données, les deux parties reconnaissent et confirment par les présentes que le Client est le Responsable du traitement des données (ci- après le « Responsable du traitement ») et Broadbean est le Sous-traitant (ci-après le « Sous- traitant »).
Définitions
(5) « Législation sur la protection des données » signifie le règlement général sur la protection des données de l’UE et toutes les autres lois et réglementations applicables concernant le traitement des données à caractère personnel et le respect de la vie privée.
(6) « Données à caractère personnel » signifient toutes les informations concernant une personne physique identifiée ou identifiable, conformément à la Législation applicable sur la protection des données.
(7) « Traitement » signifie le traitement des Données à caractère personnel pour le compte du Responsable du traitement comme le définit la Législation applicable sur la protection des données.
(8) « Instruction » signifie une instruction écrite délivrée par le Responsable du traitement au Sous -traitant, et ordonnant au Sous-traitant de procéder à une action spécifique concernant des Données à caractère personnel (incluant, sans s’y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition). Ces instructions peuvent être modifiées, étendues ou remplacées par le Responsabl e du traitement à n’importe quel moment et au cas par cas, dans des Instructions écrites distinctes (Instructions individuelles).
Champ d’application et responsabilité
(9) Les deux Parties doivent se prêter mutuellement assistance pour se conformer à leurs obligations applicables conformément à la Législation sur la protection des données. Chaque Partie doit se conformer à tout moment aux lois et exigences réglementaires applicables sur la protection des données en relation avec la prestation des Services conformément à la présente Commande et ne doit en aucun cas placer l’autre Partie en situation de violation de ces lois, règles ou réglementations.
(10) Le Sous-traitant doit traiter les Données à caractère personnel pour le compte du Responsable du traitement toujours en conformité avec la Législation sur la protection des données et les codes de bonnes pratiques s’appliquant au Sous-traitant.
Obligations du Xxxx-xxxxxxxx
(00) Le Sous-traitant doit traiter les Données à caractère personnel uniquement dans l’étendue des Instructions du Responsable du traitement. L’interprétation que fait le Sous-traitant des ces instructions pour ce qui est de leur application aux produits et services spécifiés dans la présent e Commande peut être trouvée ici
xxxxx://xxx.xxxxxxxxx.xxx/xxxxx/ 14837/schedule-of-data-processing-corporate.pdf
et le Responsable du traitement reconnaît par les présentes que le traitement spécifié dans le lien ci - dessus comprend ses instructions au Sous-traitant. Si le Sous-traitant doit traiter les Données à caractère personnel à toute autre fin en vertu du droit applicable, il informera le Responsable du traitement de cette exigence légale dans la mesure où il est autorisé à le faire en vertu du droit applicable. Le Sous-traitant ne doit pas traiter les Données à caractère personnel à ses propres fins et doit conserver les Données à caractère personnel du Responsable du traitement logiquement séparées des données traitées pour tout autre tiers.
(12) Le Sous-traitant doit immédiatement informer le Responsable du traitement si, de son avis raisonnable, une Instruction viole la Législation sur la protection des données.
(13) Le Sous-traitant doit prendre les mesures techniques et organisationnelles appropriées pour protéger adéquatement les Données à caractère personnel du Responsable du traitement contre un traitement non autorisé ou illégal et contre la perte accidentelle, la destruction, l’endommagement, la modification ou la divulgation, compte tenu de la nature du traitement. Le Sous-traitant a établi un résumé de ces mesures adoptées pour la prestation des services, lequel peut être consulté ici :
xxxxx://xxx.xxxxxxxxx.xxx/xxxxx/ 14835/schedule-of-data-protection-measures.pdf
Le Responsable du traitement reconnaît que les mesures techniques et organisationnelles définies dans le lien ci-dessus sont susceptibles de développement et sujettes au progrès technique. Le Sous - traitant peut mettre en œuvre, sans en notifier préalablement le Responsable du traitement, des mesures adéquates alternatives, pourvu que leur niveau de sécurité ne soit pas moins adéquat que celui apporté par les mesures spécifiées qui ont été acceptées par le Responsable du traitement au moment de la signature du présent bon de Commande. Toutes les mesures adéquates alternatives doivent être mises à jour dans le lien ci-dessus dès leur mise en œuvre.
(14) Si le Sous-traitant prend connaissance de violations connues ou présumées de la sécurité menant ou ayant pu mener, de manière accidentelle ou illégale, à la destruction, perte, modification, divulgation non autorisée des Données à caractère personnel que le Sous-traitant a traitées, ou à un accès non autorisé à ces données (« Violation des Données à caractère personnel »), et dès que ces informations peuvent être recueillies ou deviennent autrement disponibles, le Sous-traitant doit fournir au Responsable du traitement une description de la Violation des données à caractère personnel, des types de données qui ont fait l’objet de la Violation des données à caractère personnel et de l’identité de chaque personne concernée, ainsi que toute autre information que le Responsable du traitement peut raisonnablement demander concernant la Violation des données à caractère personnel. En cas de Violation de données à caractère personnel, le Sous-traitant, sans retard indu, (i) prendra des mesures immédiates pour enquêter sur la Violation des Données à caractère personnel et pour identifier, prévenir la récurrence et déployer des efforts raisonnables pour limiter les effets d’une telle Violation de Données à caractère personnel et (ii) réalisera toute mesure de récupération ou autre pour remédier à la Violation des Données à caractère personnel. Sans le consentement écrit préalable du Responsable du traitement, le Sous-traitant ne doit divulguer ou publier aucun rapport, communication, avis,
communiqué de presse ou déclaration concernant une quelconque Violation de Données à caractère personnel en ce qui concerne les Données à caractère personnel du Responsable du traitement.
(15) Le Responsable du traitement consent à ce que les tentatives infructueuses de violation de sécurité ne fassent pas l’objet de la publicité prévue à l’article 14. Une tentative infructueuse de violation de sécurité est un incident qui ne mène pas à un accès non autorisé aux Données à caractère personnel du Responsable du traitement ou à du matériel ou des installations du Sous -traitant servant au stockage des Données à caractère personnel du Responsable du traitement. Cela inclut, sans s ’y limiter, le balayage de ports, les attaques de type « refus de service », les attaques par requêtes ping et autre attaques de diffusion sur les pare-feux, ainsi que les tentatives infructueuses de connexion.
(16) Le Sous-traitant doit garantir que tout le personnel qui a accès aux Données à caractère personnel appartenant au Responsable du traitement conformément aux dispositions du présent Contrat de traitement de données en préserve la confidentialité ; ces obligations sont imposées par contrat. Le Sous-traitant doit garantir que l’accès aux Données à caractère personnel du Responsable du traitement est limité aux personnes qui ont besoin d’y accéder aux fins du respect des obligations du Sous-traitant conformément au présent Contrat de traitement de données ; un tel accès n’est autorisé qu’aux parties des Données à caractère personnel du Responsable du traitement qui sont strictement nécessaires pour les tâches spécifiques de ces personnes. Le Sous-traitant doit garantir que tout le personnel ayant accès aux Données à caractère personnel est fiable et a suivi la formation appropriée pour son rôle en relation avec la manipulation des Données à caractère personnel et avec la Législation applicable sur la protection des données.
(17) Le Sous-traitant doit conserver des enregistrements de toutes les activités de traitement des Données à caractère personnel réalisées pour le Responsable du traitement, comportant les informations prescrites par la Législation applicable sur la protection des données (incluant, sans s ’y limiter, le type de Données à caractère personnel traitées et les fins auxquelles elles sont traitées). Le Sous -traitant met ces enregistrements à disposition à l’adresse :
xxxxx://xxx.xxxxxxxxx.xxx/xxxxx/ 14837/schedule-of-data-processing-corporate.pdf
(18) Le Sous-traitant informera immédiatement le Responsable du traitement de toute activité de supervision, d’audit ou de contrôle et des mesures prises par une autorité de supervision.
(19) Les Données à caractère personnel seront traitées et utilisées par le Sous -traitant exclusivement sur le territoire d’un État membre de l’Union européenne ou de l’Espace économique européen. Tout transfert de Données à caractère personnel vers un pays tiers requiert le consentement écrit préalable du Responsable du traitement.
(20) Le Sous-traitant reconnaît et accepte que tous les droits, titres de propriété et intérêts concernant les Données à caractère personnel du Responsable du traitement (y compris tous les droits de propriété intellectuelle y subsistant) sont la propriété exclusive du Responsable du traitement.
(21) Le Sous-traitant doit autoriser les autorités de supervision à accéder à ses locaux, ses ordinateurs et autres systèmes d’information, enregistrements, documents et enregistrements (lorsque la Législation applicable sur la protection des données le permet) pour leur permettre de s ’assurer qu’il se conforme à ses obligations en vertu du présent Contrat de traitement de données et de la Législation applicable sur la protection des données.
(22) Pendant la durée de la Commande, le Responsable du traitement est autorisé à vérifier les mesures techniques et organisationnelles prises par le Sous-traitant (ci-après « Audit ») pour assurer qu’il se conforme à ses obligations en vertu du présent Contrat de traitement de données.
Tous les Audits sont définis par le Responsable du traitement, qui assumera tous les coûts. Les Audits peuvent être menés par (i) des employés du Responsable du traitement adéquatement qualifiés, (ii) des auditeurs externes du Responsable du traitement, (iii) des régulateurs du Responsable du
traitement, (iv) des consultants indépendants nommés par le Responsable du traitement et/ou (v) consisteront en des divulgations volontaires par le Sous-traitant.
Si le Responsable du traitement souhaite que l’Audit soit exécuté par un auditeur externe ou un consultant indépendant, il doit en informer le Sous-traitant pour lui permettre de faire valoir la situation potentielle de conflit d’intérêts avec l’auditeur externe proposé ou avec ce consultant indépendant. L’absence d’objection soulevée par le Sous-traitant dans les 5 jours suivant la date de notification équivaudra à un accord tacite.
Pendant l’Audit, le Sous-traitant fournira sans délai indu les informations, l’assistance raisonnable et l’accès à ses locaux si nécessaire pour que les personnes menant l’Audit puissent réaliser intégralement et rapidement chaque Audit. Lorsque le Responsable du traitement entend acc éder aux locaux du Sous-traitant, il doit l’en informer préalablement par écrit au moins dix (10) jours ouvrables avant le début de l’Audit.
Le Responsable du traitement reconnaît qu’en raison de contraintes de sécurité l’accès physique à des installations d’hébergement en sous-traitance telles que définies dans le lien ci-dessous peut ne pas être possible et que cela ne sera pas réputé constituer une violation du droit du Responsable du traitement d’effectuer un Audit :
xxxxx://xxx.xxxxxxxxx.xxx/xxxxx/ 14833/schedule-of-subcontractors.pdf
Obligations du Responsable du traitement
(23) Le Responsable du traitement et le Sous-traitant seront chacun responsable de respecter leurs obligations applicables en vertu de la Législation sur la protection des données.
(24) Le Responsable du traitement est responsable de garantir les droits des personnes concernées. Le Sous-traitant doit assister le Responsable du traitement dans la garantie de tels droits.
(25) Tous les coûts supplémentaires raisonnables engagés en relation avec le renvoi ou la suppression de Données à caractère personnel après la résiliation ou l’expiration de la présente Commande seront assumés par le Responsable du traitement.
(26) Le Responsable du traitement est seul responsable d’assurer une base juridique légitime pour le traitement des Données à caractère personnel concernant les Données à caractère personnel qu’il collecte et dont il demande le traitement au Sous-traitant. Par les présentes, le Responsable du traitement protège le Sous-traitant contre toutes les réclamations et autres actions applicables intentées par toute Personne concernée lorsque le Responsable du traitement n’a pas fait valoir de base juridique légitime pour le traitement des Données à caractère personnel dont il demande la réalisation au Sous-traitant.
Questions des Personnes concernées au Responsable du traitement
(27) Lorsque le Responsable du traitement a l’obligation, conformément à la Législation sur la protection des données, de fournir des informations à des personnes ou à un gouvernement, à une autorité réglementaire ou de supervision concernant le traitement de ses Données à caractère personnel, le Sous-traitant doit apporter son concours au Responsable du traitement afin de rendre rapidement ces informations disponibles, au plus tard 10 jours ouvrables après la réception d’une telle demande écrite du Responsable du traitement.
(28) Si une personne concernée présente directement au Sous-traitant une demande d’accès, de rectification, d’effacement, de limitation ou de portabilité de ses données à caractère personnel, ou fait appel à celui-ci pour s’opposer au traitement de ses données à caractère personnel, le Sous-traitant transmettra sans retard cette demande au Responsable du traitement sans délai, au plus tard 5 jours
ouvrables après sa réception. Le Sous-traitant ne corrigera, supprimera ou bloquera les Données à caractère personnel traitées pour le compte du Responsable du traitement que lorsque le Responsable du traitement lui en donnera l’instruction par écrit.
Sous-traitants ultérieurs
(29) L’engagement de sous-traitants ultérieurs par le Sous-traitant requiert le consentement écrit préalable du Responsable du traitement. Une liste des sous-traitants ultérieurs utilisés par le Sous-traitant dans le traitement des données du Responsable du traitement est disponible ici :
xxxxx://xxx.xxxxxxxxx.xxx/xxxxx/ 14833/schedule-of-subcontractors.pdf
En signant le bon de commande, le Responsable du traitement donne par les présentes son consentement pour que le Sous-traitant utilise ces sous-traitants ultérieurs.
(30) Lorsque le Sous-traitant engage des sous-traitants ultérieurs avec le consentement du Responsable du traitement, il doit requérir contractuellement de ces sous-traitants ultérieurs qu’ils se conforment à des obligations substantiellement similaires à celles définies dans les présentes, incluant en particulier, sans s’y limiter, les exigences contractuelles de confidentialité, la protection des données et la sécurité des données. Le Sous-traitant doit limiter l’accès des sous-traitants ultérieurs aux Données à caractère personnel du Responsable du traitement à l’étendue nécessaire à la prestation de leurs services.
(31) Pour écarter tout doute, si un sous-traitant ultérieur ne respecte pas ses obligations en vertu d’un accord de sous-traitance, le Sous-traitant restera entièrement responsable envers le Responsable du traitement du respect de ses obligations en vertu du présent Contrat de traitement de données.
Suppression et/ou renvoi des données et conservation des données
(32) Dans les 15 jours suivant la date de fin indiquée sur le bon de Commande, ou plus tôt sur demande écrite du Responsable du traitement, le Sous-traitant supprimera les Données à caractère personnel du Responsable du traitement en conformité avec la Législation sur la protection des données. Un journal de suppression sera créé et rendu disponible sur demande.
(33) Tant que le Responsable du traitement entretiendra une relation contractuelle avec le Sous -traitant et utilisera les produits et/ou les services du Sous-traitant, le Sous-traitant conservera les données du Responsable du traitement de la manière indiquée ci-après, à moins que le Responsable du traitement ne demande par écrit une autre période de conservation des données.
Produit | Période de conservation par défaut | Durée maximale de conservation disponible | Durée de la période de conservation des données après la fin du contrat (Délai de grâce) | Action à l’expiration du Délai de grâce | Exportation des données |
Adcourier | Non applicable | Non applicable | 15 jours | Compte supprimé | Non applicable |
Aplitrak | 6 mois à compter de la date de réception de la candidature | 1 an | 15 jours | Compte supprimé | Oui, vers le site FTP spécifié par le client |
Search - Interne | 2 ans à compter de la date de réception de la candidature | 5 ans | 15 jours | Compte supprimé | Oui, vers le site FTP spécifié par le client |
Search - Externe | 6 mois | 1 an | 15 jours | Compte verrouillé mais données non supprimées | Oui, vers le site FTP spécifié par le client |
Le Sous-traitant ne conservera en aucun cas les données du Responsable du traitement plus longtemps que la période maximale indiquée.
Le Responsable du traitement et le Sous-traitant consentent tous deux à ce que le Sous-traitant conserve les données du Responsable du traitement pour un maximum de 15 jours après la fin d’une période de contrat (Délai de grâce) lorsqu’aucun renouvellement de contrat n’a été convenu entre les Parties avant cette date de fin. À l’expiration du Délai de grâce, le Sous-traitant supprimera toutes les données du Responsable du traitement.
Devoir d’information, forme écrite obligatoire
(34) Si le Sous-traitant (i) a l’obligation, selon la loi, une décision judiciaire, un mandat, une assignation ou une autre procédure judiciaire, de divulguer de quelconques Données à caractère personnel du Responsable du traitement à une quelconque personne autre que le Responsable du traitement ou (ii) reçoit une quelconque question, communication, demande ou plainte d’une autorité gouvernementale, réglementaire ou de supervision, il doit immédiatement en informer le Responsable du traitement par écrit et doit fournir à temps toute l’assistance raisonnable au Responsable du traitement pour lui permettre de réagir, formuler des objections ou s’opposer à toute question, communication, demande ou réclamation de ce type et de respecter les délais légaux ou réglementaires applicables.
(35) Aucun changement ni aucune modification du présent Contrat de traitement de données ou d’une quelconque de ses exigences, incluant tout engagement exprimé par le Sous-traitant, ne sera valide et contraignant(e) s’il/elle ne revêt pas la forme écrite et s’il/elle n’indique pas expressément qu’il/elle constitue un changement ou une modification au présent Contrat de traitement de données. Toute renonciation à une quelconque disposition du présent Contrat de traitement de données doit être enregistrée sous forme écrite.