Accord de protection et de sécurité des données

Accord de protection et de sécurité des données

1. Préambule

1.1 Pour la plateforme « 365FarmNet » (la « plateforme »), la protection des données personnelles des utilisateurs est d'une importance centrale. La société 365FarmNet GmbH en qualité d'exploitant de la plateforme respecte bien entendu les règles relatives à la protection des données, telles qu'elles résultent notamment du règlement général sur la protection des données (RGPD).

1.2 Afin de permettre une utilisation sans risque de 365FarmNet à tous les utilisateurs, le concept de 365FarmNet prévoit que toutes les données des utilisateurs de la société 365FarmNet GmbH sont exclusivement traitées pour l'utilisateur et conformément à ses instructions (directives). À titre de garantie, 365FarmNet conclut le présent accord de protection et de sécurité des données avec les utilisateurs, répondant aux exigences légales des accords de sous-traitance au sens de l'art. 28 du RGPD. Dans le cadre de cet accord, l'utilisateur agit en qualité de client et 365FarmNet GmbH en qualité de fournisseur.

2. Objet et durée du contrat (art. 28, paragraphe 3, phrase 1, du RGPD)

2.1 Il existe un contrat d'utilisation de la plateforme entre le client et le fournisseur (le « contrat principal ») sur la base duquel le fournisseur fournit des services au client. Concrètement, le fournisseur permet au client d'utiliser la plateforme et les modules réservés (le « contrat »). Dans le cadre de l'utilisation de la plateforme, le fournisseur a connaissance de données à caractère personnel provenant du client et qui seront exclusivement traitées pour lui. Le contrat principal et les fiches techniques relatives à chaque module contiennent toutes les précisions utiles sur l'étendue de l'utilisation de la plateforme et les données à caractère personnel.

2.2 La durée du contrat correspond à la durée du contrat principal ; le présent accord s'applique pendant toute la durée du contrat principal.

3. Objet du traitement des données (art. 28, paragraphe 3, phrase 1, du RGPD)

3.1 Le traitement des données par le fournisseur s'effectue exclusivement aux fins d'exécution des services fournis en vertu du contrat principal, notamment aux fins de saisie, de fourniture et d'utilisation de données dans le cadre d'un système de gestion d'exploitations agricoles.

3.2 Dans le cadre de ses services, le fournisseur traite les données en enregistrant les données du client sur ses propres systèmes et en permettant au client d'accéder et d'utiliser ses données sur ces systèmes. Le traitement des données s'effectue exclusivement aux fins décrites dans les spécifications.

3.3 Dans le cadre de l'exécution de ses services, le fournisseur entre en contact avec des informations concernant l'exploitation du client et ses collaborateurs, par exemple concernant l'activité de certains collaborateurs ; en outre, le fournisseur reçoit des informations sur les partenaires contractuels du client, notamment sur la nature et l'étendue de leur coopération et son développement. À l'exception des données mentionnées ci-dessus, les données à caractère personnel ne sont pas traitées.

3.4 Les types de données mentionnées ci-dessus concernent le client et ses collaborateurs, ainsi que les partenaires contractuels du client, notamment ses fournisseurs et clients.

3.5 Toute modification de l'objet du traitement des données et tout changement de procédure doivent être convenus d'un commun accord et consignés par écrit.

4. Mesures techniques et organisationnelles (art. 28, paragraphe 3, phrase 2, point c), du RGPD)

4.1 Compte tenu de l'état de la technique, des coûts d'implémentation et de la nature, de l'étendue, des circonstances et des objectifs du traitement, ainsi que des diverses probabilités d'occurrence et du niveau de risque pour les droits et les libertés des personnes physiques, le fournisseur a pris des mesures techniques et organisationnelles suffisantes pour garantir la protection et la sécurité des données, afin de garantir un niveau de protection proportionnel au risque. Ces mesures sont détaillées séparément ; la documentation des mesures techniques et organisationnelles (« aperçu TOM ») fait partie intégrante du contrat.

4.2 Le fournisseur s'engage à mettre en œuvre et à maintenir les mesures figurant dans l'aperçu XXX. À cet égard, le fournisseur tient compte du fait que les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. En cas de modification apportée à ces mesures, le fournisseur doit adapter l'aperçu XXX en conséquence et en informer le client. À cet égard, les modifications ne doivent pas entraîner une baisse du niveau de protection.

5. Directives du client (art. 28, paragraphe 3, phrase 2, point a), du RGPD)

Le client peut donner des directives au fournisseur s'agissant de l'exécution des services. Le fournisseur avertit le client s'il estime que l'une de ses directives porte atteinte aux règles relatives à la protection des données. Le fournisseur peut suspendre l'exécution de la directive concernée jusqu'à confirmation ou modification par la personne compétente auprès du client.

6. Secret des données (art. 28, paragraphe 3, phrase 2, point b), du RGPD)

6.1 Le fournisseur atteste avoir connaissance des lois en vigueur relatives à la protection des données. Dans le cadre de l'exécution de ses obligations, le fournisseur certifie qu'il informe ses employés sur les dispositions applicables en matière de protection des données et qu'il les tient au respect du secret des données.

6.2 Le fournisseur transmet toutes les questions et réclamations de tiers ou des personnes concernées au client, avec lequel il décidera de la suite à donner.

7. Mesures techniques et organisationnelles (art. 28, paragraphe 3, phrase 2, point c), du RGPD)

7.1 Compte tenu de l'état de la technique, des coûts d'implémentation et de la nature, de l'étendue, des circonstances et des objectifs du traitement, ainsi que des diverses probabilités d'occurrence et du niveau de risque pour les droits et les libertés des personnes physiques, le fournisseur a pris des mesures techniques et organisationnelles suffisantes pour garantir la protection et la sécurité des données, afin de garantir un niveau de protection proportionnel au risque. Ces mesures sont détaillées séparément ; la documentation des mesures techniques et organisationnelles (« aperçu TOM ») fait partie intégrante du contrat.

7.2 Le fournisseur s'engage à mettre en œuvre et à maintenir les mesures figurant dans l'aperçu XXX. En cas de modification des mesures, le fournisseur doit adapter l'aperçu XXX en conséquence. À cet égard, les modifications ne doivent pas entraîner une baisse du niveau de protection.

8. Responsabilité du client

8.1 Le client est seul responsable de la légalité du traitement des données, ainsi que de la préservation des droits des personnes concernées dans les relations des parties entre elles. En cas d'action de tiers contre le fournisseur reposant sur le traitement des données conformément au présent contrat, le client garantit le fournisseur contre toutes ces actions à première demande.

8.2 Il revient au client de remettre au fournisseur, en temps utile, les données nécessaires à la fourniture du service en vertu du contrat principal ; le fournisseur est responsable de la qualité des données. En outre, le client doit s'assurer que le fournisseur puisse traiter les données sans violer les droits de tiers. Il revient au client de requérir les déclarations de consentement nécessaires ou de créer toutes autres conditions nécessaires.

8.3 Le client doit remettre au fournisseur, à sa demande, les informations mentionnées à l'art. 30, paragraphe 2, du RGPD, sauf si le fournisseur en dispose déjà.

8.4 Si le fournisseur est tenu, au regard d'un organisme public ou d'une personne, de donner des renseignements sur le traitement des données ou de coopérer de toute autre manière avec ces organismes, le client est tenu d'apporter son soutien au fournisseur à première demande pour délivrer ces renseignements ou satisfaire toute autre obligation de coopération.

9. Responsabilité du fournisseur et contrôles

9.1 Le fournisseur n'utilise pas les données transmises aux fins de traitement à d'autres fins que l'exécution du contrat, notamment pour ses propres besoins.

9.2 S'agissant du traitement des données à caractère personnel conformément au mandat confié, le fournisseur garantit une réalisation conforme au contrat de toutes les mesures adoptées.

9.3 Le fournisseur est informé qu'il est tenu, outre au respect sans réserve des dispositions du présent accord, au respect des lois relatives à la protection des données et qu'il est tenu d'en contrôler régulièrement le respect par ses employés et préposés.

10. Sous-traitants (art. 28, paragraphe 2, paragraphe 3, phrase 2, point d), paragraphe 4, du RGPD)

10.1 Le client donne l'autorisation générale au fournisseur de faire intervenir des sous-traitants dans le traitement de données. Le fournisseur informe le client de tout transfert de services à un sous- traitant, en indiquant le nom du sous-traitant. Le client peut contester le recours à un sous- traitant. Le client peut uniquement s'y opposer pour une raison impérieuse qu'il doit justifier auprès du fournisseur. Si le client ne s'y oppose pas dans un délai d'un mois, le droit d'opposition s'éteint s'agissant du recours envisagé au sous-traitant. Le devoir d'information et le droit d'opposition ne s'appliquent pas si les prestataires n'ont aucun accès autonome à des données à caractère personnel du client et s'ils n'entrent aucunement en contact avec ces données (comme les agents de nettoyage ou les prestataires assurant la maintenance du matériel informatique). Si le client exerce son droit d'opposition, le fournisseur peut résilier le contrat principal existant avec un préavis d'un mois, s'il estime être tributaire du recours au sous-traitant envisagé.

10.2 Le client est informé que le fournisseur recourt à d'autres sous-traitants pour fournir ses services. Les sous-traitants intervenant au moment de la conclusion du contrat figurent dans une liste faisant partie intégrante du contrat. Le fournisseur consent expressément à l'intervention des sous-traitants mentionnés.

10.3 Le fournisseur doit garantir que toutes les obligations résultant du présent accord s'appliquent également aux sous-traitants et leurs collaborateurs ; il en va notamment ainsi de l'obligation de confidentialité et de protection des données, ainsi que des droits de contrôle du client. Si le sous-traitant fournit le service convenu en dehors de l'UE ou de l'EEE, le fournisseur garantit la licéité du traitement des données en prenant des mesures adéquates.

11. Droits de la personne concernée (art. 28, paragraphe 3, phrase 2, point e), du RGPD)

11.1 Le fournisseur rectifie et efface les données à caractère personnel traitées pour le client ou en limite le traitement, non de manière arbitraire, mais selon les instructions documentées du client.

11.2 Si une personne concernée demande au fournisseur de rectifier, d'effacer ou de limiter le traitement des données, le fournisseur en informe le client et lui transmet la demande afin qu'il y réponde.

11.3 Le fournisseur apporte son soutien au client pour répondre aux questions et satisfaire aux exigences des personnes concernées dans l'exercice de leurs droits.

12. Obligations d'information et services d'assistance (art. 28, paragraphe 3, phrase 2, point f), du RGPD)

12.1 Le fournisseur apporte son soutien au client conformément aux art. 32 et suivants du RGPD dans le respect des obligations de sécurité des données à caractère personnel, dans la satisfaction des obligations de déclaration en cas de violations de la protection de données à caractère personnel, dans l'élaboration d'évaluations d'impact de la protection des données et dans la nécessité d'effectuer des consultations préalables.

12.2 En cas de violation de la protection des données ou d'irrégularité dans le traitement de données à caractère personnel, le fournisseur en informe le client, s'il existe un rapport avec le contrat.

12.3 En cas de contrôles effectués par l'autorité de contrôle, de mesures prises par elle et d'enquêtes menées sur la base d'infractions et/ou de délits, le fournisseur en informe également le client.

12.4 Si le client fait lui-même l'objet d'un contrôle de l'autorité de contrôle, d'une procédure administrative d'infraction ou d'une procédure pénale, d'une action en responsabilité d'une personne concernée ou d'un tiers ou de toute autre action en relation avec l'exécution du contrat, le fournisseur doit lui apporter son soutien au mieux de ses possibilités.

13. Effacement et restitution de données (art. 28, paragraphe 3, phrase 2, point g), du RGPD)

13.1 Lorsqu'il a fourni ses services ou plus tôt à la demande du client, le fournisseur doit remettre au client tous les documents en sa possession, ainsi que les résultats du traitement et / ou de l'utilisation relatifs au contrat. Les supports de données du fournisseur doivent ensuite être supprimés physiquement. Le matériel de test et le matériel de rebut doivent être immédiatement détruits ou restitués au client.

13.2 Les principes précédents ne s'appliquent pas aux données à caractère personnel soumises à une obligation légale de stockage. Le fournisseur doit conserver les documents de nature à prouver le traitement conforme des données au-delà du terme du présent accord, en fonction du délai de conservation respectif ; le fournisseur peut les restituer au client au terme du présent accord.

14. Pouvoir de contrôle du client (art. 28, paragraphe 3, phrase 2, point h), du RGPD)

14.1 Le fournisseur consent à ce que le client soit habilité à contrôler le respect des règles relatives à la protection des données, ainsi que du présent accord dans les limites nécessaires. Le droit de contrôle comprend notamment la possibilité de contrôler le respect des obligations contractuelles et des lois sur place, auprès du fournisseur, le cas échéant avec notification préalable et en respectant les règles de sécurité en vigueur.

14.2 La preuve de la mise en œuvre des mesures techniques et organisationnelles peut notamment se faire par le respect d'un code de conduite approuvé, conformément à l'art. 40 du RGPD, par la certification en vertu d'une procédure de certification approuvée conformément à l'art. 42 du RGPD ou par des attestations, des rapports ou des extraits de rapports actuels d'instances indépendantes, telles que commissaires aux comptes ou auditeurs de la protection des données.

15. Délégué à la protection des données et représentant dans l'UE

Pour son entreprise, le fournisseur a nommé un délégué à la protection des données qui exerce son activité en vertu des articles 38 et suivant du RGPD. Le nom et les coordonnées du délégué à la protection des données figurent sur la page d'accueil du fournisseur. Si le siège social du fournisseur est situé en dehors de l'UE, il désigne au client un représentant en UE conformément à l'art. 27, paragraphe 1, du RGPD. Les noms et les coordonnées du représentant en UE, ainsi que toute modification, doivent être signalés sans délai au client.

16. Responsabilité et nullité partielle

16.1 Les exclusions et les limites de responsabilité prévues par le contrat principal s'appliquent à la responsabilité du fournisseur en vertu du présent contrat. En cas d'action de tiers à l'encontre du fournisseur résultant d'une violation fautive du présent contrat par le client ou de l'une de ses obligations en qualité de responsable de la protection des données, le client garantit le fournisseur contre ces actions à première demande. En outre, le client s'engage à garantir le fournisseur, à première demande, contre toute amende prononcée à l'égard du fournisseur, à hauteur de la part de responsabilité du client à la violation sanctionnée par l'amende.

16.2 La nullité de certaines des dispositions du présent accord n'affecte pas la validité de l'accord dans ses autres dispositions. La disposition nulle est remplacée par une une disposition économiquement équivalente dans le sens correspondant à la matière du contrat. Il en va de même en cas de lacune.