Prodware - Siège social : 45, Quai de la Seine, 75019 Paris
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Prodware - Siège social : 00, Xxxx xx xx Xxxxx, 00000 Xxxxx
INFO* 0826 46 1000 (*0,15 € TTC/min)
SA AU CAPITAL DE 4 437 589,00 € RCS PARIS B 352 335 962 - N° TVA Intracommunautaire : FR62 352 335 962
NAF 6202 A - Déclaration d’activité de formation enregistrée sous le n° 11 75 4693875 auprès du xxxxxx xx xx xxxxxx x’Xxx xx Xxxxxx (article R.6351-6 du Code du travail).
xxx.xxxxxxxx.xx - xxxxx@xxxxxxxx.xx
Table des matieres
4. Durée de la mission / avis de résiliation 5
5. Description du traitement faisant l’objet de la sous-traitance 5
6. Lieu du traitement des données personnelles 5
7. Mesures techniques et organisationnelles 6
8. Rectification, suspension et effacement des données 6
9. Obligations du Sous-traitant 7
10. Sous-traitance ultérieure 8
11. Droit d’information des personnes concernées 8
12. Notification des violations de données à caractère personnel 9
13. Assistance du Sous-traitant au titre des articles 35-36 RGPD 9
15. Nomination d’un Délégué à la Protection des Données 10
17. Obligations du Responsable de Traitement 10
19. Effacement des données et retour des supports 12
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 2/19
Révision : 2
Entre :
PRODWARE SA
Société Anonyme au capital de 5.330.364,00 euros
Dont le siège social est situé au 00, xxxx xx xx Xxxxx, 00000 XXXXX Immatriculée au RCS de Paris sous le numéro B 352 335 962
Représentée par Xxxxxxxx XXXXXXXXXXX, en qualité d’Area Manager France - Middle East Africa
Dûment habilité aux présentes,
Ci-après désigné : « Prodware », ou « le Sous-traitant » et :
CLIENT
Ci-après désigné: « », ou «Le Responsable du Traitement»
Ci-après, ensemble désignées : « les Parties »
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 3/19
Révision : 2
1. CONDITIONS INITIALES
1. Le Client et le Prestataire ont conclu un ou plusieurs contrats portant sur la fourniture de prestations informatiques (ci-après « les Contrats Principaux »). La réalisation des prestations nécessitant le traitement des données personnelles du Client par le Prestataire, le Client en tant que Responsable du Traitement et le Prestataire en tant que Sous-traitant ont décidé de conclure le présent avenant (ci-après « l’Accord »), conformément à l’Art. (28) (3) phrase 1 du Règlement Général sur la Protection des Données (RGPD).
2. Le présent accord a pour objet de définir les conditions dans lesquelles le Sous-traitant mettra en œuvre pour le compte du Responsable de Traitement, le traitement des données personnelles.
3. Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la règlementation applicable en matière de traitement des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après dénommé "Règlement Général sur la Protection des Données" ou RGPD).
4. Le présent Accord fait partie intégrante des différents Contrats Principaux signés par les Parties ayant pour objectif la fourniture des prestations informatiques mentionnées ci-dessous.
• Intégration, développement, migration, sous-traitance et/ou prestations intellectuelles.
• Services d’hébergement
• Licence et Matériel
• Services de Support et Maintenance
2. Definitions
1. Les termes et concepts utilisés dans cet avenant de sous-traitance des données personnelles ont la même signification que dans le RGPD.
3. DOCUMENTS CONTRACTUELS
1. Cet avenant et ses Annexes constituent l’unique accord de Sous-Traitance des Données formé entre les Parties. L’Accord de Sous-Traitance des Données remplace tout accord précédemment conclu entre les Parties en matière de Données Personnelles. Tout document précédemment conclu entre les Parties en matières de Données Personnelles est non-contraignant.
2. Les documents contractuels doivent s’interpréter comme formant un ensemble cohérent et indissociable, chacun se complétant et s’explicitant mutuellement tant au plan technique que juridique. En cas de divergence entre ces documents, l’ordre de priorité décroissant est défini comme suit :
• Ce document
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 4/19
Révision : 2
• Annexe 1 : Données Personnelles
• Annexe 2 : Mesures techniques et organisationnelles en application de l’article 32 RGPD
• Annexe 3 : Identification et détails des contacts des Parties
3. Certains des documents contractuels pourront être amendés ou enrichis en cours d’exécution du Contrat. En tout état de cause, ces amendements ou enrichissements devront faire l’objet d’un avenant signé par les Parties. Ainsi, aucune modification ne pourra être apportée à l’accord sans qu’un document ne soit signé par les deux Parties.
4. DUREE DE LA MISSION / AVIS DE RESILIATION
1. La durée de la mission (durée de l’accord) est fonction de celle prévue aux Contrats Principaux.
2. Dès lors, la fin du présent Accord est en fonction des dispositions relatives à la durée et à la résiliation des Contrats Principaux. La notification nécessaire pour la résiliation des Contrats Principaux aura également pour effet de mettre fin au présent Accord.
3. En outre, la résiliation anticipée du présent Accord sans préavis sera autorisée en cas de violation grave des dispositions légales ou contractuelles en matière de protection des données, dans la mesure où la Partie contractante en question ne peut raisonnablement pas poursuivre le présent Accord dans lesdites circonstances.
5. Description du traitement faisant l’objet de la sous-traitance
1. Le Sous-traitant est autorisé à traiter pour le compte du Responsable du Traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) prévus dans les Contrats Principaux.
2. La nature des opérations réalisées sur les données est décrite dans les Contrats Principaux.
3. La ou les finalités du traitement est(sont) décrite(s) dans les Contrats Principaux.
4. Les catégories de données traitées sont décrites dans l’Annexe 1.
5. Pour l’exécution du service objet du présent accord, le Responsable du Traitement s’engage à communiquer au Sous-traitant toutes informations nécessaires.
6. LIEU DU TRAITEMENT DES DONNEES PERSONNELLES
Les données seront traitées uniquement dans un Etat membre de l’Union Européenne ou sur le territoire de l’Espace Economique Européen (« EEE »).
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 5/19
Révision : 2
1. Tout transfert de données vers un Etat tiers ou vers une organisation internationale requiert l’accord préalable et écrit du Responsable du Traitement et ne sera autorisé qu’à condition d’avoir rempli les conditions prévues aux articles 44 et 50 du RGPD.
2. Le Sous-traitant ne procèdera pas au transfert de données personnelles vers un pays tiers ou une organisation internationale sans avoir fourni au Responsable du Traitement des garanties appropriées. Par garantie appropriée, on entend notamment la signature de clauses contractuelles types de protection des données, entre le Responsable du Traitement et le Sous- traitant ultérieur importateur des données personnelles dans le pays tiers, et, la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
3. Par conséquent, en signant cet Accord de sous-traitance des données personnelles, le Responsable du Traitement en tant qu’exportateur de données, donne au Sous-traitant un mandat explicite et clair de signer, en son nom et pour son compte, les clauses contractuelles types de 2010 avec l’importateur de données qui se trouve être une société du Groupe Prodware, située dans un Etat tiers et agissant en tant que Sous-traitant ultérieur.
7. MESURES TECHNIQUES ET ORGANISATIONNELLES
1. Le Sous-traitant prendra les mesures techniques et organisationnelles adéquates permettant d’assurer un niveau de sécurité approprié au risque tel que déterminé par le Responsable du Traitement et doit maintenir ces mesures pendant toute la durée des Contrats Principaux. Le Sous-traitant garantit le Responsable du Traitement qu’il a pris les mesures techniques et organisationnelles spécifiées dans l’Annexe 2 du présent accord.
2. Les mesures techniques et organisationnelles doivent être conforme à l’état de l’art et aux évolutions techniques. Le Sous-traitant peut, par conséquent prendre des mesures alternatives adéquates. Le niveau de sécurité de ces mesures ne doit pas être en deçà de celui des mesures techniques et organisationnelles. Toute modification substantielle doit être documentée.
8. RECTIFICATION, SUSPENSION ET EFFACEMENT DES DONNEES
1. Le Sous-traitant ne peut rectifier, suspendre ou effacer les données objet du traitement que sur instruction écrite du Responsable de Traitement. Les copies nécessaires au traitement des données, à la fourniture des services conformément aux Contrats Principaux, et aux respects des exigences légales, ne nécessitent pas l’accord préalable du Responsable de traitement.
2. En cas de demande de rectification ou d’effacement des données personnelles effectuée auprès du Sous-traitant par la personne concernée, le Sous-traitant devra transférer ladite requête au Responsable du Traitement dans les meilleurs délais.
3. Ces deux engagements sont applicables seulement si l’hébergement des données personnelles collectées par le Responsable du Traitement est assuré par le Sous-traitant.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 6/19
Révision : 2
4. Les prestations spécifiques commandées par le Responsable du Traitement dans le cadre de ses obligations de conformité au RGPD qui nécessitent la mise en œuvre de services supplémentaires par le Sous-traitant, feront l’objet d’une tarification aux conditions applicables à la date de la demande.
9. OBLIGATIONS DU SOUS-TRAITANT
Le Sous-traitant s'engage à
1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous- traitance
2. Traiter les données conformément aux instructions documentées du Responsable du Traitement figurant en annexe du présent contrat. Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de Traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public
3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Accord
4. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
5. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Accord :
a) S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
b) Reçoivent la formation nécessaire en matière de protection des données à caractère personnel
6. La conformité à un code de conduite approuvé comme le prévoit l'article 40 ou à un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément au Sous-traitant pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 de l’article 28 du RGPD.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 7/19
Révision : 2
10. SOUS-TRAITANCE ULTERIEURE
Dans la mesure où le Sous-traitant souhaite inclure un Sous-traitant ultérieur dans le traitement ou l’utilisation des données personnelles du Responsable de Traitement, les conditions suivantes s’appliquent :
1. Le Sous-traitant peut faire appel à un autre Sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, le Sous-traitant informe le Responsable du Traitement de tout changement envisagé concernant l’ajout ou le remplacement de Sous-traitants ultérieurs soit par courriel, soit au travers du portail GDPR Prodware (xxxxx://xxxx.xxxxxxxxxxxxx.xxx/xx). Ce site peut être consulté librement par le Responsable du Traitement qui peut aussi être notifié automatiquement lors de mises à jour s’il s’enregistre sur ce site.
2. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-traitant ultérieur et les dates du contrat de sous-traitance.
3. En signant cet Accord, le Responsable du Traitement approuve les Sous-traitants ultérieurs du Sous-traitant.,
4. Le Responsable du Traitement dispose d’un délai maximum de sept jours à compter de la date de réception de cette information pour présenter ses objections
5. Le Sous-traitant ultérieur est tenu de respecter les obligations du présent accord pour le compte et selon les instructions du Responsable de Traitement.
6. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.
7. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable du Traitement de l’exécution de ses obligations.
8. Les prestations confiées à un tiers au titre de travaux complémentaires, ne doivent pas être considérées comme de la sous-traitance ultérieure dans le sens de ces dispositions. Il s’agit notamment, des services de télécommunication, d’entretien, et des services aux utilisateurs, d’effacement des supports de données ou d’audit. Le Sous-traitant est toutefois tenu, dans ces cas, de conclure un contrat en bonne et due forme et de prendre des mesures de contrôle afin de garantir la protection et la sécurité des données du Responsable du Traitement en cas de travaux complémentaires effectuées par des tiers.
11. DROIT D’INFORMATION DES PERSONNES CONCERNEES
1. Il appartient au Responsable du Traitement d’informer les personnes concernées par les opérations de traitement au moment de la collecte des données.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 8/19
Révision : 2
2. Dans la mesure du possible, le Sous-traitant aidera le Responsable du Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
3. Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à un contact agissant pour le Responsable de Traitement.
4. Les prestations spécifiques commandées par le Client dans le cadre de ses obligations de conformité au RGPD qui nécessitent la mise en œuvre de services supplémentaires par le Sous- traitant, feront l’objet d’une tarification aux conditions applicables à la date de la demande.
12. NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL
1. Le Sous-traitant notifie au Responsable du Traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance par courrier électronique adressé à un contact désigné par le Responsable du Traitement dans l’Annexe 3.
2. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
13. ASSISTANCE DU SOUS-TRAITANT AU TITRE DES ARTICLES 35-36 RGPD
1. Conformément à l’article 35 RGPD, le Sous-traitant doit fournir une assistance raisonnable au Responsable du Traitement afin de l’aider à remplir son obligation de réaliser une analyse d’impact relative à la protection des données personnelles dans le cadre des activités du Responsable du Traitement Cette assistance raisonnable ne devra être fournie que dans la mesure où le Client ne peut accéder à l’information concernée par d’autres moyens, et dans la mesure où ladite information est disponible pour le Sous-traitant.
2. Conformément à l’article 36 RGPD, le Sous-traitant doit fournir une assistance raisonnable au Responsable du Traitement pour la réalisation de la consultation préalable de l’Autorité de Contrôle.
3. Cette assistance raisonnable fera l’objet d’une tarification aux conditions applicables à la date de la demande.
14. MESURES DE SECURITE.
1. Le Sous-traitant s’engage à traiter les données personnelles concernées par le présent accord de manière à garantir un niveau de sécurité et de confidentialité approprié. Les mesures de sécurité mises en œuvre sont détaillées dans l’Annexe 2.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 9/19
Révision : 2
15. NOMINATION D’UN DELEGUE A LA PROTECTION DES DONNEES
1. Conformément à l’article 37 RGPD, le Sous-traitant a nommé un Délégué à la Protection des Données (ci-après « DPD ») dont le nom et coordonnées sont mentionnés à l’Annexe 3.
16. AUDIT
1. Le Sous-traitant s’engage à fournir au Responsable du Traitement toutes les informations nécessaires, afin de prouver sa conformité aux obligations prévues au titre de cet Accord, et d’autoriser et faciliter les audits (y compris les inspections) qui seront effectuées par le Responsable du Traitement ou tout autre auditeur tiers, choisi par le Responsable de Traitement, et expressément accepté par le Sous-traitant.
2. En outre, les Parties conviennent que les audits sur site et inspections mentionnés aux articles 9 et 17 de cet Accord devront être effectués conformément aux spécifications suivantes :
3. En cas de notification par le Responsable du Traitement au Sous-traitant d'une divulgation non autorisée réelle ou suspectée de données personnelles, dès lors que le Responsable du Traitement pense raisonnablement que le Sous-traitant a manqué à ses obligations contractuelles en matière de sécurité des données personnelles, ou si un audit est demandé par une Autorité de contrôle, le Responsable du Traitement peut solliciter la mise en œuvre d’un audit sur site relatif à la sécurité des données personnelles.
4. Une telle demande d’audit sur site ne saurait intervenir plus d'une fois par an, sauf dans le cas avéré d’accès aux données personnelles non autorisé, ou raisonnablement suspecté. Le Responsable du Traitement devra indemniser le Sous-traitant au temps passé, selon les tarifs en vigueur chez le Sous-traitant, qui seront mis à sa disposition sur demande. Avant le début d’un audit sur site, le Responsable du Traitement et le Sous-traitant conviendront mutuellement de la portée, du calendrier et de la durée de l’audit, ainsi que du montant qui sera facturé au Responsable de Traitement. La facturation devra être raisonnable, et tenir compte des frais réels du Sous-traitant.
5. Le Responsable du Traitement notifiera dans les meilleurs délais au Sous-Traitant, toute information relative à une pote ntielle non-conformité découverte à l’occasion de l’Audit.
17. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT
Conformément aux dispositions de l’article 5(2) RGPD, le Client en sa qualité de Responsable du Traitement est responsable du respect des principes énoncés à l’article 5(I) du RGPD et est en mesure de démontrer que celui-ci est respecté (responsabilité). A ce titre, le Responsable de Traitement, propriétaire des données s’engage à :
1. Fournir au Sous-traitant toutes les données dont ce dernier a besoin pour assurer les prestations prévues dans les Contrats Principaux dans les délais opportuns et est responsable de la qualité des données à caractère personnelles transmises au Sous-Traitant.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 10/19
Révision : 2
2. Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant.
3. Informer immédiatement le Sous-traitant de toute erreur ou irrégularité dont il a connaissance en relation avec les mesures de protection des données ou de ses instructions lors de l’examen des résultats de la mission confiée au Sous-traitant.
4. Veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant
5. Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant. La personne autorisée à donner des instructions pour le compte du Responsable de Traitement, la personne chargée d’appliquer ces instructions pour le compte du Sous-traitant et les Délégués à la Protection des Données responsables dont la nomination est imposée par la loi seront listés en Annexe 3. Dans l’hypothèse d’un changement de contact responsable, la Partie cocontractante devra être notifiée du nom du nouveau contact sans délai.
18. RESPONSABILITE
1. Les stipulations suivantes concernent les relations contractuelles entre le Sous-traitant et le Responsable de Traitement. Elles ne sont pas opposables aux dispositions relatives aux droit des personnes dont les données sont traitées, régies par l’article 82(1) RGPD.
2. Le Sous-traitant et ses représentants légaux ou ses agents, ne verront pas leur responsabilité engagée en cas de manquement mineur. Toutefois, cette exonération de responsabilité pour manquement mineur, ne s’appliquera pas en cas de violation d’une obligation contractuelle essentielle. Par obligation essentielle, les Parties entendent, l’obligation dont la mise en œuvre par le Sous-traitant est nécessaire à la bonne exécution du présent Accord, notamment les obligations dont la violation compromettrait la réalisation de l’objet de l’Accord tel qu’il est défini dans l’article 1 du présent avenant. Dans ce cas, l’exonération de responsabilité du Sous-traitant en cas de manquement mineur est exclue.
3. Si et dans la mesure où le Sous-traitant et ses représentants légaux sont reconnus responsables pour manquement mineur, leur responsabilité doit être limitée aux dommages prévisibles en cas de dommages matériels et de pertes financières. La responsabilité pour toute autre dommage notamment les dommages indirects, est exclue.
4. En tout état de cause, le montant de l’indemnisation à verser par le Sous-traitant dans le cas où sa responsabilité serait engagée, tous motifs confondus, ne pourra excéder la somme totale effectivement perçue par le Sous-traitant au titre des Contrats Principaux dans l’année où est constaté l’incident.
5. En cas de perte ou de détérioration des données ou fichiers du Responsable de Traitement, et si cette perte ou détérioration a été causée par le Sous-traitant, la responsabilité du Sous-traitant sera limitée à la réinstallation de la dernière sauvegarde effectuée par le Client.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 11/19
Révision : 2
6. Toute action judiciaire du Responsable du Traitement introduite pour obtention de dommages et intérêts, deux années après la survenance du dommage sera prescrite. Le présent délai de prescription ne s’applique pas en cas de responsabilité délictuelle ou en cas de dommages intentionnellement causés.
19. EFFACEMENT DES DONNEES ET RETOUR DES SUPPORTS
Au terme de la prestation de services relative au traitement de ces données, le Sous-traitant s’engage à :
1. Détruire toutes les données à caractère personnel ou
2. Renvoyer toutes les données à caractère personnel au Responsable du Traitement ou
3. Renvoyer les données à caractère personnel au Sous-traitant désigné par le Responsable de Traitement.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-traitant. Une fois détruites, le Sous-traitant doit justifier par écrit de la destruction.
Les documents qui servent à prouver les traitements de données et les délais légaux et contractuel de conservation doivent également être conservées par le Sous-traitant et ce, même après la fin du présent Accord conformément aux délais de conservation.
Les prestations spécifiques commandées par le Client dans le cadre de ses obligations de conformité au RGPD qui nécessitent la mise en œuvre de services supplémentaires par le Sous-traitant, feront l’objet d’une tarification aux conditions applicables à la date de la demande.
20. DISPOSITIONS FINALES
1. Si une stipulation du présent Accord est réputée nulle au regard d’une règle de droit ou d’une loi en vigueur, sa nullité n’affectera pas les autres stipulations. Les Parties s’engagent à remplacer la stipulation inapplicable avec une stipulation légale qui poursuivrait le même objectif que la stipulation inapplicable.
2. En cas de contradiction entre le présent Accord et d’autres accords entre les Parties en particulier les Contrats Principaux, le présent Accord prévaut.
3. Toute modification accessoire, avenants et ajouts au présent Accord se fera par écrit.
4. Le présent Accord et toutes les transactions réalisés dans le cadre de sa réalisation sont régis par la loi française et le RGPD.
5. En cas de différend entre les Parties, compétence exclusive est donnée aux tribunaux de Paris, qu’il y ait ou non pluralité de défendeurs ou appel garantie.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 12/19
Révision : 2
21. SIGNATURE
Fait à Paris, le <date>
Pour le client | Pour Prodware | |
<Nom Client> <Qualité> | Xxxxxxxx XXXXXXXXXXX Area Manager France - Middle East Africa |
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 13/19
Révision : 2
22. DOCUMENTS ANNEXES
Annexe 1 : Données personnelles
Les catégories de données traitées sont :
• Civilité (identité, données d’identification, images etc.)
• Données de contact (adresses, emails, téléphone)
• Vie personnelle (style de vie, situation familiale, etc.)
• Vie professionnelle (CV, formation, diplômes, etc.)
• Informations économiques et financières (revenus, situation financière et fiscale, etc.)
• Données de connexion (adresse IP, Logs, etc)
• Données de localisation (voyages, données GPS, GMS, etc)
• Catégories particulières de données : Numéro de sécurité social
Les catégories de personnes concernées sont :
• Les clients/prospects du Client
• Les salariés du Client
• Les fournisseurs/prestataires de service du Client
• Les candidats du Client
• Les partenaires commerciaux du Client
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 14/19
Révision : 2
Annexe 2 : Mesures techniques et organisationnelles
Le Prestataire a mis en œuvre un système de sauvegarde de données complet conforme à l’état de
l’art en termes de conception, de moyens, d’organisation et de technologies pour garantir la sécurité des fichiers et des données ainsi que le fonctionnement optimal et continu dudit système.
Les mesures techniques et organisationnelles suivantes ont été mises en oeuvre :
a) Contrôle d’accès physique aux locaux:
Mesures pour interdire aux personnes non autorisées l’accès aux équipements utilisés pour le traitement des données personnelles.
Mis en œuvre | Mesure |
Oui | Politique de sécurité disponible |
Oui | Zones sécurisées clairement définies |
Oui | Moyens appropriés pour sécuriser les locaux |
Oui | Moyens appropriés pour sécuriser l’accès au centre de traitement des données |
Oui | Sécurité en dehors des heures de bureau au travers d’un système d’alarme |
Oui | Accès réservé aux personnes habilitées (appartenant à l’entreprise ou des personnes extérieures) |
Oui | Règlement pour les tiers extérieurs |
Oui | Emploi de badge de sécurité |
Oui | Politique de gestion des clés et des codes |
Oui | Mise en œuvre de serrures |
Oui | Les personnes extérieures sont accompagnées par le personnel de Prodware |
b) Contrôle d’accès aux actifs:
Mesures pour interdire aux personnes non autorisées l’emploi des équipements qui gèrent des données personnelles et des procédures associées.
Mis en œuvre | Mesure |
Oui | Règlement pour la gestion des privilèges (attribution de droits, de droits spéciaux, révocation des autorisations, contrôles réguliers) |
Oui | Politique de mots de passe (mots de passe forts, renouvellement et contrôles réguliers) |
Oui | Utilisation de pratiques de cryptage pour les supports mobiles de transport de données (notamment ordinateurs portables, clés usb) |
Oui | Authentification des utilisateurs distants (processus de chiffrement, identification des terminaux, solutions VPN) |
Oui | Obligation de maintenir le secret des données selon l’article 28 3) B) RGPD |
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 15/19
Révision : 2
Oui | Système d’autorisation par rôle |
Oui | Contrôle de la destruction des supports de données |
c) Supervision des accès:
Mesures garantissant que les personnes autorisées à traiter des données puissent uniquement accéder aux données personnelles soumises à leur autorisation d'accès.
Mis en œuvre | Mesure |
Oui | Contrôle des autorisations d’accès (autorisations différentiées selon les profils, rôles, temps limité) |
Oui | Fourniture des mécanismes d’authentification appropriés |
Oui | Enregistrement des connexions (rejetées et approuvées) |
Xxx | Xxxxxx pour la pseudonymisation/anonimysation des données personnelles |
d) Contrôle des transferts:
Mesures pour garantir que les données personnelles ne peuvent être lues, copiées, modifiées ou retirées sans autorisation pendant leur transmission électronique le transport ou le stockage sur les supports de données.
Mis en œuvre | Mesure |
Oui | Règles pour l’échange d’informations de toute nature |
Oui | Chiffrement pendant la transmission des données (chiffrement des réseaux, TLS) |
Oui | Enregistrement durant la transmission des données |
Oui | Méthode de détection et de protection contre les malware |
Oui | Contrôle d’accès |
Oui | Chiffrement des supports de données avant leur transport |
Oui | Remise des supports de données aux personnes habilitées seulement. |
Oui | Destruction des supports de données |
e) Contrôle des saisies :
Mesures permettant de garantir l’entrée authentifiée des données personnelles dans les systèmes de traitement de données.
Mis en œuvre | Mesure |
Oui | Contrôle d’accès |
Oui | Politique de sécurité des données |
Oui | Processus, programme et organisation du flux de travail |
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 16/19
Révision : 2
f) Contrôle des commandes :
Mesures visant à garantir que les données personnelles traitées pour le compte du Responsable du Traitement ne peuvent être traitées que conformément aux instructions du Responsable de Traitement.
Mis en œuvre | Mesure |
Xxx | Xxxxxxx écrit détaillant les consignes |
Oui | Processus formalisé de commande |
Oui | Sélection rigoureuse des sous-traitants |
Oui | Contrôle de l’exécution du contrat |
Oui | Ségrégation des tâches |
g) Contrôle de disponibilité :
Mesure pour garantir que les données personnelles sont protégées contre les pertes ou les destructions accidentelles.
Mis en œuvre | Mesure |
Oui | Processus contrôlé pour garantir les opérations commerciales |
Oui | Plan de crise |
Xxx | Xxxxxxxxxxx régulières selon la politique de sauvegarde |
Oui | Systèmes de protection des bases de données, niveaux de services contractuels des fournisseurs de services IT |
Réplication des données conformément au SLA | |
Oui | Antivirus/Firewall |
Oui | Matériels redondés |
h) Contrôle du cloisonnement :
Mesures pour garantir que les données collectées pour des besoins différents sont gérées distinctement.
Mis en œuvre | Mesure |
Oui | Cloisonnement des clients |
Oui | Cloisonnements fonctionnels |
i) Evaluation et procédure de contrôle périodique
Procédures régulières d’évaluation et de contrôle, et d’évaluation de l’efficacité des mesures techniques et organisationnelles.
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 17/19
Révision : 2
Mis en œuvre | Mesure |
Oui | Procédure de gestion de la protection des données |
Oui | Procédure de gestion des incidents |
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 18/19
Révision : 2
Annexe 3: Contact des Parties
1. Parties autorisées à donner des instructions et destinataires de ces instructions. Client
Nom | Téléphone | |
Prestataire
Portail dédié : xxxxx://xxxx.xxxxxxxxxxxxx.xxx/xx
2. Délégué à la Protection des Données du Client (ou responsable)
Nom | Téléphone | |
3. Délégué à la Protection des Données du Prestataire
Portail dédié : xxxxx://xxxx.xxxxxxxxxxxxx.xxx/xx
Auteur :
Version
Juridique
Juin 2018
Avenant de sous-traitance des donnees personnelles (Avenant Data Protection Agreement)
Page 19/19
Révision : 2