CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL (« DATA PROCESSING AGREEMENT » OU « DPA »)
CONVENTION DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL (« DATA PROCESSING AGREEMENT » OU « DPA »)
RESPONSABLE DE TRAITEMENT A SOUS-TRAITANT – ACHATS HORS SANTE
PARTIE 1 – PREAMBULE
1.1 OBJET
La présente Convention de Traitement des Données à Caractère Personnel a pour objet de définir les conditions et modalités selon lesquelles SIGMA INFORMATIQUE, en qualité de Client et de Responsable de Traitement, confie au Prestataire en qualité de Sous-Traitant des opérations de Traitement de Données à Caractère Personnel.
1.2 DEFINITIONS
Pour les besoins du présent document, les termes commençant par une majuscule ont la signification qui leur est attribuée ci-après, qu’ils soient exprimés au singulier, au pluriel, sous forme de verbe, de nom ou autre, à l’exception des termes prenant toujours une majuscule.
TERME | DEFINITION |
Autorité de contrôle | L’autorité publique indépendante instituée par un Etat Membre en charge de surveiller l’application des Règlementations Informatique et Libertés, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des Traitements et de faciliter le libre flux des Données à Caractère Personnel au sein de l’Union Européenne. |
Client | SIGMA INFORMATIQUE, Société par actions simplifiée, au capital de 1 729 600 EUR dont le siège social est situé à LA CHAPELLE-SUR-ERDRE (44240), ZI La Gesvrine - Rue Newton et immatriculée sous le numéro 872 803 390 R.C.S. NANTES. |
Conditions Particulières de Traitement | Le document par lequel le Responsable de Traitement et le Sous-Traitant renseignent les détails des Traitements relatifs aux Données à Caractère Personnel. |
Contrat | La convention conclue entre le Responsable de Traitement et le Sous-Traitant, référencée dans les Conditions Particulières de Traitement, par laquelle le Responsable de Traitement confie au Sous-Traitant la réalisation de Prestations incluant des opérations de Traitement de Données à Caractère Personnel. |
Convention de Sécurité Numérique | Le document précisant les exigences de sécurité devant être mises en œuvre par le Sous-Traitant. |
Convention de Traitement des Données à Caractère Personnel ou Convention ou DPA | Le présent document et ceux auxquels il renvoie. |
Données à Caractère Personnel | Toute information se rapportant à une personne physique identifiée ou identifiable. |
Etat Membre | Etat membre de l’Union Européenne. |
Fiche de Préparation du Registre de Traitement | Le document par lequel le Client renseigne l’identité et les coordonnées que le Sous-Traitant doit mentionner dans son registre des activités de traitement en qualité de Sous-Traitant. |
Personne concernée | Une personne physique identifiée ou identifiable, étant entendu qu’est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. |
Prestataire | La personne physique ou morale identifiée au Contrat fournissant des biens et/ou des services au Client. |
Prestations | Les prestations de services confiées par le Client au Sous-Traitant au titre du Contrat. |
Règlementations Informatique et Libertés | Les règlementations en vigueur et applicables à la protection des Données à Caractère Personnel compte tenu des Traitements confiés par le Client au Sous-Traitant, y compris le Règlement Général sur la Protection des Données UE 2016/679. |
Responsable de Traitement | SIGMA INFORMATIQUE qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement. |
Sous-Traitant | Le Prestataire à qui SIGMA INFORMATIQUE confie des opérations de Traitements des Données à Caractère Personnel. |
Sous-Traitant Ultérieur | La personne physique ou morale, l’autorité publique, le service ou un autre organisme à qui le Sous-Traitant confie des opérations de Traitements des Données à Caractère Personnel et ce, pour le compte du Responsable de Traitement. |
Traitement | Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à Caractère Personnel et précisé dans les Conditions Particulières de Traitement. |
Violation | Une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. |
1.3 ENSEMBLE CONTRACTUEL
La présente Convention ainsi que les documents auxquels elle renvoie constituent une annexe indissociable au Contrat conclu entre le Client et le Sous-Traitant.
PARTIE 2 – DESCRIPTION DES TRAITEMENTS
2.1 OBJET DES TRAITEMENTS
Les Traitements des Données à Caractère Personnel confiés par le Client au Sous-Traitant sont réalisés dans le cadre des Prestations précisées au Contrat.
2.2 NATURE DES TRAITEMENTS
La nature des Traitements pouvant être réalisés sur les Données à Caractère Personnel par le Sous-Traitant pour le compte du Client compte tenu
des instructions qu’il lui communique, est celle précisée dans les Conditions Particulières de Traitement.
2.3 FINALITES DES TRAITEMENTS
Les finalités des Traitements déterminées et poursuivies par le Client sont celles précisées dans les Conditions Particulières de Traitement. Le Sous-
traitant s’engage à ne pas traiter les Données à Caractère Personnel à d’autres fins que celles de l’exécution des Prestations précisées au Contrat.
2.4 TYPES DE DONNEES A CARACTERE PERSONNEL CONCERNEES PAR LES TRAITEMENTS
Les types de Données à Caractère Personnel pouvant faire l’objet de Traitements par le Sous-Traitant pour le compte du Client sont celles précisées dans les Conditions Particulières de Traitement.
2.5 CATEGORIES DE PERSONNES CONCERNEES PAR LES TRAITEMENTS
Les catégories de Personnes Concernées pouvant faire l’objet de Traitements par le Sous-Traitant pour le compte du Client sont celles précisées dans les Conditions Particulières de Traitement.
2.6 INFORMATIONS A COMMUNIQUER PAR LE SOUS-TRAITANT
Le Sous-Traitant s’engage à fournir au Client les informations requises dans la Fiche Registre de Traitement. La Fiche de Préparation du Registre de Traitement doit être retournées complétées par le Sous-Traitant au Client.
2.7 MODIFICATION DES TRAITEMENTS
Le Client s’engage à communiquer au Sous-Traitant dans les meilleurs délais tout ajout ou modification des finalités des Traitements, de leur nature, des types de Données à caractère Personnel et des catégories des Personnes Concernées afin que le Client et le Sous-Traitant puissent préalablement convenir des modalités de mise en œuvre d’éventuelles mesures de sécurité techniques et organisationnelles complémentaires et conclure de nouvelles Conditions Particulières de Traitement.
Le Sous-Traitant s’engage à fournir au Client dans les meilleurs délais toute modification devant être portée à la Fiche de Préparation du Registre des Traitements.
PARTIE 3 – DUREE DES TRAITEMENTS ET SORT DES DONNEES A LA FIN DES TRAITEMENTS
3.1 DATE DE DEBUT ET DE FIN DES TRAITEMENTS
Les Traitements débutent à l’entrée en vigueur du Contrat et prennent fin à la cessation du Contrat. En conséquence, en cas de cessation du Contrat pour quelque cause que ce soit, la présente Convention prendra fin de plein droit à la date effective de la cessation du Contrat.
3.2 SUPPRESSION OU REVERSIBILITE
A la fin des Traitements et aux frais du Client, le Sous-Traitant s’engage selon le choix effectué par le Client à supprimer toutes les Données à Caractère Personnel ou à les retourner au Client au terme des Prestations. Le Sous-Traitant s’engage en outre à détruire les copies existantes, à moins que la règlementation en vigueur qui lui est applicable n’exige la conservation des Données à Caractère Personnel.
PARTIE 4 – INSTRUCTIONS DE TRAITEMENTS
4.1 TRAITEMENT SUR INSTRUCTION DOCUMENTEE
Le Sous-Traitant s‘engage à ne Traiter les Données à Caractère Personnel que sur instruction documentée, y compris en ce qui concerne les transferts de Données à Caractère Personnel vers un pays tiers à l’Union Européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union Européenne ou du droit de l’Etat membre auquel le Sous-Traitant est soumis. Dans ce dernier cas, le Sous- Traitant informe le Client de cette obligation juridique avant le Traitement, sauf si le droit auquel il est soumis interdit une telle information pour des motifs importants d’intérêt public.
Le Sous-Traitant informe immédiatement le Client si, selon lui et compte tenu des informations qui lui sont communiquées par le Client, une instruction constitue une violation des Règlementations Informatique et Libertés.
4.2 NATURE DES INSTRUCTIONS
La notion d’instruction documentée est considérée comme acquise lorsque le Sous-Traitant agit dans le cadre de l’exécution du Contrat ou au travers de tout ordre de service écrit complémentaire qui lui est communiqué par le Client en lien avec l’exécution du Contrat. Il appartient au Sous-Traitant de s’assurer que l’ordre de service écrit est suffisamment précis, détaillé et explicite.
PARTIE 5 – SECURITE ET CONFIDENTIALITE DES DONNEES A CARACTERE PERSONNEL
5.1 MISE EN PLACE DE MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES
Le Sous-Traitant s‘engage à mettre en place pour les Traitements qu’il réalise des mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté, compte tenu de l’état de ses connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des finalités des Traitements qui sont portées à sa connaissance, du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel.
Lorsque des Données à Caractère Personnel sensibles au titre des Règlementations Informatique et Libertés sont échangées ou transmises sur les réseaux publics, le Sous-Traitant et le Client s’engagent à utiliser des algorithmes et des protocoles de chiffrement afin de garantir leur confidentialité et leur intégrité.
Les mesures de sécurité techniques et organisationnelles mises en œuvre par le Sous-Traitant sont celles précisées dans les Conditions Particulières de Traitement ainsi que dans la Convention de Sécurité Numérique.
5.2 RESPECT DE LA CONFIDENTIALITE
Le Sous-traitant s’engage à ne pas divulguer, sous quelque forme que ce soit, tout ou partie des Données à Caractère Personnel Traitées et ce, en dehors des instructions documentées du Client, d’une disposition légale ou règlementaire l’y autorisant, ou pour assurer la sauvegarde de ses droits éventuels.
Le Sous-Traitant s‘engage à prendre toutes les mesures nécessaires afin que ses préposés autorisés à Traiter les Données à Caractère Personnel respectent la confidentialité des Données à Caractère Personnel.
5.3 NOTIFICATION DES VIOLATIONS
Le Sous-Traitant s’engage à notifier au Client toute Violation de Données à Caractère Personnel en lien avec les Traitements qui lui sont confiés et ce, dans les meilleurs délais après en avoir pris connaissance. La notification est accompagnée de toute information utile en possession du Sous- Traitant afin de permettre au Client, si nécessaire, de notifier la Violation des Données à l’Autorité de Contrôle et aux Personnes Concernées le cas échéant. Lorsque les Prestations de notification des Violations sont confiées au Sous-Traitant, il appartient à ce dernier de remplir les obligations à charge du Client.
PARTIE 6 – EXERCICE DU DROIT DES PERSONNES CONCERNEES
6.1 COLLECTE, INFORMATION ET RECUEIL DU CONSENTEMENT
Le Client est seul responsable de recueillir le consentement de la Personne Concernée lorsque celui-ci est requis et de lui fournir les informations et communications, y compris les modalités d’exercice de leurs droits, prévues par les Règlementations Informatique et Libertés lors de la collecte directe ou indirecte des Données à Caractère Personnel. Lorsque les Prestations de collecte des Données à Caractère Personnel sont confiées au Sous-Traitant, il appartient à ce dernier de remplir les obligations à charge du Client.
6.2 EXERCICE DU DROIT DES PERSONNES CONCERNEES
Le Client est seul responsable de s’acquitter de ses obligations de donner suite aux demandes d’exercice des droits des Personnes Concernées, à savoir le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du Traitement, le droit à la portabilité des Données à Caractère Personnel et le droit d’opposition ainsi que de notifier les Personnes Concernées de la rectification, de l’effacement des Données à Caractère Personnel ou de la limitation du Traitement.
Dans l’hypothèse où la Personne Concernée exercerait ses droits directement auprès du Sous-Traitant, le Sous-Traitant s’engage à en informer le Client dans les meilleurs délais afin que ce dernier puisse répondre aux demandes des Personnes Concernées en ce qui concerne l’exercice de leurs droits. Lorsque les Prestations de réponse aux demandes des Personnes Concernées sont confiées au Sous-Traitant, il appartient à ce dernier de remplir les obligations à charge du Client.
PARTIE 7 – COOPERATION AVEC LE CLIENT
7.1 ASSISTANCE LORS DU CONTROLE DE L’AUTORITE DE CONTROLE
En cas de contrôle du Client par une Autorité de Contrôle, le Sous-Traitant s’engage à aider le Client pour lui permettre de communiquer à l’autorité
de Contrôle toute information qui serait requise dans le cadre du contrôle.
Dans le cas où le contrôle mené par l’Autorité de Contrôle ne concernerait que les Traitements mis en œuvre par le Sous-Traitant pour ses besoins internes de responsable de traitement, celle-ci fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données à Caractère Personnel du Client. Dans le cas où le contrôle mené chez le Sous-Traitant concernerait les Traitements mis en œuvre pour le compte du Client, le Sous-Traitant s’engage à en informer le Client et à ne prendre aucun engagement au nom et pour le compte du Client sans son accord.
7.2 ASSISTANCE LORS DES NOTIFICATIONS DE VIOLATIONS DES DONNEES
En cas de Violation des Données Traitées, le Sous-Traitant s’engage à aider le Client en lui fournissant toute information pour les besoins de notification, d’enquête, de réduction ou de remédiation des Violations des Données à Caractère Personnel.
7.3 ASSISTANCE LORS DES ANALYSES D’IMPACT ET DES CONSULTATIONS PREALABLES
En cas de réalisation d’analyse d’impacts ou de consultations préalables de l’Autorité de Contrôle par le Client, le Sous-Traitant s’engage à aider le Client en lui fournissant toute information pour les besoins des analyses d’impacts ou des consultations préalables de l’Autorité de Contrôle.
7.4 ASSISTANCE LORS DE L’EXERCICE DES DROITS DES PERSONNES CONCERNEES
En cas de demande d’exercice des droits des Personnes Concernées, le Sous-Traitant s’engage à aider le Client à prendre des mesures de sécurité techniques et organisationnelles appropriées dans la mesure du possible pour que le Client s’acquitte de ses obligations vis-à-vis des personnes concernées.
7.5 ASSISTANCE A LA MISE EN OEUVRE DES MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES
Compte tenu de la nature, de la portée, du contexte, des finalités des Traitements poursuivis par le Client, du degré de probabilité des risques ou de leur gravité pour les droits des Personnes Concernées au titre du Traitement de leurs Données à Caractère Personnel, le Sous-Traitant aide le Client à mettre en œuvre les mesures de sécurité techniques et organisationnelles complémentaires qui pourraient alors être requises.
PARTIE 8 – AUDIT
8.1 OBJET ET CONDITIONS DE REALISATION DE L’AUDIT
Sous réserve d’un préavis de quinze (15) jours, le Client peut procéder ou faire procéder par un tiers à un audit portant sur le respect par le Sous- Traitant des obligations prévues en matière de sous-traitance au titre des Règlementations Informatique et Libertés. L’audit est réalisé pendant les heures habituelles d’ouverture du Sous-Traitant.
8.2 MODALITES DE REALISATION DE L’AUDIT
Lors de la réalisation de l’audit, le Sous-Traitant s’engage à mettre à disposition du Client les informations nécessaires et utiles pour démontrer le respect par le Sous-Traitant des obligations prévues en matière de sous-traitance en lien avec les Traitements réalisés au titre des Règlementations Informatique et Libertés et de la présente Convention.
L’audit donne lieu à un rapport d’audit du Client ou du tiers qu’il a mandaté à cet effet et dont une (1) copie est remise au Sous-Traitant pour que ce dernier puisse émettre ses observations et mettre en œuvre le plan de correction qui s’avérerait nécessaire.
PARTIE 9 – SOUS-TRAITANCE EN CASCADE
9.1 ACCORD PREALABLE
Le Sous-Traitant ne peut sous-traiter tout ou partie des Traitements à des Sous-Traitant Ultérieurs sans l’accord préalable et écrit du Client. En cas d’accord du Client, le Sous-Traitant s’engage à répercuter aux Sous-Traitants Ultérieurs et ce, au travers d’un contrat, les mêmes obligations ou des obligations similaires à celles prévues dans la présente Convention. Le Sous-Traitant veille à s’assurer que les Sous-Traitants Ultérieurs présentent des garanties quant à la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ou à toute autre garantie satisfaisante en cas de transfert hors de l’Union Européenne, de manière à ce que les Traitements qui lui sont confiés répondent aux exigences des Règlementations Informatiques et Libertés.
Si les Sous-Traitants Ultérieurs ne remplissent pas leurs obligations en matière de protection des Données à Caractère Personnel, le Sous-Traitant demeure pleinement responsable devant le Client de l’exécution par les Sous-Traitants Ultérieurs de ses obligations conformément aux termes du Contrat.
9.2 AJOUT OU REMPLACEMENT DE SOUS-TRAITANTS ULTERIEURS
Le Sous-Traitant s’engage à informer le Client par tout moyen de tout changement par ajout ou remplacement de Sous-Traitant Ultérieur. Le Client dispose d’un délai de trente (30) jours à compter de la communication de l’information pour émettre des objections à l’encontre de ces changements. Si le Client émet des objections, le Sous-Traitant s’engage à trouver une solution alternative. A défaut pour le Sous-Traitant d’avoir trouvé une solution alternative dans un délai de trente (30) jours, le Client pourra résilier unilatéralement le Contrat sous réserve d’un préavis de trois (3) mois, sans pénalité, ni indemnité et ce, par lettre recommandée avec avis de réception.
Le Sous-Traitant s’engage à communiquer au Client à première demande de ce dernier, la liste des Sous-Traitants Ultérieurs impliqués dans le Traitement de Données à Caractère Personnel.
PARTIE 10 – FORMALITES
10.1 FORMALITES PREALABLES
Si les Règlementations Informatique et Libertés le prévoient, le Sous-Traitant s’engage à effectuer toutes les déclarations nécessaires et à obtenir
toutes les autorisations nécessaires auprès des autorités compétentes pour la réalisation des Traitements qui lui sont confiés par le Client.
10.2 REGISTRE DES ACTIVITES DE TRAITEMENT
Le Sous-Traitant, s’il est tenu de tenir un registre de ses activités de traitement en qualité de sous-traitant au titre des Règlementations Informatique et Libertés, s’engage à le tenir à jour et à le communiquer au Client à première demande de ce dernier.
FIN DU DOCUMENT