Contract
L’objet de ce document est de préciser les obligations s’imposant à _ _ _ (« PRESTATAIRE ») en matière de données personnelles et de définir les exigences minimales que le PRESTATAIRE, en sa qualité de sous-traitant, doit respecter dans le cadre de la fourniture de ses services à _ _ _ (« CLIENT ») tel que défini dans sa proposition validée le _ _/_ _/_ _ (« la Prestation »).
La présente annexe a pour référentiel d’application les textes législatifs et réglementaires suivants :
- Jusqu’au 25 mai 2018, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
- À compter du 25 mai 2018, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ou sa mise à jour le cas échéant, et le règlement général sur la protection des données n°2016/679 abrogeant la directive 95/46/CE (ci-après, le « RGPD ») ;
Les Parties s'engagent à respecter les lois ci-dessus et les obligations suivantes :
a) Chaque partie s'engage à déposer personnellement les déclarations, avis ou demandes d'autorisation dont elle est responsable et qui peuvent être requis par la loi applicable en rapport avec sa participation à l'exécution de la Prestation
b) Le CLIENT sera considéré comme "responsable du traitement", au sens des dispositions légales précitées, pour tout traitement de données et transfert de données personnelles au PRESTATAIRE, lequel PRESTATAIRE agira en tant que "sous- traitant" au sens des dispositions légales précitées ;
c) Le PRESTATAIRE s’engage à :
- ne pas traiter et consulter les données à caractère personnel collectées à d’autres fins que l’exécution des Prestations et pour leurs seuls besoins ;
- ne traiter, consulter les données à caractère personnel que dans le cadre des instructions documentées et de l’autorisation écrite reçues du CLIENT ;
- mettre en œuvre toute mesure technique et organisationnelle pour protéger les données à caractère personnel en prenant en compte l’état de l’art et les coûts liés à leur mise en œuvre, pour assurer un niveau de sécurité approprié notamment lorsque le traitement comporte des transmissions de données à caractère personnel via un réseau ;
- prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des données à caractère personnel, et notamment, empêcher qu’elles ne soient déformées, endommagées, et empêcher tout accès qui ne serait pas préalablement autorisé ;
- prendre toutes mesures permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse des données à caractère personnel ;
- ne pas effectuer d’études statistiques sur les données ou de traitement autre que celui demandé par le CLIENT ;
- mettre en place des habilitations et des obligations de confidentialité et de sécurité appropriées pour restreindre l’accès aux données à caractère personnel aux seules personnes qui ont à en connaitre ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- respecter la durée de conservation des données à caractère personnel au regard des finalités pour lesquelles elles ont été collectées ;
- ne pas transférer les données à caractère personnel hors de l’Union Européenne, sans accord préalable et écrit du Client.
d) Le PRESTATAIRE s’interdit par ailleurs :
- la consultation ou le traitement de données à caractère personnel du CLIENT autres que celles concernées par la Prestation quand bien même l’accès à ces données serait techniquement possible ;
- de prendre copie ou de stocker, quelles qu’en soient la forme et la finalité, tout ou partie des informations ou données à caractère personnel qui lui ont été confiées ou qu’il a recueillies au cours de l’exécution de la Prestation, sauf pour les seuls besoins de la bonne exécution de la Prestation ;
- de divulguer, sous quelque forme que ce soit, tout ou partie des données à caractère personnel à des tiers, sauf dans le cadre d’instructions formalisées par écrit du CLIENT.
e) Après l'exécution de la Prestation, le PRESTATAIRE devra procéder à la suppression complète des données à caractère personnel du CLIENT, de manière effective et définitive sur tous les supports sur lesquels elles auraient pu être stockées, y compris chez les sous-traitant éventuels autorisés.
f) Le PRESTATAIRE ne pourra sous-traiter tout ou partie des données :
- qu'après avoir obtenu l’accord préalable, écrit et exprès du CLIENT ;
- uniquement pour assurer des missions strictement nécessaires et proportionnées à l’exécution des Prestations ;
- qu’après avoir déterminé que le sous-traitant considéré remplit des garanties suffisantes de mise en œuvre des mesures techniques et organisationnelles appropriées pour répondre aux obligations issues des législations applicables, des obligations issues du Contrat, et de l’état de l’art requis en matière de sécurité des données.
Lorsque ses sous-traitants ne remplissent pas leurs obligations en matière de protection des données, le PRESTATAIRE demeure pleinement responsable devant le CLIENT de l'exécution par les sous-traitants de leurs obligations.
PRESTATAIRE
Par , A , le
CLIENT
Par , A , le
Signature Signature