TRAITEMENT DE DONNEES A CARACTERE PERSONNEL OU “DPA”

TRAITEMENT DE DONNEES A CARACTERE PERSONNEL OU “DPA”

Version en date du 16 Avril 2024

Le présent document (ci-après dénommée « DPA » en référence à l’acronyme de l’appellation anglaise « Data Processing Agreement ») fait partie intégrante du contrat (le « Contrat ») conclu entre LWS - Ligne Web Service (« LWS ») et le Client, et ayant pour objet de définir les conditions applicables aux Services fournis par LWS (les « Services »). Le DPA et le Contrat sont complémentaires et s’expliquent mutuellement. Toutefois, en cas de contradiction, le DPA prévaut.

Les expressions qui commencent par une lettre majuscule et qui ne sont pas définies dans le présent DPA ont le sens qui leur est donné dans le Contrat. Les termes « Règles d’entreprise contraignantes », « Responsable du traitement », « Données », « Personne concernée », « Violation de données », « Traitement », « Sous-traitant » et « Autorité de contrôle » ont le sens qui leur est donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Règlement général sur la protection des données » ou « RGPD »).

Le présent DPA a pour objet de définir, conformément à l’article 28 du RGPD, les conditions dans lesquelles LWS, en qualité de Sous-traitant et dans le cadre des Services définis dans le Contrat, traite des Données à caractère personnel sur instruction du Client, à l’exclusion des traitements de données à caractère personnel réalisés en qualité de responsable du traitement par LWS. Les conditions dans lesquelles LWS traite, en qualité de Responsable du traitement, des données à caractère personnel relatives au Client (y compris ses préposés) sont précisées dans le cadre de la « Politique d’utilisation de données à caractère personnel » de LWS.

Aux fins du présent DPA, le Client est présumé agir en qualité de Responsable du traitement. Si le Client agit en tant que Sous-traitant pour le compte d’un tiers Responsable du traitement, les Parties conviennent expressément que les conditions suivantes s’appliquent :

- Le Client doit s’assurer que (i) toutes les autorisations nécessaires pour conclure le présent DPA, y compris la nomination par le Client de LWS en tant que Sous-traitant ultérieur, ont été obtenues du Responsable du traitement (ii), un contrat, qui est en parfaite adéquation avec les termes et conditions du Contrat (y compris le présent DPA), a été conclu avec le Responsable du traitement conformément à l’article 28 du RGPD, (iii) toutes les instructions reçues par LWS de la part du Client en exécution du Contrat et du présent DPA sont parfaitement conformes aux instructions du Responsable du traitement et (iv) toutes les informations communiquées ou mises à disposition par LWS en vertu du présent DPA sont, lorsque cela est requis, communiquées de manière appropriée au Responsable du traitement.

- LWS (i) traite les Données à caractère personnel uniquement sur instruction du Client et (ii) ne reçoit aucune instruction directement du Responsable du traitement, sauf dans les cas où, le Client a matériellement disparu ou a cessé d’avoir une existence juridique sans que les droits et obligations du Client n’aient été transférés à une entité tierce.

- Le Client, qui est entièrement responsable envers LWS de la bonne exécution des obligations du Responsable du traitement conformément au présent DPA, indemnise et dégage LWS de toute responsabilité pour (i) tout manquement du Responsable du traitement de se conformer à la loi applicable, et (ii) toute action, réclamation ou plainte du Responsable du traitement concernant les dispositions du Contrat (y compris le présent DPA) ou concernant les instructions reçues par LWS de la part du Client.

Sommaire :

1. Champ d’application 2

2. Sélection des Services 2

3. Conformité à la réglementation applicable 2

4. Obligations de LWS 3

5. Violation de données à caractère personnel 4

6. Localisation et transfert des Données à caractère personnel 4

7. Sous-traitance 5

8. Obligations du Client 6

9. Droit des personnes concernées 6

10. Suppression et restitution des Données à caractère personnel 6

11. Responsabilité 7

12. Audits 7

13. Contact LWS 8

1. Champ d’application

1.1 LWS est autorisé, en tant que Sous-traitant agissant selon les instructions du Client, à traiter les Données à caractère personnel du Responsable du traitement dans la mesure nécessaire à la fourniture des Services.

1.2 La nature des opérations menées par LWS concernant les Données à caractère personnel peut être le calcul de données, le stockage et/ou tout autre Service tel que décrit dans le Contrat.

1.3 Le type de Données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par le Client, à sa seule discrétion.

1.4 Les activités de traitement sont effectuées par LWS pour la durée prévue au Contrat.

2. Sélection des Services

2.1 Le Client est seul responsable du choix des Services. Le Client doit s’assurer que les Services choisis ont les caractéristiques et les conditions requises compte tenu des activités et traitements du Responsable du traitement, ainsi que du type de Données à caractère personnel à traiter dans le cadre des Services, notamment, mais non-limitativement, lorsque les Services sont utilisés pour traiter des Données à caractère personnel soumises à des réglementations ou des normes spécifiques (par exemple, dans certains pays, des données relatives à la santé ou des données bancaires). Le Client est informé que LWS propose certains Services intégrant des mesures techniques et organisationnelles, notamment en matière de sécurité, spécifiquement conçues pour le traitement de données de santé ou de données bancaires.

2.2 Si le traitement effectué par le Responsable du traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le Client doit choisir ses Services avec précaution. Lors de l’évaluation du risque, il est notamment tenu compte des critères suivants, sans toutefois s’y limiter : évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques ; prise de décision automatisée ayant des effets juridiques ou pouvant affecter de manière significative la personne concernée ; suivi systématique des personnes concernées ; traitement de catégories particulières de données ou de données sensibles ; traitement à grande échelle ; croisement de données ; combinaison de données ; traitement de données concernant des personnes vulnérables ; utilisation de nouvelles technologies innovantes méconnues du public pour le traitement.

2.3 LWS met à la disposition du Client, dans les conditions prévues à l’article « Audits », les informations relatives aux mesures de sécurité mises en œuvre dans le cadre des Services, afin qu’il puisse évaluer la conformité de ces mesures aux traitements de données à caractère personnel du Responsable du traitement.

3. Conformité à la réglementation applicable

Chaque partie respecte la réglementation applicable en matière de protection des données (y compris le Règlement Général sur la Protection des Données).

4. Obligations de LWS

4.1 LWS s’engage à :

- Traiter les Données à caractère personnel téléchargées, stockées et utilisées par le Client dans le cadre des Services uniquement dans la mesure nécessaire à la fourniture des Services tels que définis dans le Contrat,

- Ne pas accéder à ou utiliser des Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des Services (en particulier dans le cadre de la gestion des incidents),

- Mettre en place les mesures techniques et organisationnelles décrites dans le Contrat, afin d’assurer la sécurité des Données à caractère personnel dans le cadre du Service,

- S’assurer que les employés de LWS autorisés à traiter les Données à caractère personnel dans le cadre du Contrat sont soumis à une obligation de confidentialité et reçoivent une formation appropriée concernant la protection des Données à caractère personnel,

- Informer le Client si, à son avis et compte tenu des informations dont il dispose, une des instructions du Client enfreint les dispositions du RGPD ou d’autres dispositions de l’Union européenne ou d’un État membre de l’Union européenne en matière de protection des données personnelles.

4.2 En cas de demande provenant d’autorités judiciaires, administratives ou autres, visant à obtenir communication de données à caractère personnel traitées par LWS en exécution du présent DPA, LWS fait ses meilleurs efforts pour (i) analyser la compétence de l’autorité demanderesse, (ii) répondre qu’aux autorités et demandes qui sont manifestement compétentes ou valablement formées, (iii) limiter la communication aux seules données requises par l’autorité et (iv) informer au préalable le Client (sauf si cela est interdit par les dispositions législatives ou réglementaires applicables).

4.3 Si la demande provient d’une autorité relevant d’un pays tiers à l’Union européenne et qu’elle vise à obtenir communication de Données à caractère personnel traitées par LWS en exécution du présent DPA sur instruction d’un Client européen de LWS, LWS s’y oppose sous réserve des cas suivants :

- La demande est réalisée conformément à un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays dont relève l’autorité demanderesse et l'Union européenne ou l’État membre dans lequel est localisé la donnée concernée ou l’état membre dont relève l’entité LWS auprès de laquelle le client ouvert son compte client LWS ;

- La donnée objet de la demande est localisée dans un centre de données situé en dehors de l’Union européenne ;

- La demande est réalisée conformément à l’article 49 du RGPD, en particulier lorsqu’elle poursuit un intérêt public important reconnu par la réglementation de l’Union européenne ou d’un État membre, ou qu’elle est nécessaire à la sauvegarde d’intérêts vitaux de la personne concernée ou d’autres personnes.

4.4 Sur demande écrite du Client, LWS fournit au Client une assistance raisonnable dans la réalisation d’analyses d’impact relatives à la protection des données et la consultation de l’autorité de contrôle compétente, dans la mesure où le Client est tenu de le faire en vertu de la loi applicable en matière de protection des données, et si une telle assistance est nécessaire et se rapporte aux traitements de Données à caractère personnel opérés par LWS en vertu du Contrat. Cette assistance consiste à assurer la transparence des mesures de sécurité mises en œuvre par LWS pour ses Services.

4.5 LWS s’engage à mettre en place les mesures techniques et organisationnelles suivantes :

- Des mesures de sécurité physique destinées à empêcher les personnes non autorisées d’accéder à l’infrastructure dans laquelle les données du client sont stockées ;

- Des contrôles d’identité et d’accès au moyen d’un système d’authentification et d’une politique en matière de mots de passe ;

- Un système de gestion des accès qui limite l’accès aux locaux, aux personnes ayant besoin d’y accéder dans l’exercice de leurs fonctions et dans le cadre de leurs responsabilités ;

- Du personnel de sécurité chargé de surveiller la sécurité physique des locaux de LWS,

- Un système qui isole physiquement et/ou de façon logique les clients les uns des autres ;

- Des processus d’authentification des utilisateurs et des administrateurs, ainsi que des mesures visant à protéger l’accès aux fonctions d’administration ;

- Un système de gestion de l’accès pour les opérations de soutien et d’entretien qui fonctionne selon les principes du moindre privilège et du besoin de savoir ; et

- Des processus et des mesures de suivi des actions effectuées sur son système d’information.

4.6 Ces mesures techniques et organisationnelles sont détaillées sur le Site Internet de LWS.

5. Violation de données à caractère personnel

5.1 Si LWS a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès non autorisé, perte, divulgation ou altération de données), LWS en informe le Client dans les meilleurs délais.

5.2 La notification doit (i) décrire la nature de l’incident, (ii) décrire les conséquences probables de l’incident, (iii) décrire les mesures prises ou proposées par LWS en réponse à l’incident et (iv) préciser qui est l’interlocuteur chez LWS.

6. Localisation et transfert des Données à caractère personnel

6.1 Lorsque les Services permettent au Client de stocker des données, notamment des Données à caractère personnel, la ou les localisation(s), ou zone(s) géographique(s) du ou des centre(s) de donnée(s) disponible(s) sont précisées sur le Site Internet de LWS. La localisation est en France.

Sauf dérogation prévue dans les Conditions Particulières de Service en vigueur, LWS s’interdit de modifier, sans l’accord du Client, la localisation ou zone géographique prévue à la Commande.

6.2 Sans préjudice des dispositions qui précèdent concernant la localisation des centres de données, LWS ainsi que les Sous-traitants autorisés conformément à l’article 7 ci-dessous, peuvent traiter à distance les Données à caractère personnel objet du présent DPA dans la mesure où cela est nécessaire dans le cadre de l’exécution des Services, en particulier, à des fins de sécurité et de maintenance.

Aucun transfert de données à caractère personnel n’est réalisé par LWS en dehors des frontières de l’Union Européenne. LWS n’est pas dépendant de DataCenter à l’étranger, ni de sous-traitant étranger.

6.3 Le Client demeure responsable

(a) de l’évaluation des mesures techniques et organisationnelles correspondantes, au regard notamment des catégories de données à caractère personnel que le Client envisage de traiter dans le cadre des Services concernés, et de l’ordre juridique et des pratiques du ou des pays de destination afin de déterminer s’il existe des éléments susceptibles de porter atteinte à l’efficacité des Clauses contractuelles Types, et

(b) s’il apparaît que l’efficacité desdites Clauses Contractuelles Types peut être compromise, de la mise en place, conformément aux recommandations du Comité Européen à la Protection des Données, de mesures supplémentaires de nature à assurer un niveau de protection équivalent à celui garanti au sein de l’Union Européenne. LWS s’engage à assister le Client dans l’évaluation précitée en lui communiquant, sur simple demande, toute information utile en sa possession. En outre, le Client reste responsable de l'accomplissement de toute formalité et / ou de l’obtention de toute autorisation ou consentement qui pourrait, le cas échéant, être requis pour permettre le transfert des données à caractère personnel vers des pays ne bénéficiant pas de Décision d’Adéquation.

6.4 En cas d’application des Clauses Contractuelles Types, il est également fait application des autres Conditions de Services applicables (notamment du présent DPA), lesquelles complètent les Clauses Contractuelles Types, sans toutefois pouvoir y déroger, et s’appliquent mutatis mutandis aux Importateurs et Exportateurs de données parties aux Clauses Contractuelles Types. En cas de conflit, les Clauses Contractuelles Types prévalent.

7. Sous-traitance

7.1 Sous réserve des dispositions de l’article 6 « Localisation et transfert des Données à caractère personnel » ci-dessus, LWS est autorisé à recourir à des Sous-traitants pour l’assister dans la fourniture des Services. Dans le cadre de cette assistance, les Sous-traitants peuvent participer aux activités de traitement des Données à

caractère personnel effectuées par LWS sur instruction du Client. Lorsque des sous-traitants à LWS sont susceptibles d’intervenir dans le cadre des traitements de données à caractère personnel réalisés par LWS sur instruction du Client, ceux-ci sont mentionnés dans les conditions applicables aux services concernés.

7.2 Si LWS décide de changer de Sous-traitant ultérieur ou d’ajouter un nouveau Sous-traitant ultérieur (« Changement de Sous-traitant »), LWS en informe le Client dans son interface de gestion ou par courrier électronique (à l’adresse e-mail enregistrée dans le compte client) (a) trente (30) jours à l'avance si le Sous-traitant est une Société Apparentée de LWS situé dans l'Union européenne ou dans un pays faisant l'objet d'une Décision d'Adéquation, ou (b) quatre-vingt-dix (90) jours à l'avance dans les autres cas. Le Client a le droit d’émettre des objections en cas de Changement de Sous-traitant, dans les conditions prévues à l’article 28 du RGPD. Les objections doivent être notifiées à LWS dans les quinze (15) jours suivant envoi de la notification du Changement de Sous-traitant par LWS en précisant le motif de l’objection. Les objections doivent être notifiées par le Client via son Interface de Gestion ou par écrit à : LWS, DPA - Traitement des données, ▇▇ ▇▇▇ ▇▇▇▇▇▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇ (▇▇▇▇▇▇). LWS n’est en aucun cas obligé de renoncer à un Changement de Sous-traitant. Si à la suite d’une objection du Client, LWS ne renonce pas au Changement de Sous-Traitant, le Client peut mettre fin aux services concernés sans pouvoir prétendre à indemnisation.

7.3 LWS veille à ce que ses Sous-traitants ultérieurs soient, au minimum, en mesure de remplir les obligations mises à la charge de LWS dans le présent Contrat concernant le traitement des Données à caractère personnel effectué par le Sous-traitant ultérieur. À cette fin, LWS conclut un accord avec le Sous-traitant ultérieur. LWS reste vis-à-vis du Client entièrement responsable de l’exécution de toute obligation que le Sous-traitant ultérieur ne remplit pas.

7.4 LWS est expressément autorisé à engager des fournisseurs tiers (tels que des fournisseurs d’énergie, des fournisseurs de réseaux, des gestionnaires de points d’interconnexion de réseaux ou des centres de données colocalisés, des fournisseurs de matériel et de logiciels, des transporteurs, des fournisseurs techniques, des sociétés de sécurité), sans devoir informer le Client ou obtenir son autorisation préalable, dans la mesure où ces fournisseurs tiers ne traitent pas les Données à caractère personnel objet de la présent partie.

8. Obligations du Client

8.1 Pour le traitement des Données à caractère personnel conformément au Contrat, le client doit fournir à LWS par écrit (a) toute instruction pertinente et (b) toute information nécessaire à la création du registre des activités de traitement du sous-traitant. Le Client reste seul responsable du traitement des informations et instructions communiquées à LWS.

8.2 Le Client a la responsabilité de s’assurer que :

- Le traitement des Données à caractère personnel dans le cadre de l’exécution des Services a une base juridique appropriée (par exemple, le consentement de la personne concernée, les intérêts légitimes du Responsable du traitement, etc.),

- Toutes les procédures et formalités requises (telles qu’analyse d’impact relative à la protection des données, notification et demande d’autorisation à l’autorité de contrôle compétente en matière de traitement de données personnelles ou à tout autre organisme compétent, le cas échéant) ont été effectuées,

- La personne concernée est informée du traitement de ses Données à caractère personnel de façon concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, comme le prévoit le RGPD,

- Les personnes concernées sont informées et ont à tout moment la possibilité d’exercer facilement les droits relatifs aux données prévus par le RGPD directement auprès du Responsable du traitement.

8.3 Le Client est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité de LWS tel que prévu au Contrat (notamment tous les systèmes et logiciels déployés et exploités par le Client ou les Utilisateurs au sein des Services).

9. Droit des personnes concernées

9.1 Le Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

9.2 LWS fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer au Client toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées. Le Responsable du traitement est seul responsable des réponses à ces demandes.

9.3 Le Client reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de LWS, cela pourra être facturé au Client à condition de le lui notifier et d’obtenir son accord au préalable.

10. Suppression et restitution des Données à caractère personnel

10.1 À la fin du Service (notamment en cas de résiliation ou de non-renouvellement), LWS s’engage à supprimer dans les conditions prévues au Contrat, tout Contenu (notamment les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, sauf si une demande émise par une autorité judiciaire, administrative ou autre compétente, ou la loi applicable de l’Union européenne ou d’un État membre de l’Union européenne, en exigent autrement.

10.2 Le Client est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, les instantanés, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des Services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des Services.

10.3 À cet égard, le Client est informé que la résiliation et l’expiration d’un Service pour quelque raison que ce soit (incluant, mais de façon non exclusive le non-renouvellement), ainsi que certaines opérations de mise à jour ou de réinstallation des Services, peuvent automatiquement entraîner la suppression irréversible de tout Contenu (y compris les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, ce compris toute sauvegarde potentielle.

11. Responsabilité

11.1 LWS ne peut être tenu responsable que des dommages causés par un traitement pour lequel (i) il n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel (ii) il a agi en-dehors des instructions licites du Client ou contrairement à celles-ci. Dans de tels cas, la disposition du Contrat relative à la Responsabilité s’applique.

11.2 Lorsque LWS et le Client sont impliqués dans un traitement dans le cadre du présent Contrat qui a causé un dommage à une personne concernée, le Client prend en charge, dans un premier temps, l’intégralité de la réparation effective (ou toute autre compensation) due à la personne concernée et, dans un second temps, réclame à LWS la part de la réparation correspondant à la part de responsabilité de LWS dans le dommage, étant précisé que les clauses limitatives de responsabilité prévues par le Contrat demeurent applicables.

12. Audits

12.1 LWS met à la disposition du Client toutes les informations nécessaires pour (a) démontrer la conformité aux exigences du RGPD et (b) mener des audits. Ces informations sont disponibles dans la documentation standard sur le site internet de LWS. Des informations supplémentaires peuvent être communiquées au Client sur demande faite au Support LWS.

12.2 Si un Service est certifié, qu’il respecte un code de conduite ou fait l’objet de procédures de contrôles spécifiques, LWS met à disposition, sur demande écrite du Client, les certificats et rapports des contrôles correspondants.

12.3 Si les informations, les rapports et les certificats susmentionnés s’avèrent insuffisants pour permettre au Client de démontrer que les obligations prévues par le RGPD sont remplies, LWS et le Client se réunissent alors pour convenir des conditions opérationnelles, sécuritaires et financières d’une inspection technique sur site. En toutes hypothèses, les conditions de cette inspection ne doivent pas affecter la sécurité des autres clients de LWS.

12.4 L’inspection sur site susmentionnée, ainsi que la communication des certificats et des rapports de contrôles peuvent donner lieu à une facturation supplémentaire raisonnable.

12.5 Toute information communiquée au Client en vertu de la présente clause et qui n’est pas disponible sur le Site Internet de LWS est considérée comme une information confidentielle de LWS en vertu du Contrat. Avant de communiquer ces informations, LWS peut exiger la signature d’un accord de confidentialité spécifique.

12.6 Nonobstant ce qui précède, le Client est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, le Client doit d’abord consulter LWS au sujet de toute divulgation requise.

13. Contact LWS

Pour toutes questions concernant ses données à caractère personnel (incident, conditions d’utilisation, etc.), le Client peut contacter LWS par l’un des moyens suivants :

- Création d’un ticket dans son Interface de Gestion compte client,

- Utilisation du formulaire de contact prévu à cet effet sur le Site Internet de LWS,

- En contactant son Service support LWS,

- Par courrier postal à l’adresse : LWS, DPA - Traitement des données, ▇▇ ▇▇▇ ▇▇▇▇▇▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇ (▇▇▇▇▇▇).