Traitement de données personnelles
- 1 1. PERIMETRE DES TRAITEMENTS MIS EN ŒUVRE PAR LA SOCIETE la société DENV-R
- 2 2. DUREE DES TRAITEMENTS MIS EN ŒUVRE PAR LA SOCIETE DENV-R
- 3 3. ENGAGEMENTS DU CLIENT
- 4 4. ENGAGEMENTS DE LA SOCIETE DENV-R
- 5 5. RECOURS A LA SOUS-TRAITANCE ULTERIEURE
- 6 6. INFORMATION ET DROITS DES PERSONNES CONCERNEES
- 7 7. RESPECT DE LA REGLEMENTATION APPLICABLE A LA PROTECTION DES DONNEES PERSONNELLES
- 8 8. NOTIFICATION DES VIOLATIONS DE DONNEES PERSONNELLES
- 9 9. MESURES DE SECURITE
- 10 10. SORT DES DONNÉES PERSONNELLES A L’ISSUE DES CGU
- 11 11. AUDIT
- 12 12. COOPERATION EN CAS DE CONTROLE ET RESPONSABILITE
Dans le cadre de l’exécution des CGU, la société DENV-R est amenée, en qualité de sous-traitant, à traiter des données personnelles pour le compte du Client, responsable de traitement.
La présente Annexe a pour objet de définir, conformément aux dispositions de l’article 28 du RGPD, les conditions dans lesquelles la société DENV-R s’engage à effectuer pour le compte du Client les opérations de traitement de données personnelles, objet des CGU.
Dans la présente Annexe, les termes employés, au singulier ou au pluriel, avec une majuscule, auront la signification prévue aux CGU.
1. PERIMETRE DES TRAITEMENTS MIS EN ŒUVRE PAR LA SOCIETE la société DENV-R
La société DENV-R est autorisée à traiter pour le compte du responsable de traitement les données à caractère personnel, nécessaires pour fournir les Services dans le cadre des CGU.
Les catégories de personnes concernées par les traitements mis en œuvre par la société DENV-R dans le cadre des CGU sont les utilisateurs de la Solution.
Dans le cadre des CGU, la société DENV-R opère les traitements suivants sur les données personnelles :
Enregistrement ;
Stockage ;
Conservation.
Les finalités des traitements de données personnelles sont les suivantes : exécution des CGU, hébergement et maintenance de la Solution.
Les sous-traitants ultérieurs à la date de souscription des Services sont la société COGENT (hébergeur) et la société WARREN (éditeur).
2. DUREE DES TRAITEMENTS MIS EN ŒUVRE PAR LA SOCIETE DENV-R
La durée du traitement des données personnelles correspond à la durée des Services souscrits par le Client.
3. ENGAGEMENTS DU CLIENT
Pour l’exécution des CGU, le Client met à la disposition de la société DENV-R, les informations nécessaires suivantes :
Le nom et les coordonnées du (ou des) responsable(s) de traitement des données personnelles, du Client au sens du RGPD ;
Le nom et les coordonnées du Délégué à la Protection des Données personnelles du Client, au sens du RGPD, le cas échéant ou à défaut, de l’interlocuteur de la société DENV-R quant aux données personnelles pour les besoins de la présente Annexe ;
Les instructions documentées relatives aux données personnelles, nécessaires à l’exécution des dispositions de la présente Annexe par la société DENV-R.
4. ENGAGEMENTS DE LA SOCIETE DENV-R
La société DENV-R s’engage à :
Traiter les données uniquement pour la ou les seule(s) finalité(s) d’exécution des CGU ;
Traiter les données conformément aux instructions documentées du Client. Si la société DENV-R considère qu’une instruction constitue une violation de la règlementation applicable à la protection des données personnelles, il s’engage à en informer immédiatement le Client ;
Informer le Client, dans l’hypothèse où il serait tenu de procéder à un traitement de données personnelles en vertu d’une disposition impérative résultant du droit de l’Union européenne ou du droit des États membres, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
Obtenir l’accord préalable et écrit du Client, avant de mettre en œuvre un transfert des données personnelles vers un pays situé hors Union européenne. Si cet accord est donné, la société DENV-R s’engage à coopérer avec le Client afin d’assurer :
Le respect des procédures permettant de se conformer à la réglementation applicable à la protection des données personnelles, par exemple, dans le cas où une autorisation de la part d’une autorité de contrôle compétente apparaîtrait nécessaire ;
Si besoin, la conclusion d’un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données personnelles. La société DENV-R s’engage, en particulier et si nécessaire, à signer de tels contrats avec le Client. Pour ce faire, il est convenu entre les Parties que les clauses contractuelles types publiées par la Commission européenne seront utilisées pour encadrer les flux transfrontières de données personnelles.
Garantir la confidentialité des données personnelles traitées dans le cadre du présent Contrat ;
Veiller à ce que les personnes autorisées à traiter les données personnelles, en vertu du présent Contrat :
S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données personnelles dès la conception et de protection des données personnelles par défaut ;
Aider le Client dans le respect de ses propres obligations applicables à la protection des données personnelles.
5. RECOURS A LA SOUS-TRAITANCE ULTERIEURE
La société DENV-R est autorisée à faire appel à un ou plusieurs autres sous-traitants (ci-après le « Sous-traitant Ultérieur ») pour mener des activités de traitement spécifiques.
Le Sous-traitant Ultérieur est tenu de respecter les obligations des CGU, et de ne traiter des données personnelles que pour le compte et selon les instructions documentées du Client. En conséquence, la société DENV-R s’engage à signer avec son Sous-traitant Ultérieur un Contrat écrit imposant au Sous-traitant Ultérieur des obligations en matière de protection des données personnelles permettant le respect de celles fixées dans le Contrat.
Il appartient à la société DENV-R de s’assurer, notamment à travers ce Contrat écrit, que le Sous-traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. La société DENV-R demeure pleinement responsable à l’égard du Client de l’exécution par le Sous-traitant Ultérieur de ses obligations, notamment en ce qui concerne la notification des violations de données à caractère personnel.
6. INFORMATION ET DROITS DES PERSONNES CONCERNEES
Le Client est seul responsable de l’information et de l’exercice des droits des personnes concernées relative aux traitements mis en œuvre par le Client et le cas échéant, par la société DENV-R et les Sous-traitants Ultérieurs.
Dans l’hypothèse où la société DENV-R recevrait une demande d’exercice des droits d’une personne concernée, il s’engage à la transmettre au Client dans les meilleurs délais, étant précisé que seul le Client pourra répondre à de telles demandes.
La société DENV-R s’engage à apporter son concours au Client, afin de l’assister dans la réponse aux demandes des personnes concernées, en lien avec les Services fournies dans le cadre des CGU.
7. RESPECT DE LA REGLEMENTATION APPLICABLE A LA PROTECTION DES DONNEES PERSONNELLES
En qualité de responsable de traitement, le Client est seul responsable du respect de ses propres obligations légales et règlementaires applicables à la protection des données personnelles des utilisateurs de la Solution.
8. NOTIFICATION DES VIOLATIONS DE DONNEES PERSONNELLES
Lors d’une violation de données personnelles au sens du RGPD, la société DENV-R s’engage à procéder à toutes investigations utiles sur les manquements aux règles de protection, afin d’y remédier dès que possible et de diminuer l’impact de tels manquements sur les personnes concernées.
La société DENV-R notifie au Client toute violation de données personnelles, dans les meilleurs délais après en avoir pris connaissance. Cette notification pourra être complétée ensuite, dans la mesure du possible, de toute documentation utile, afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente ou de communiquer auprès des personnes concernées, telle que la description et la nature des données personnelles concernées, la description de l’origine de la violation des données, la description des mesures prises par la société DENV-R pour remédier à ladite violation de données personnelles.
Seul le Client est responsable de la décision, de notifier ou non, la violation à l’autorité de contrôle compétente et de communiquer, cette information ou non, aux personnes concernées, aucune notification ou communication ne sera effectuée par la société DENV-R à ce titre.
9. MESURES DE SECURITE
La société DENV-R s’engage à faire ses meilleurs efforts, afin de mettre en œuvre les mesures techniques et organisationnelles appropriées, pour protéger les données personnelles, de manière à ce que les traitements de données personnelles mis en œuvre dans le cadre des CGU soient conformes au RGPD et à la loi française du 6 janvier 1978 (dite « Loi Informatique et Libertés »).
La société DENV-R s’engage ainsi, notamment, à prendre toutes précautions utiles au regard de la nature des données personnelles et des risques présentés par les traitements, pour préserver la sécurité des données personnelles, des fichiers et notamment limiter les risques de déformation, d’altération, d’endommagement, de destruction de manière fortuite ou illicite, de perte, de divulgation et/ou tout accès par des tiers non autorisés préalablement par le Client.
Les moyens mis en œuvre par la société DENV-R destinés à assurer la sécurité et la confidentialité des données incluent notamment les mesures suivantes, telles que :
Le contrôle régulier des mesures techniques et organisationnelles, pour garantir la sécurité et la pérennité des données personnelles traitées ;
La sensibilisation régulière des salariés de la société DENV-R à la sécurité des données personnelles et au respect de la règlementation applicable à la protection des données personnelles (par exemple, au moyen d’une charte informatique, de notices d’informations, de formations ou de modules e-learning ou d’une clause de confidentialité dans les contrats de travail).
La société DENV-R s’engage à maintenir ces moyens tout au long de l’exécution des CGU.
En tout état de cause, la société DENV-R s’engage en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données personnelles, à les remplacer par des moyens d’une performance équivalente ou supérieure.
La société DENV-R ne pourra être tenue responsable en cas de violation de données personnelles ne résultant pas de son fait, et notamment en cas de non-respect par le Client(ou du client du Client) de ses propres obligations au regard de la règlementation applicable à la protection des données personnelles ou en cas d’absence d’instructions documentées communiquées par écrit par le Client à la société DENV-R afin de se conformer à une règlementation ou à des usages applicables au secteur d’activité du Client.
10. SORT DES DONNÉES PERSONNELLES A L’ISSUE DES CGU
A la cessation des CGU, la société DENV-R s’engage au choix du Client :
A détruire de manière sécurisée toutes les données personnelles et les fichiers informatisés comportant les données personnelles qui resteraient en sa possession dans un délai de deux (2) mois après la cessation des CGU ;
Ou, à les restituer au Client dans un délai de deux (2) mois après la cessation des CGU.
En l’absence d’instructions écrites du Client formulées dans un délai maximal de dix (10) jours, à compter de la cessation des CGU, la société DENV-R s’engage à détruire les données personnelles dans les conditions précitées.
11. AUDIT
La société DENV-R met à la disposition du Client, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre, dans la limite d’un audit par année contractuelle et pendant les heures de travail de la société DENV-R, la réalisation d’audits, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Ces audits seront effectués sur la base des informations demandées par le Client à la société DENV-R, en vue de démontrer les procédures et la documentation mise en place par la société DENV-R pour se conformer au RGPD. Tous les frais engagés par le Client dans le cadre dudit audit seront exclusivement supportés par le Client.
Le Client communiquera à la société DENV-R préalablement, et au moins deux mois à l’avance toute demande d’opération d’audit, par lettre recommandée avec accusé de réception, détaillant les documents demandés, la date prévue de l’audit, ainsi que le nom et les coordonnées des personnes en charge de l’audit et le périmètre juridique et technique de l’audit.
L’audit sera effectué à distance et dans l’hypothèse où les conclusions de la personne en charge de l’audit l’exigent, un audit complémentaire dans les locaux de la société DENV-R pourra être réalisé par lesdites personnes. Dans le cas d’un audit complémentaire dans les locaux de la société DENV-R, le Client assumera les frais supplémentaires résultants notamment de la nécessité d’un renforcement des effectifs pour permettre la réalisation de l’audit et la continuité de l’activité de la société DENV-R, lesquels seront facturés au Client par la société DENV-R (en ce compris les frais supportés par les Sous-traitants Ultérieurs de ce fait).
L’audit est réalisé par le Client ou par un tiers de son choix, sous réserve que ce tiers ne soit pas un concurrent, direct ou indirect, de la société DENV-R ou du Sous-traitant Ultérieur concerné, qu’il soit soumis à un engagement contractuel de confidentialité, dont copie sera remise à la société DENV-R en amont des opérations d’audit.
La société DENV-R collaborera de bonne foi avec l’auditeur et lui communiquera toutes informations, tous documents ou toutes explications nécessaires à la réalisation de l’audit, sous réserve qu’ils soient directement en lien avec les Services fournies dans le cadre des CGU.
Toutefois, la société DENV-R pourra refuser de communiquer des informations relatives à des données personnelles d’autres Clients ou relatives aux systèmes d’information et aux mesures de sécurité d’autres Clients. En outre, l’audit exclut toute communication de documents de nature financière, comptable et tenant aux relations de la société DENV-R ou des Sous-traitants Ultérieurs avec d’autres Clients ou relevant du secret des affaires.
Les résultats de l’audit feront l’objet d’un débat contradictoire et d’une validation par les deux Parties et le Client s’interdit de les communiquer à un tiers sans autorisation préalable et écrite de la société DENV-R.
Dans l’hypothèse où le Client souhaiterait réaliser des audits des Sous-traitants Ultérieurs, ceux-ci ne pourront être réalisés que dans les conditions indiquées ci-avant. Le Client s’engage à répercuter les conditions ci-dessus dans ses contrats avec ses propres clients. DENV-R se réserve la possibilité de refuser tout audit d’un client du Client (ou d’un tiers désigné par lui) ne respectant pas les conditions précitées.
12. COOPERATION EN CAS DE CONTROLE ET RESPONSABILITE
En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle. Dans le cas où le contrôle mené ne concernerait que les traitements mis en œuvre par la société DENV-R en tant que responsable de traitement, la société DENV-R fera son affaire du contrôle.
Dans le cas où le contrôle mené chez la société DENV-R concernerait les traitements mis en œuvre au nom et pour le compte du Client, la société DENV-R s’engage à en informer le Client et à ne prendre aucun engagement pour lui.
En cas de contrôle d’une autorité compétente chez le Client portant notamment sur les Services délivrées par la société DENV-R, le Client s’engage à en informer immédiatement la société DENV-R et la société DENV-R s’engage à coopérer avec le Client et à lui fournir toute information dont il pourrait avoir besoin ou qui s’avèrerait nécessaire.