Protection des données

Règlement général sur la protection des données

ARTICLE 2 PROTECTION DES DONNEES PERSONNELLES

 Les termes non définis au titre du Contrat et utilisés dans le présent article ont le sens qui leur est donné dans le RGPD.

 Chacune des Parties s’engage à respecter la Réglementation relative à la Protection des Données. Dans ce contexte, les Parties se sont rapprochées pour :

-          définir le Traitement, objet du Contrat ;

-          définir les instructions du Responsable ;

-          décrire les mesures techniques et organisationnelles à la charge du Sous-traitant en fonction de la nature du Traitement notamment celles permettant de garantir un niveau adapté aux risques du Traitement ;

-          décrire les modalités d’assistance du Responsable par le Sous-traitant s’agissant des violations de Données personnelles, de l’exercice des droits des personnes concernées, les analyses d’impact et la consultation de l’autorité de protection.

Au titre du Contrat, le Responsable agit en qualité de Responsable de traitement à l’égard du Traitement. Le Sous-traitant agit, pour sa part, en qualité de sous-traitant. A ce titre, il traite les Données personnelles pour les seuls besoins de l’exécution du Contrat et dans les limites et conditions visées au Contrat. Le Sous-traitant garantit le Responsable que la Prestation ou sa solution n’a pas fait l’objet d’un avertissement ou autre mesure correctrice de la part d’une autorité de protection des données d’un Etat membre de l’Union Européenne. Le manquement aux obligations prévues à la présente clause constitue une faute pouvant donner lieu à une résiliation pour faute du Contrat par le Responsable.

1. Obligations du Sous-traitant au titre de la Règlementation relative à la Protection des Données

Respect des instructions documentées

Le Sous-traitant s’engage à ne traiter les Données personnelles qu’en stricte conformité avec les instructions documentées du Responsable y compris en ce qui concerne les transferts de données vers un pays tiers à l’Espace Economique Européen ou vers le Royaume-Uni. Si le Sous-traitant procède à un transfert de Données personnelles vers un pays tiers, en vertu du droit de l’Union Européenne ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable de cette obligation juridique avant le Traitement, sauf si le droit concerné interditune telle information pour des motifs importants d’intérêtpublic.

Les instructions du Responsable sont reprises au Contrat et notamment à l’Annexe « Description du Traitement ». Ces instructions pourront évoluer au cours de l’exécution du Contrat, le cas échéant, dans les conditions prévues au Contrat.

Ces évolutions devront être documentées et validées par des personnes habilitées pour le faire.

Obligations générales à la charge du Sous-traitant

Le Sous-traitant :

-          garantit que les outils et process de traitement respectent les principes de protection des données dès la conception et par défaut (« Privacy by default » et « Privacy by design ») et les fera évoluer pour s’assurer de ce respect ;

-          tient un registre des traitements effectués pour le compte du Responsable ;

-          communique au Responsable l’identité et les coordonnées de son délégué à la protection des données ou à défaut de la personne en charge de la protection des données au sein de son entreprise ainsi que tout élément du registre précité sur simple demande écrite de la part du Responsable ;

-          forme régulièrement ses collaborateurs sur la protection des Données personnelles et la sécurité en particulier ceux autorisés à traiter les Données ;

-          garantit la confidentialité des Données personnelles et ne recourt qu’à des collaborateurs liés par des engagements de confidentialité ou soient soumis à une obligation légale appropriée de confidentialité ;

-          informe le Responsable de toute demande d’information ou enquête d’une autorité de protection des données personnelles concernant l’exécution du Contrat ou le Responsable ;

Le Sous-traitant informe immédiatement le Responsable si :

-          il n’est plus en mesure d’exécuter le Contrat conformément aux instructions du Responsable ou la Réglementation relative à la Protection des Données ;

-          une instruction du Responsable lui semble en violation avec la Réglementation relative à la Protection des Données Personnelles.

Obligations de mise en œuvre de mesures techniques et d’organisation appropriées à la nature du traitement

Compte tenu de ce niveau de risque, le Sous-traitant, met en oeuvre les mesures techniques et organisationnelles appropriées décrites en Annexe « Description du Traitement ». Ces mesures portent notamment sur la sécurité et la confidentialité des données mais également sur l’organisation et la gouvernance des données, la formation et la sensibilisation et toute mesure à même d’assurer le respect de la Réglementation relative à la Protection des Données. Le Sous-traitant doit régulièrement tester lesdites mesures. Il les met régulièrement à jour ou mettent en place des mesures complémentaires pour s’assurer qu’elles restent conformes aux meilleurs standards du marché et aux préconisations desautorités de protection des données françaises et européennes.

Les tests et expérimentations n’utilisent que des jeux de données anonymisées ou fictives.

Assistance, alerte et devoir de conseil

Le Sous-traitant fait ses meilleurs efforts pour apporter au Responsable toute l’aide nécessaire pour :

-          répondre aux demandes des personnes concernées exerçant leurs droits prévus à la Réglementation relative à la Protection des Données.

-          l’aider à garantir le respect de ses obligations issues de la Réglementation relative à la Protection des Données en matière de sécurité, de notification à l’autorité de contrôle et aux personnes concernées d’une violation de Données, d’analyse d’impact relative à la protection des Données avec ou sans consultation préalable et plus généralement, en tant que de besoin, dans le cadre des échanges et requêtes d’une autorité de contrôle de la protection des données personnelles.

Le Sous-traitant doit assister le Responsable dans le cadre de la gestion des requêtes d’une autorité de contrôle de la protection des données personnelles. Le Sous-traitant met à la disposition du Responsable la documentation nécessaire pour démontrer le respect de ses obligations et pour faciliter la réalisation d’audits et d’inspections, par le responsable du traitement ou un mandataire.

2. Notification d’une violation de sécurité

Le Sous-traitant met en place un système lui permettant de détecter, de prendre en charge et de notifier toute violation.

Le Sous-traitant informe le Responsable sans délai de toute violation de Données personnelles, le cas échéant, par envoi d’un courrier électronique à l’adresse des contacts désignés au Contrat ou par tout moyen. Un premier niveau d’information intervient sans délai dès la prise de connaissance de l’évènement. Le Sous-traitant fournit les éléments complémentaires au plus tard dans les vingt-quatre (24) heures suivant cette première information. Cette notification intervient dès lors qu’il y a violation de Données, peu importe le risque associé. L’évaluation du risque est de la responsabilité du Responsable. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable, si nécessaire, de notifier cette violation à l’autorité de protection.

Le Sous-traitant s’engage à coopérer avec le Responsable pour :

-          limiter les effets de la violation et prendre les mesures pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ;

-          notifier à l’autorité de protection des données compétente toute violation.

La notification doit comporter divers éléments :

o    La description de la nature de la violation de données à caractère personnels, en listant par catégorie le nombre de personnes concernées par la violation et le nombre d’enregistrements de données à caractère personnel concernés.

o    Le nom et le contact du délégué à la protection des données, et le cas échéant de la personne compétente, détenant les informations nécessaires

o    La description des répercussions d’une possible violation des données à caractère personnel

o    La description des mesures à prendre ou des propositions de mesures à prendre, pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour limiter les conséquences négatives engendrées par l’atteinte.

Le Sous-traitant s’engage à mobiliser les moyens humains et techniques adaptés afin de prendre les mesures de sauvegarde nécessaires, et à n’effectuer aucune notification auprès des personnes concernées ou autorités sans instructions et accord du Responsable.

3. Transferts internationaux de Données Personnelles

Tout transfert de Données à caractère personnel hors de l’Espace Economique Européen ou vers le Royaume-Uni est interdit à moins que le destinataire ou le pays depuis lequel il opère a été jugé garantir un niveau de protection adéquat des droits et libertés des personnes concernées par décision de la Commission Européenne et sous réserve des limites de périmètres énoncées par celle-ci. La notion de transfert inclut l’accès à distance aux Données.

4. Certifications et audits

Le Responsable, après notification préalable du Sous-traitant, peut - sans frais supplémentaire - procéder ou faire procéder à un contrôle des obligations du Sous-traitant, de l’exécution du Contrat et de la qualité de l’exécution du Contrat. Le Sous-traitant s'engage à coopérer pleinement avec les auditeurs et à fournir toutes informations nécessaires et permettre aux auditeurs d'accéder à toutes infrastructures informationnelles et à tout site d’exécution du Contrat pendant les périodes ouvrées et dans les limites de l'organisation normale du Sous-traitant.

Le Sous-traitant s’engage à offrir les mêmes facilités aux organismes français ou étrangers (i.e. services fiscaux et sociaux, autorités publiques de tutelle et/ou de contrôle, commissaires aux comptes, etc.). Les auditeurs sont soumis à des obligations de confidentialité similaires à celles figurant à l’article « Confidentialité », et s’engagent à respecter la politique de sécurité du Sous-traitant.

Tout projet de rapport préparé par les auditeurs doit, avant d’être définitif, être transmis au Sous-traitant, pour lui permettre de formuler des observations, lesquelles sont retranscrites dans le rapport final. Un exemplaire du rapport d’audit définitif est remis à chacune des Parties. S’il apparaît un manquement du Sous-traitant, ce dernier prend à sa charge les frais d’audit et met en œuvre, à ses frais, les mesures correctives nécessaires dans un délai de quinze (15) jours ouvrés à compter de la remise du rapport d’audit. A l’exception de ce qui précède, le Responsable supporte tous les frais engagés par lui au titre des audits. Indépendamment de ce qui précède, le Responsable peut accéder à tout moment, sans formalité et sans coût supplémentaire, à tous les journaux d’exploitation, rapports d’incidents, d’interventions et de suivis concernant l’exécution de tout ou partie du Contrat.

ARTICLE 3 - OBLIGATIONS DU RESPONSABLE

Le Responsable s’engage à :

-          délivrer au Sous-traitant la description du traitement faisant l’objet de la sous-traitance en Annexe « Description du traitement »,

-          veiller au respect des obligations édictées par la Réglementation relative à la Protection des Données, en amont et pendant la durée du traitement et

-          superviser le traitement, y compris, réaliser les audits et inspections auprès du Sous-traitant.

ARTICLE 4- SOUS-TRAITANTS

Le Responsable autorise le Sous-traitant à faire appel aux sous-traitants listés en Annexe « Description du Traitement » pour mener les activités de traitement listées comme étant sous-traitée.

Le Sous-traitant informe le Responsable préalablement et par écrit de tout changement dans les sous-traitants en indiquant l’activité sous-traité, l’identité et les coordonnées du sous-traitant. Le Responsable dispose d’un délai de trente jours à compter de cette information pour s’y opposer.

En cas d’objection du Responsable, le Sous-traitant peut :

-          renoncer à recourir à ce sous-traitant

-          prendre les mesures correctives demandées par le Responsable

Si aucune des options qui précèdent ne peut être mise en œuvre, chacune des Parties est autorisée à résilier le Contrat moyennant un préavis raisonnable. Le sous-traitant est tenu de respecter les obligations prévues au Contrat pour le compte et selon les instructions du Responsable. Il appartient au Sous-traitant de s’assurer que le sous-traitant présente les mêmes garanties quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde à la Réglementation relative à la protection des Données. En cas de défaut du sous-traitant, le Sous-traitant demeure pleinement responsable vis-à-vis du Responsable.

ARTICLE 5- GARANTIES – RESPONSABILITE

Les Parties acceptent que la limitation de responsabilité ne s’applique pas en cas de manquement de l’une des Parties à ses obligations contractuelles ou légales au titre de la Protection des données et notamment, pour le Sous-traitant, en cas de non-respect des instructions du Responsable.

ARTICLE 6– REVERSIBILITE/MIGRATION/FIN DU CONTRAT

A la fin du Contrat quelle qu’en soit la cause, le Sous-traitant au choix du Responsable lui restitue les Données personnelles ou les détruit. En cas de restitution, celle-ci a lieu dans un format standard du marché exploitable par le Responsable. Dans tous les cas, le Sous-traitant détruit toutes les copies existantes fournit sans délai un certificat de destruction. Seul le respect d’une obligation issue du droit de l’Union Européenne ou du droit français pourrait justifier que le Sous-traitant conserve des données personnelles

Suivez-nous sur Facebook

Facebook