top of page

PROTECTION DES DONNEES PERSONNELLES

 

 

PREAMBULE

 

Dans le cadre du présent Contrat pour les besoins des Prestations, le Client agissant en tant que Responsable de Traitement a déterminé la Finalité et les moyens du ou des Traitement(s) dont l’exécution a été confiée au Prestataire qui intervient, selon les Prestations, en qualité de Sous-traitant.

 

Les Parties sont conscientes de la nécessité d’assurer un Traitement des Données Personnelles en conformité avec la réglementation en vigueur et assurant un niveau de sécurité approprié et en conséquence, chacune d’elles garantit les moyens qu’elle met en œuvre pour assurer la conformité des Traitements réalisés dans le cadre du présent Contrat.

 

Ceci étant rappelé, les parties sont convenues de ce qui suit.

1. OBJET​​

La présente Annexe a pour objet de définir les conditions dans lesquelles le Prestataire, qui intervient comme Sous-traitant, s’engage à effectuer pour le compte du Client les opérations de Traitement de Données à caractère personnel définies à l’article 2 des présentes.

 

Le Prestataire est informé qu'il aura accès, dans le cadre des présentes, à des Données à caractère personnel appartenant au Client (ci-après « les Données Personnelles »).

 

Le Client autorise le Prestataire, pour la durée et pour les seuls besoins du présent Contrat à procéder au Traitement des Données Personnelles uniquement pour la fourniture des Prestations objet du Contrat.

 

Le Client demeure seul responsable du Traitement des Données Personnelles et en conserve l'entière propriété, y compris pour les modifications ou compléments qui pourraient y être apportés par le Prestataire.

 

Le Prestataire s’engage à respecter les consignes du Client et à ne traiter les Données Personnelles que sur instructions du Client et exclusivement pour son compte et, sauf les cas où il y est expressément autorisé, non pour ses besoins propres ou pour le compte de Tiers.

 

Ainsi, le Prestataire mettra en œuvre toutes les mesures techniques et organisationnelles nécessaires pour protéger les Données Personnelles et prendra toutes les précautions appropriées pour préserver la sécurité, la disponibilité, la confidentialité et l’intégrité de ces Données, notamment contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés.

2. DEFINITIONS

Pour les besoins du présent Contrat, les termes définis ci-après et débutant par une majuscule, au singulier ou au pluriel, auront le sens qui leur est donné au présent article.

 

Si d’autres définitions ont été données dans le corps du Contrat en cas de contradiction, les définitions de la présente Annexe prévalent.

 

« Données à caractère personnel » ou « Données Personnelles » : toute information relative à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 

« Fichiers » : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique, quel qu’en soit le support.

 

« Finalités » : objectif principal d’une application informatique de données personnelles.

 

« Hébergement » : ensemble des prestations relatives au stockage, à la conservation sur les serveurs du Prestataire et à la mise à disposition de la solution/des données dans les conditions définies au Contrat.

 

 « Analyse d’impact » ou « Privacy Impact Assessment (PIA) » : un PIA est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face.

 

« Pseudonymisation » : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

 

« Anonymisation » : l’anonymisation de données consiste à modifier le contenu ou la structure de ces données afin de rendre impossible la « ré-identification » des personnes physiques concernées.

 

« Responsable du traitement » ou « Client » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

« Sous-traitant » ou « Prestataire »: la personne physique ou morale, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

« Destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données personnelles dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

 

« Tiers » : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

 

« Traitement de Données» : signifie toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqué aux données, telles que  la collecte,  l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

3. CARACTERISTIQUES DU TRAITEMENT DES DONNEES

Dans le cadre du présent Contrat, le Prestataire est autorisé à traiter pour le compte du Responsable de traitement les Données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) :

                                                                        

  • le nom du traitement ou sa désignation : [RAS]      

  • la finalité spécifique du traitement XXX) est de permettre au Client de pouvoir : [RAS]

  • la base légale du traitement : [RAS]

  • la nature des opérations qui doivent être réalisées dans le cadre du traitement : [RAS]

  • les catégories de personnes concernées (ex : salariés, clients, prospects, contacts…) : [RAS]

  • les Données Personnelles mises à la disposition du Prestataire par le Client : [RAS]

  • les règles de purges ou d’archivage : [RAS]

  • les Données obtenues ou détenues par le Prestataire et leur provenance (collecte directe, pour le compte du Client, tiers…) : [RAS]

  • le lieu et les conditions d'hébergement des données : [RAS]

  • la description des opérations réalisées par le Prestataire : [RAS]

  • les personnes qui auront accès aux données : [RAS]                    

  • les moyens de sécurisation mis en œuvre pour garantir la protection des Données Personnelles : (mesures techniques ou organisationnelles appropriées (intégrité et confidentialité))

  • les labels ou code de conduite auxquels il adhère : [RAS]                      

 

4. OBLIGATIONS RELATIVES A LA PROTECTIONS DES DONNEES

1. Obligations communes

 

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable à la date de signature du Contrat  au Traitement de Données à caractère personnel, en particulier : le règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « le règlement européen sur la protection des données » ou « RGPD »), la loi Informatique et Liberté du 6 janvier 1978 dans sa version en vigueur, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

 

Dans la mesure où les dispositions de la loi précitée et des autres textes légaux ou réglementaires, ou encore des recommandations de la CNIL le prescrivent, les Parties examinent les mesures techniques ou de sécurité requises pour les Traitements, Fichiers et Données. Chaque Partie sera tenue pour responsable, le cas échéant, du non-respect des mesures techniques ou de sécurité qui lui incombent.

 

Les Parties désignent en tout état de cause un interlocuteur privilégié, qui les représente dans le cadre de la Prestation, et qui est associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des Données à caractère personnel. Chacune des parties communiquera à l’autre partie le nom et les coordonnées de son délégué à la protection des données si elle en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.

​2. Obligations du Client

 

En tant que Responsable de traitement, le Client garantit au Prestataire qu’il a procédé à l’ensemble des obligations qui lui incombe, notamment à l’inscription des Traitements sur le registre et qu’il a informé les personnes concernées de l’usage qui est fait de ces Données. Par conséquent, le Client demeure seul responsable des traitements dont il a déterminé la finalité et les moyens mis en œuvre.

 

Si la nature du Traitement le requiert, le Client procèdera avec l’assistance du Prestataire, aux Analyses d'impact relatives à la protection des Données et le cas échéant lui a transmettra les conclusions.

 

Par ailleurs, le Client est seul responsable de la qualité, de la licéité et de la pertinence des Données Personnelles qu’il transmet au Prestataire aux fins de l’exécution du Contrat.

 

​3. Obligations du Prestataire

 

Le Prestataire s’engage à :

 

  • Mettre en œuvre toutes les mesures techniques et organisationnelles appropriées et conformes à l’état des connaissances au contexte, aux finalités du traitement et aux risques pour préserver la sécurité, la disponibilité, la confidentialité et l’intégrité de ces Données Personnelles, notamment contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés.

 

En conséquence, conformément à l’article 32 du règlement européen sur la protection des données, le Prestataire communiquera au Client l’ensemble des mesures prises pour garantir la sécurité des Données Personnelles et décrira les conditions dans lesquelles les mesures de sécurité sont mises en œuvre, et notamment selon les besoins :

 

  • La Pseudonymisation et le chiffrement des Données Personnelles ;

  • Les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;

  • Les moyens permettant de rétablir la disponibilité des Données Personnelles et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

  • Les moyens permettant de garantir la traçabilité de toutes les opérations menées sur les Données ou permettant d’avoir un accès direct ou indirect à ces dernières ;

  • Les moyens permettant de détecter une violation ou faille exposant des Données à caractère personnel et de pouvoir en informer le Client ;

  • Les moyens permettant de garantir l’exercice des droits des individus ;

  • Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;

  • Toutes autres mesures appropriées pour préserver la sécurité, la disponibilité, la confidentialité et l’intégrité de ces Données Personnelles, notamment contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés.

 

En tout état cause, le Client, en sa qualité de Responsable du traitement apprécie si ces mesures présentent le niveau de sécurité approprié et adapté au risque, conformément à l’article 32 du RGPD.

 

Garantir la confidentialité des Données à caractère personnel traitées dans le cadre des présentes, et à ce titre, veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du Contrat :

 

  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,

  • reçoivent la formation nécessaire en matière de protection de Données à caractère personnel.

 

  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données dès la conception, et de protection des Données par défaut.

  • Ne pas conserver les Données Personnelles au-delà de la durée de conservation fixée en concertation avec le Client au regard des finalités pour lesquelles elles ont été collectées, et en tout état de cause, à ne pas les conserver après la fin du Contrat.

 

  • Effectuer les purges archivage ou anonymisation nécessaires, conformément aux obligations légales et réglementaires et/ou aux instructions du Client, en fonction de la nature des Données Personnelles et de la finalité du traitement.

 

​4. Tenue d'un registre

Dès lors que le Client informera le Prestataire que le traitement est susceptible de comporter un risque pour les droits et libertés, qui n’est pas occasionnel, ou qui porte sur des données sensibles, ou relatives à des condamnations pénales ou des infractions, le Prestataire tiendra par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant conformément à l’article 30-2 du RGPD :

 

  • Le nom et les coordonnées des éventuels Sous-traitants ultérieurs autorisés dans les conditions prévues à l’article 5 ci-après et, le cas échéant, du délégué à la protection des données ;

  • Les catégories de traitements effectués pour le compte du Client ;

  • Une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

    • La pseudonymisation et le chiffrement des données à caractère personnel ;

    • Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

    • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

  • Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

Le Client s’engage à fournir au Prestations toutes les informations utiles à la bonne tenue de ce registre.

​5. Audits

 

Le Client se réserve la possibilité de procéder une fois au cours de la durée du Contrat, à ses propres frais, à des audits techniques de tout ou partie des Prestations et à toute vérification qui lui paraîtrait utile pour constater le respect des obligations précitées,

 

Cet audit peut être effectué, moyennant, sauf cas d’urgence et notamment de suspicion de faille, le respect d’un préavis écrit d’un mois précisant le périmètre de l’audit, soit par une structure d’audit interne du Client, soit par un cabinet tiers indépendant soumis à un engagement de confidentialité et non concurrent direct du Prestataire. Les conditions de réalisation de l’audit (règles de confidentialité, horaires et conditions des interventions, délais, tarifs de l’intervention du Prestataire, prise en charge des frais afférents) seront préalablement définies dans un accord signé par toutes les parties impliquées.

 

Le Prestataire met à la disposition du Client, ou des auditeurs, la documentation nécessaire aux besoins de l’audit, à l’exception de celle relevant du savoir-faire, du secret des affaires du Prestataire ainsi que celle couverte par des accords de confidentialité. Tous les documents, informations ou données, quel qu’en soit le support, confiés par le Prestataire au Client ou aux auditeurs, seront considérés et traités comme confidentiels conformément à l’article « Confidentialité » du Contrat. Les données contenues dans ces documents et supports sont strictement couvertes par le secret professionnel (article 226-13 du code pénal), il en va de même pour toutes les données dont le Client ou les auditeurs prennent connaissance à l’occasion de l’exécution du présent Contrat.

5. SOUS-TRAITANCE

Le Sous-traitant peur faire appel à un autre sous-traitant (ci-après « le sous-traitant ultérieur ») pour mener des activités de Traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de Traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai maximum de 5 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n’a pas émis d’objection pendant le délai convenu.

 

Le sous-traitant ultérieur est tenu de respecter les obligations du présent Contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

6. DROIT ET INFORMATIONS DES PERSONNES CONCERNEES EN CAS DE COLLECTE DIRECTE PAR LE SOUS-TRAITANT

Dans l’éventualité où, pour les besoins de la Prestation, le Prestataire était amené à collecter directement des Données personnelles pour le compte du Client, il lui appartiendrait au moment de la collecte de ces Données, de fournir aux personnes concernées par les opérations de Traitement, l’information relative aux Traitements qu’il réalise pour le compte du Client. La formulation et le format de l’information doit être convenue en concertation avec le Client avant la collecte de données.

 

En cas d’exercice de leurs droits (droit à l’information, droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée y compris le profilage) par des personnes concernées directement auprès du Prestataire, concernant des Données personnelles confiées par le Client ou traitées pour le compte de ce dernier, le Prestataire devra adresser ces demandes dès réception par courrier électronique à rgpd@portify.fr et le Prestataire devra aider le Client à s’acquitter de son obligation de donner suite à ces demandes.

Le Prestataire devra fournir au Client toute information utile concernant les Destinataires des Données Personnelles, afin que le Client soit en mesure d’informer les personnes concernées par le Traitement et de répondre à leurs demandes d’accès conformément à la réglementation en vigueur.

7. VIOLATION DES DONNEES

En cas de violation de Données à caractère personnel et conformément à l’article 33.2 du RGPD, le Prestataire notifiera au Client la violation en question dans les meilleurs délais après en avoir pris connaissance, et par le moyen suivant rgpd@portify.fr.

 

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, et de communiquer à la personne concernée la violation des données la concernant. A minima, cette notification comprendra :

 

  • La nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

  • Le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

  • Les conséquences probables de la violation de données à caractère personnel ;

  • Les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives

 

En tout état de cause, le Prestataire ne traitera pas directement des demandes de plaintes engagées par les personnes concernées.

8. ASSISTANCE

Eu égard aux obligations qui incombent au Responsable du traitement en vertu du règlement européen sur la protection des données, pour assurer la conformité des Traitements, le Prestataire s’engage :

 

  • à aider via des mesures techniques et organisationnelles appropriées, le responsable à s’acquitter de son obligation de donner suite aux demandes des personnes concernant l’exercice de leurs droits ;

  • à fournir au Client toutes informations et alertes utiles dans les plus brefs délais pour lui permettre de respecter ses obligations en matière de traitement des Données à caractère personnel.

 

Par ailleurs, le Prestataire s’engage à aider le Client pour la réalisation le cas échéant des Analyses d’impact relatives à la protection des Données personnelles dont il peut avoir la charge en vertu de l’article 35 du RGPD et, au besoin, pour la consultation préalable de l’autorité de contrôle.

9. FIN DU CONTRAT

A l’expiration du présent Contrat, pour quelque cause que ce soit, le Prestataire devra sans délai et en fonction de la demande du Client :

  • soit détruire les Données personnelles et toute copie quel qu’en soit le support ;

  • soit restituer les Données dans le même format que celui utilisé par le Client pour communiquer les Données personnelles au Prestataire ou à défaut dans un format structuré et couramment utilisé, et en détruire les copies existantes quel qu’en soit le support, sauf à ce qu’il soit tenu de conserver les Données personnelles en application du Droit applicable à la protection des données, ce dont il s’engage à informer le Client.

 

Il appartiendra au Prestataire de s’assurer que toutes Données ou copies de Données personnelles qui auraient pu être transmises à un Tiers soient également détruites

 

En tout état de cause le Prestataire devra apporter la preuve de ces destructions.

 

Les dispositions de la présente Annexe « Protection des Données Personnelles » continueront de produire leurs effets et s’imposeront au Prestataire tant que celui-ci ou ses éventuels Sous-traitants ultérieurs conserveront des Données personnelles.

bottom of page