Règlement général sur la protection des données – Politique clients

1- OBJET

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

2- DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE

Les caractéristiques du traitement de Données à Caractère Personnel (DCP) sont détaillées dans le Contrat Cadre ou au sein de chaque Bon de Commande (BDC).

S’il n’est pas possible au moment de la conclusion du Bon de commande de renseigner les caractéristiques car elles n’auront pas été fournies par le Responsable de traitement au Sous-traitant, les Parties s’engagent à conclure un avenant au Bon de commande sur cet objet dès leur communication par le Responsable de traitement.

La nature des opérations réalisées sur les données, la ou les finalité(s) du traitement, le caractère des données personnelles traitées, et l’identification des catégories de personnes concernées par le traitement des données personnelles sont également définis et encadrés dans le BDC.

3- OBLIGATION DU SOUS-TRAITANT

De manière générale, le Sous-traitant s’engage à mettre en œuvre l’ensemble des mesures nécessaires permettant au Responsable de traitement de respecter la réglementation applicable et notamment les principes de privacy by design et de privacy by default.

3.1 RESPECT DES INSTRUCTIONS DU RESPONSABLE DE TRAITEMENT ET DE LA REGLEMENTATION

Le Sous-traitant s’engage à :

  • Traiter les DCP dans le cadre strict et nécessaire des Prestations et, d’une manière générale, à n’agir que sur la seule instruction écrite et documentée du Responsable de traitement ;
  • Informer immédiatement le Responsable de traitement si une des instructions constitue une violation de la réglementation applicable en matière de protection des DCP et suspendre l’exécution de ladite instruction jusqu’à confirmation ou modification de l’instruction par le Responsable de traitement ;
  • S’assurer que les personnes autorisées à accéder aux DCP ont connaissance des instructions du Responsable et s’engagent à ne les traiter que dans le strict respect de celles-ci ;
  • Veiller à ce que les personnes autorisées à accéder aux DCP pour la réalisation des Prestations reçoivent la formation nécessaire en matière de protection des DCP ;
  • Ne pas concéder, louer, céder ou autrement communiquer à toute personne, tout ou partie des DCP, même à titre gratuit, ainsi que, plus généralement, ne pas utiliser les DCP à d’autres fins que celles strictement prévues au Contrat, notamment, pour tout usage de prospection commerciale, marketing et/ou autre ;
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des DCP dès la conception.

3.2 SECURITE, CONFIDENTIALITE, VIOLATION ET DESTRUCTION DES DCP

Le Sous-traitant s’engage à :

  • Prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des DCP, et notamment, empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, et plus généralement, à mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les DCP contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés. Ces mesures doivent assurer, compte tenu de l’état de l’art, un niveau de sécurité approprié au regard des risques présentés par les traitements et la nature des données à protéger ;
  • Mettre en place des habilitations pour restreindre l’accès des personnes aux DCP et ne les communiquer qu’aux personnes ayant besoin d’en connaître, en veillant à ce que ces personnes soient soumises à une obligation contractuelle, écrite et individuelle, ou légale de confidentialité et de sécurité appropriée ;
  • Mettre à jour les mesures de sécurité compte tenu de l’évolution de la technique, sans qu’il ne puisse résulter une diminution du niveau de sécurité et/ou un impact négatif sur la fourniture des Prestations et informer le Responsable de traitement de toute modification substantielle des mesures de sécurité ;
  • Notifier au Responsable de traitement la connaissance dans les meilleurs délais, toute violation avérée ou suspectée de DCP, ou toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de DCP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données notamment pour permettre au Responsable de traitement de se conformer à l’obligation de notification à la CNIL, prévue à l’article 33 du RGPD, de toute violation de DCP. La notification du Sous-traitant doit être envoyée à l’interlocuteur du Responsable de traitement désigné par téléphone et par courrier électronique, puis confirmée par lettre recommandée avec accusé de réception ;
  • Procéder à toutes investigations utiles sur les manquements aux règles de protection ci-dessus visées et/ou sur toutes menaces afin de remédier auxdits manquements et/ou menaces et éviter qu’ils se reproduisent à l’avenir ;
  • Remédier à ces manquements et/ou menaces dans un délai aussi rapide que possible et de minimiser l’impact de tels manquements et/ou menaces sur les personnes concernées ;
  • Informer le Responsable de traitement au moyen d’un rapport écrit décrivant la nature et la conséquence de la violation des DCP, les actions correctives mises en place ou celles proposées pour remédier auxdits manquements et/ou menaces, diminuer l’impact vis-à-vis des personnes concernées ainsi que les mesures adoptées afin que de tels manquements et/ou menaces ne se reproduisent plus ;
  • Respecter les durées de conservation des DCP, telles que spécifiées par le Responsable de traitement ;
  • Détruire toutes les DCP ou les renvoyer au Responsable de traitement, au terme du contrat et détruire les copies existantes, ainsi que communiquer au Responsable de traitement la preuve de ces destructions, le cas échéant.

3.3 ASSISTANCE ET AUDIT

Le Sous-traitant déclare comprendre que tout manquement à la réglementation applicable aux DCP peut imposer des obligations au Responsable de traitement, notamment de notification aux personnes concernées ainsi qu’aux autorités de contrôle concernant les dits manquements. Le Sous-traitant s’engage à coopérer avec le Responsable de traitement et à l’assister pour l’aider à remplir ses obligations. Le Sous-traitant garantit le Responsable de traitement des conséquences de toutes réclamations de la part des personnes concernées provenant d’un manquement à la réglementation applicable aux DCP qui leur serait imputable.

Ainsi, le Sous-traitant s’engage, sans coût additionnel, à :

  • Collaborer avec le Responsable de traitement afin de garantir le respect des obligations lui incombant conformément à la réglementation applicable en matière de protection des DCP. Notamment, le Sous-traitant, au titre de son devoir de conseil et au terme d’une démarche proactive, apporte toute assistance au Responsable de traitement pour la réalisation des analyses d’impact relatives à la protection des DCP et pour la réalisation de la consultation préalable de l’autorité de contrôle, par exemple en fournissant à première demande toutes informations utiles ;
  • Mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations stipulées dans le Contrat et lui incombant au regard de la réglementation applicable en matière de protection des DCP et permettre la réalisation d’audits relatifs au respect des dispositions de cette Annexe y compris des inspections par le Responsable de traitement ou tout autre auditeur mandaté et collaborer activement dans le cadre de ces audits.

4- DROIT D’INFORMATION DES PERSONNES CONCERNEES

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

5- EXERCICE DES DROITS DES PERSONNES

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à [email protected].

6 – SOUS-TRAITANCE

Le Sous-traitant peut faire appel à un autre Sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement, notamment dans le cadre d’autorisation spécifique et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai maximum d’une semaine calendaire à compter de la date de réception de cette information pour autoriser ou refuser cette sous-traitance.

Le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

7- TRANSFERTS DE DCP HORS UE

Le Sous-traitant s’engage, que ce soit à raison des Prestations qu’il réalise ou à raison des Prestations réalisées dans le cadre d’un recours à la sous-traitance autorisée selon les conditions du Contrat, à ne pas transférer les DCP traitées dans le cadre du Contrat, hors de l’Union Européenne ou des pays dits de « protection adéquate », sans l’autorisation préalable et écrite du Responsable de traitement afin de pouvoir procéder, préalablement au transfert à :

  • la mise en place de garanties appropriées telles que prévues par la réglementation applicable en matière de protection des DCP ;
  • la réalisation des formalités et à l’obtention le cas échéant de l’autorisation préalable de transférer les DCP sur la base d’un engagement de l’importateur des DCP recueilli dans le cadre d’un mécanisme alternatif de protection des DCP accepté par la CNIL ;
  • l’information des personnes concernées.

Les engagements souscrits par le Sous-traitant au titre du présent article, ne peuvent être soumis à aucune limitation de responsabilité.

8- SORT DES DONNEES

Au terme de la prestation de services relatifs au traitement de ces données, sur instruction du Responsable de traitement, le Sous-traitant s’engage à :

  • détruire toutes les données à caractère personnel ou ;
  • à renvoyer toutes les données à caractère personnel au Responsable de traitement ou ;
  • à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-traitant. Une fois détruites, le Sous-traitant doit justifier par écrit de la destruction.

9- DELEGUE A LA PROTECTION DES DONNEES

Le Sous-traitant communique au Responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données. Le délégué à la protection des données de EXPERTEAM peut être contacté à l’adresse [email protected].

10- REGISTRE DES CATEGORIES D’ACTIVITES DE TRAITEMENT

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement.

11- OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT

Le Responsable de traitement s’engage à :

  • Fournir au Prestataire les données visées au 2 des présentes clauses ;
  • Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-traitant ;
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.
Dernière modification : 08/02/2022