Contract
1. Préambule
Les présentes Conditions Particulières ont pour objet de définir les conditions dans lesquelles DL Négoce « le sous-traitant » s’engage à effectuer pour le compte du Client « le responsable de traitement » les opérations de traitement de données à caractère personnel définies ci-après et nécessaires pour fournir le ou les service(s) objets des Conditions Générales au(x)quel(s) le Client a choisi de souscrire.
2. Définition des termes
« Données à Caractère Personnel ou DCP » Désignent toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, communiquée à DL Négoce ou qui lui est accessible pour les finalités liées à l’exécution du Contrat.
« Données du Client »
Désignent les informations, publications et, de manière générale, tout élément de la base de Données du Client et pouvant comprendre des Données à Caractère Personnel.
« Législation pour les Données à Caractère Personnel ou Législation DCP »
Désigne la législation relative à la protection des Données à Caractère Personnel européenne en vigueur, notamment le règlement général relatif à la protection des données 2016/679 (RGPD), et nationale applicable, notamment la loi française n° 78-17 du 6 janvier 1978 modifiée, dite loi informatique et libertés.
« Responsable du traitement »
Le Client dans la mesure où il détermine les finalités et les moyens du traitement.
« Sous-traitant »
La société DL Négoce dans la mesure où elle traite des données à caractère personnel pour le compte du Responsable du traitement.
« Les Parties »
Désigne ensemble le Client et DL Négoce.
3. Traitement des données
Les présentes Conditions Particulières s’appliquent dans le cadre des Services, objets des Conditions Générales souscrites par le Client auprès de DL Négoce.
Dans le cadre de ces Services, DL Négoce peut être amenée à traiter des Données du Client.
Si les Données du Client comportent des Données à Caractère Personnel (« DCP »), chaque Partie s’engage à se conformer à ses obligations en application de la Législation DCP. Les Parties s’interdisent de commettre tout acte de nature à mettre l’autre Partie en position de violation desdites législations protectrices des DCP.
Il est précisé entre les Parties que si des exigences spécifiques résultant du traitement de DCP accroissent la charge de travail de DL
Négoce, les Parties conviendront d’un avenant pour envisager les conditions, notamment financières, de cette extension.
3.1. Obligations du Client
Le Client est seul responsable et garantit la qualité, la licéité et la pertinence des Données du Client.
Plus généralement, le Client est seul responsable de l’utilisation qui est faite des produits ou services livrés par DL Négoce.
Le Client demeure le seul propriétaire des données du Client transitant par les produits logiciels proposés par DL Négoce.
Il garantit, en outre, être titulaire des droits lui permettant de traiter et de faire traiter par DL Négoce les Données du Client. Le Client garantit DL Négoce à première demande contre tout préjudice qui résulterait de la mise en cause de DL Négoce par un tiers pour une violation de cette garantie.
Le Client, en tant que responsable du traitement au sens de la Législation DCP, garantit à DL Négoce que le traitement en cause satisfait aux exigences de la Législation DCP, notamment que les DCP sont traitées de manière licite, loyale et transparente, qu’elles ont été collectées pour des finalités déterminées, explicites et légitimes et que l’information requise aux personnes concernées par le traitement a bien été fournie au moment de la collecte des DCP.
A ce titre, le Client garantit DL Négoce contre tout recours, plainte ou réclamation émanant d’une personne physique dont les DCP seraient traitées par DL Négoce pour le compte du Client et, en conséquence, à indemniser DL Négoce de toute condamnation de ce chef. Dans ce cadre également, le Client s’engage à ne pas réclamer à DL Négoce une quelconque réparation dans le cas où il aurait été amené à réparer l’intégralité du dommage causé.
Le Client s’engage à documenter, par écrit, toute instruction concernant le traitement de DCP par DL Négoce. Il donne à ce titre instruction à DL négoce d’effectuer les traitements décrits dans l’Annexe X pour le ou les service(s) qu’il a souscrit(s). Le Client s’engage également à mettre à la disposition de DL Négoce toute information nécessaire pour la bonne exécution de la sous- traitance.
Le Client veille, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Législation DCP de la part de DL Négoce notamment au travers de la réalisation d’Audits conformément à l’Article « Audit ».
3.2. Obligations de DL Négoce
DL Négoce fera ses meilleurs efforts pour préserver la sécurité, l’intégrité et la confidentialité des Données du Client au regard des obligations légales qui lui incombent.
DL négoce, en tant que sous-traitant au sens de la Législation DCP, mettra en œuvre, pour celles qui le concernent, les mesures techniques et organisationnelles de sécurité appropriées de manière à ce que les traitements, réalisés pour le
compte du Client, répondent aux exigences de la Législation DCP.
Il est expressément convenu que DL Négoce :
- traite les DCP uniquement pour la/les finalité(s) qui font l’objet de la sous-traitance :
- ne traitera les DCP que sur instruction documentée du Client, y compris en ce qui concerne les transferts vers les pays hors Union européenne ou à une organisation internationale conformément aux dispositions de l’article « Transferts ». En outre, si DL Négoce est tenue de procéder à un transfert de DCP vers un pays hors Union européenne ou à une organisation internationale en vertu du droit de l’Union ou du droit de l’Etat-Membre auquel DL Négoce est soumise, elle informe le Client de cette obligation juridique avant le traitement, sauf si la législation concernée interdit une telle information pour des motifs importants d’intérêt public ;
- informe immédiatement le Client si DL Négoce considère, selon elle, qu’une instruction donnée par le CLIENT constitue une violation de la Législation DCP. Les Parties précisent que dans le cadre de l’objet du Contrat, DL Négoce ne saurait être tenue de veiller à la mise en conformité effective ou de conseiller le Client au regard de la Législation DCP concernant les traitements mis en œuvre par le Client ;
- veille à ce que les personnes autorisées à traiter les DCP s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée ;
- pourra sous-traiter tout ou partie des activités de traitement réalisées pour le compte du Client. En cas de changement prévu concernant l'ajout ou le remplacement d’un ou plusieurs sous-traitants, DL Négoce en informera également le Client, lui donnant ainsi la possibilité d'émettre des objections à l'encontre de ces changements. Le Client doit émettre ses objections dans un délai de 10 jours, en indiquant les motifs raisonnables et documentés tenant au non- respect par ce ou ces sous-traitant(s) de la Législation DCP. DL Négoce impose les mêmes obligations en matière de protection des DCP que celles prévues aux présentes par contrat à son sous-traitant ;
- notifie au Client toute violation de DCP au sens de la Législation DCP, dans les meilleurs délais à compter du moment où elle en a eu connaissance, auprès du contact Client, étant précisé qu’il appartient au Client de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées, le cas échéant. Néanmoins, une assistance pourra être assurée par DL Négoce dans le cadre de ces notifications, sur demande du Client et selon des modalités discutées entre les Parties ;
- selon le choix du Client, supprime toutes les DCP ou les renvoie au Client au terme de la prestation, et détruit les copies existantes sauf disposition légale contraire ;
- met à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations dans le cadre des
prestations de sous-traitance de Données à Caractère Personnel qu’elle effectue pour le compte du Client et pour permettre la réalisation d’audits.
Assistance dans le cadre du traitement de Données à Caractère Personnel
Dans le cadre de son obligation d’assistance vis- à-vis du Client, DL Négoce s’engage, le cas échéant dans des conditions financières à définir entre les Parties, à :
- aider le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible,
à s’acquitter de son obligation de donner suite aux demandes des personnes concernées relatives à leurs droits. A ce titre, en cas de réception directement par DL négoce d’une telle demande, il est convenu que celle-ci transmet la demande au Client, à qui revient la charge d’y apporter une réponse dans les délais prévus par la Législation DCP ;
- aider le Client à garantir le respect des obligations de sécurité. Il est entendu entre les Parties que les engagements de DL Négoce ne portent que sur les moyens qu’elle est à même de mettre en œuvre pour assurer la confidentialité et la sécurité des DCP ;
- aider le Client dans le cadre des notifications des violations de DCP au sens de la Législation DCP et lorsque celui-ci décide de mener une analyse d’impact relative à la protection des DCP ainsi que, le cas échéant, pour la réalisation de la consultation préalable à l’autorité de contrôle, en fournissant toute documentation utile à sa disposition que le Client ne détient pas.
Les Parties s’accordent sur le principe que l’assistance fournie au Client par DL Négoce au titre de la présente clause est effectuée compte tenu de la nature du traitement et du niveau d’information dont DL Négoce bénéficie de la part du Client et dans les limites des obligations qui lui incombent. Les demandes d’assistance supplémentaires non couvertes par les présentes Conditions Particulières donneront lieu à un accord spécifique entre les Parties.
La responsabilité de DL Négoce au titre des obligations définies dans les présentes Conditions Particulières sera appréciée conformément aux dispositions dans les Conditions Générales du service concerné par les opérations de traitement sous-traitées.
4. Transferts
En cas d’instruction donnée par le Client impliquant un transfert de DCP vers un pays hors Union européenne, le Client garantit DL Négoce que ces éventuels transferts seront réalisés dans le respect des conditions posées par la Législation DCP.
De son côté, DL Négoce s’engage, sauf dans les cas où elle en a l’obligation légale comme indiqué ci-dessus, à n’effectuer un transfert de DCP en dehors de l’Union Européenne qu’avec l’autorisation préalable du Client et à condition que ce transfert soit fondé (i) sur une décision de la Commission européenne constatant que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat, ou (ii) sur des Clauses Contractuelles Types de la Commission Européenne, le Client mandatant DL Négoce pour signer avec ses sous-traitants situés hors Union Européenne lesdites Clauses Contractuelles Types au nom et pour le compte du Client, ou (iii) sur les garanties appropriées décrites à l’article 46 du RGPD ou (iv) sur l’une des conditions posées par l’article 49 du RGPD.
5. Audit
Le Client, au cours de l’exécution des Conditions Générales, dans la limite d’une (1) fois par année contractuelle, a la possibilité de procéder à ses frais et sous sa responsabilité à un audit ayant pour objet de vérifier la conformité des prestations de sous- traitance de Données à Caractère Personnel effectuées par DL Négoce pour le compte du Client.
Cet audit est notifié par le Client à DL Négoce par lettre recommandée avec accusé de réception détaillant les documents demandés et, le cas échéant, le protocole qui sera déroulé, les méthodes utilisées et données auditées, trente (30) jours ouvrés avant la date projetée de sa mise en œuvre.
Il est expressément convenu entre les Parties qu’est privilégiée, dans la mesure du possible, la réalisation d’un audit sur pièces et qu’un audit sur place sera programmé si les éléments mis à la disposition par
DL Négoce ne s’avéraient pas suffisants pour démontrer le respect de ses obligations au titre de la présente clause.
Dans ce second cas de figure, le Client assume les frais supplémentaires résultants notamment de la nécessité d’un renforcement des effectifs pour permettre la réalisation de l’audit et la continuité de l’activité de DL Négoce.
L’audit est effectué par le Client ou par un tiers désigné par lui, à la triple condition que ce tiers ne soit pas un concurrent direct ou indirect de DL Négoce, qu’il soit soumis au secret professionnel et qu’il ait conclu un accord de confidentialité dont copie sera remise à DL Négoce pour approbation.
Il est par ailleurs entendu que cette démarche d’audit exclut toute communication de documents de nature financière, comptable ou tenant aux relations de DL Négoce avec d’autres clients. L’audit sera mené durant les heures de travail de DL Négoce. Le Client reste seul responsable des éventuelles conséquences de cet audit sur la fourniture des prestations de services objet du Contrat. Les résultats d’audit feront l’objet d’un débat contradictoire et d’une validation par les Parties. Le Client ne pourra communiquer tout ou partie de cet audit sans l’autorisation écrite de DL négoce. Les frais d'audit demeureront à la charge du Client, ainsi que les éventuels frais engagés et temps passé par DL Négoce.
6. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, DL Négoce s’engage à détruire ou restituer les Données du Client dans les conditions prévues à l’Annexe X.
7. Annexe
Les Parties conviennent d’ajouter l’Annexe X – Description du (ou) des traitement(s) de données à caractère personnel faisant l’objet de la sous- traitance.
(lu et approuvé) Le :
Signature client :
Annexe X – Traitement de Données à Caractère Personnel Description du traitement faisant l’objet de la sous-traitance
DL Négoce en tant que sous-traitant au sens de la Législation DCP, réalise pour le compte du Client responsable de traitement au sens de la Législation DCP, un traitement de DCP détaillé dans la présente Annexe.
Le traitement est réalisé pour fournir le/les service(s) suivant(s) :
- Hébergement,
- Maintenance/Assistance : service Hotline
- Reprise de données,
- Formation,
- Développement spécifique.
Les opérations réalisées sur les données par le Prestataire sont :
La collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Le traitement a la/les finalité(s) suivantes :
La mise en application dans le logiciel de Gestion Commerciale et de comptabilité : gestion des stocks, commande approvisionnement fournisseurs, émission de devis, bon de livraison, factures, traitements relatifs aux clients et prospects, paiements sous diverses formes, géolocalisation crm, planification livraison, relance clients, mailing, comptabilité.
Les données à caractère personnel traitées sont :
nom, prénom, n° téléphone, relevé d’identité bancaire, adresse postale, adresse mail et profession.
Les catégories de personnes concernées sont :
Les clients, les prospects, les collaborateurs et les contacts des fournisseurs.
Le Client, pour l’exécution du présent contrat, met à la disposition du Prestataire les informations suivantes :
Toutes les informations utiles déterminées par les Parties à d’un contact dédié pour le fonctionnement du logiciel.
Mesures de sécurité mises en place :
Sécurité sur les extractions et la manipulation des DCP et possibilité de cryptage des données.