ci-après, « le responsable de traitement »)
SACoche – Conditions de sous-traitance dans le cadre du RGPD
Entre
L’établissement ………………………………………………………………… situé à …………………………………………………………………
représenté par ………………………………………………………………………………………………….
(ci-après, « le responsable de traitement »)
d'une part, ET
Association Sésamath, représentée par son président
xxxx://xxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxxxxxx_xxxxxxx
(ci-après, « le sous-traitant »)
d’autre part,
I. Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer, pour le compte du responsable de traitement, les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD : « règlement européen sur la protection des données »).
II. Description du traitement faisant l’objet de la sous-traitance
Le sous-traitant est autorisé à traiter, pour le compte du responsable de traitement, les données à caractère personnel nécessaires pour héberger et utiliser l’application SACoche (xxxxx://xxxxxxx.xxxxxxxx.xxx).
La principale finalité du traitement est le suivi d’évaluations par compétences d’élèves de l'établissement.
La nature des opérations réalisées sur les données est leur hébergement, la collecte de saisies, la génération de bilans et de fichiers associés.
Les catégories de personnes concernées sont les élèves, leurs représentants légaux, et les personnels de l’établissement.
xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx#xxxxxx_xxxxxxxx_xxxxxxxxxxx
Les données à caractère personnel pouvant être traitées sont : civilité, nom , prénom, date de naissance, courriel, identifiants de connexion, identifiant de jointure avec un ENT, identifiants SIECLE / ONDE, date et heure de connexion, données scolaires (notes, positionnements, appréciations), nombre d’absences et retards, photo (trombinoscope), liens de responsabilité et adresse postale pour les représentants légaux.
xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx#xxxxxx_xxxxxx_xxxxxxx
Pour l’exécution du service objet du présent contrat, le responsable de traitement peut importer des données issues d’autres applications telles SIECLE, ONDE, ou son ENT.
III. Durée du contrat
Le présent contrat entre en vigueur à compter de la date portée sur ce document, ou à défaut de celle de la demande d’hébergement formulée.
Il prend fin sans préavis à la demande de résiliation de l’inscription par le responsable de traitement, ou à l’initiative du sous-traitant en cas d’inutilisation prolongée constatée.
IV. Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant s'engage à :
1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous- traitance.
2. Traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du RGPD, il en informe immédiatement le responsable de traitement.
3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat.
4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
5. Prendre en compte, s’agissant de ses outils, applications ou services, les principes de protection des données dès la conception, et de protection des données par défaut. xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxxxxxxxxx faq_utilisation securite
6. Sous-traitance : le sous-traitant est autorisé à faire appel à la société OVH pour l’hébergement des données, et à la société d’infogérance Bearstech pour la maintenance éventuelle du serveur. xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx#xxxxxx_xxxxxxx
7. Fournir aux personnes concernées l’information relative aux traitements de données qui sont réalisées (droit d’information des personnes). xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx#xxxxxx_xxxxxxxxxxx_xxxxxxxxx
8. Aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement… Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes au responsable de traitement de l’établissement.
9. En cas de violation de données à caractère personnel dont il aurait connaissance, le notifier immédiatement au responsable de traitement (indiquer les données concernées, le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises pour y remédier ou en atténuer les conséquences), accompagné de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de le signaler à l’autorité de contrôle compétente (s’il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu).
10. Mettre en œuvre les mesures de sécurité suivantes : connexion et navigation avec le protocole HTTPS, base de données hébergée en France dans un environnement sécurisé. xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx#xxxxxx_xxxxxxx_xxxxxxxx
11. Supprimer toutes les données personnelles de l’établissement au terme de la prestation de services. Les sauvegardes de sécurité, conservées 1 an, peuvent aussi être supprimées sans attendre sur simple demande auprès du sous-traitant. xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx#xxxxxx_xxxxx_xxxxxxxxxxxx
Le sous-traitant confirmera par courriel la suppression effective des données.
12. Communiquer au responsable de traitement le nom et les coordonnées de son délégué à la protection des données.
xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx#xxxxxx_xxxxxxx
13. Tenir par écrit un registre des demandes d’intervention auprès du support nécessitant une analyse des données personnelles (c’est la seule catégorie d’activités de traitement effectuées pour le compte du responsable de traitement, en dehors de la demande d’hébergement initiale). xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx&xxxxxxxxxxxxxxx_xxxxxxxxxxxx_xxxxxxx
14. Mettre à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et permettre la réalisation d'audits, ainsi que contribuer à ces audits. xxxxx://xxxxxxx.xxxxxxxx.xxx/xxxxx.xxx?xxxxxxxxx
V. Obligations du responsable de traitement vis-à-vis du sous-traitant
Le responsable de traitement s’engage à :
1. Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant.
2. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant.
3. Superviser le traitement.
Date : ………………………………………………
Le sous-traitant
L’association Sésamath, représentée par son président.
Le responsable de traitement
Nom : …………………………………………………………………
Fonction : …………………………………………………………………
Signature :
- 1 exemplaire à conserver par l’établissement
- 1 exemplaire à retourner numérisé à l’adresse xxxxxxxxxxx@xxxxxxxx.xxx