Accord sur le traitement des données personnelles ("Accord")
Accord sur le traitement des données personnelles ("Accord")
Sauf définition contraire ci-dessous, tous les termes en majuscules utilisés dans le présent Accord ont le sens qui leur est donné dans les Conditions Générales d'Utilisation.
ATTENDU QUE
(A) Conformément à l'article 4.3 des Conditions, vous (le "Responsable de Traitement") avez désigné Impact Track (le "Sous-traitant ") pour fournir les Services via la Plateforme. Dans le cadre de l'exécution de ses obligations au titre des Conditions, le Sous-traitant collectera et traitera les Données Personnelles d'Impact pour le compte du Responsable de Traitement.
(B) Le Responsable de Traitement restera le Responsable de Traitement en ce qui concerne le traitement des Données Personnelles d'Impact et le Sous-traitant n'a aucun contrôle indépendant sur les données à traiter par le Sous-traitant pour le compte du Responsable de Traitement.
(C) Le présent Accord est mis en place pour garantir que le Sous-traitant collecte et traite les Données Personnelles d'Impact pour le compte du Responsable de Traitement conformément aux instructions du dernier, au présent Accord et à toutes les lois applicables en matière de protection des données personnelles dont le RGPD ("Xxxx Applicables en matière de Protection des Données").
Il est convenu ce qui suit :
1. Définitions
1.1 Aux fins du présent Accord, les termes suivants ont la signification ci-après :
(a) "Accord" désigne le présent accord sur le traitement des données personnelles, y compris ses annexes ;
(b) "Autorité" désigne l'Autorité Française de Protection de Données Personnelles (la Commission Nationale de l'Informatique et des Libertés et ses héritiers) ;
(c) "Demandes de Personnes Concernées" désigne toute demande d'accès, de rectification, de modification, de suppression ou de portabilité de données personnelles ou de limitation ou d'opposition au traitement de données personnelles, ou tout autre droit accordé aux personnes concernées par le RGPD;
(d) "Date d'Entrée en Vigueur" désigne la date à laquelle vous acceptez les Conditions conformément à l'article 2.2 des Conditions ;
(e) "Faille de Sécurité" désigne toute violation réelle ou suspectée des données personnelles, tout accès non autorisé, toute perte, mauvaise utilisation, tout dommage ou toute autre faille de sécurité, violation de la confidentialité ou violation de l'intégrité des données personnelles traitées par le Sous-traitant ou son (ses) sous-traitant(s) ultérieur(s) pour le compte du Responsable de Traitement.
1.2 Dans le présent Accord, les termes "personne concernée", "données personnelles", "traitement", "violation de données personnelles" et "analyse d'impact relative à la protection des données" sont ceux définis dans le RGPD.
2. Perimetre du traitement
Les détails du traitement effectué par le Sous-traitant sont présentés à l'Annexe 1.
3. DUREE DE L'ACCORD
Le présent Accord sera applicable à compter de la Date d'Entrée en Vigueur des Conditions et restera en vigueur jusqu'à la suppression de toutes les Données Personnelles d'Impact par le Sous-traitant, et expirera automatiquement après cette suppression, sauf instruction contraire du Responsable de Traitement.
4. les obligations du Responsable de Traitement
4.1 Le Responsable de Traitement devra obtenir et maintenir tout consentement requis pour la collecte et le traitement des Données Personnelles d'Impact et se conformera à toutes les autres obligations découlant des Lois Applicables en matière de Protection des Données en ce qui concerne le traitement des Données Personnelles d'Impact.
4.2 Le Responsable de Traitement reconnaît qu'il lui appartient exclusivement de déterminer l'adéquation des mesures de sécurité par rapport au traitement des Données Personnelles d'Impact.
5. OBLIGATIONS DU SOUS-TRAITANT
5.1 Instructions et conseil
Le Sous-traitant devra:
(a) n'agir que sur la base d'instructions et de directives documentées du Responsable de Traitement, qu'il peut modifier à tout moment, conformément au présent Accord. Le Responsable de Traitement peut à tout moment suspendre le traitement du Sous-traitant.
(b) procéder au traitement des données personnelles uniquement dans le but de fournir les Services et ne pas traiter les données personnelles pour ses propres besoins sans le consentement écrit préalable du Responsable de Traitement ;
(c) tenir un registre des activités de traitement réalisées au terme du présent Accord et le mettre à disposition de l'Autorité en cas de demande, conformément à l'article 30 du RGPD ; et
(d) se conformer à tout avis spécifique des autorités adressés au Sous-traitant en matière de traitement des Données Personnelles d'Impact, sous réserve d'en notifier préalablement le Responsable de Traitement.
Le Sous-traitant n'est pas responsable des dommages ou préjudices résultant de sa conformité aux instructions reçues de la part du Responsable de Traitement.
5.2 Notification
Sauf obligation contraire (auquel cas le Sous-traitant informe l'Autorité et se conforme aux instructions données par l'Autorité), le Sous-traitant devra immédiatement informer le Responsable de Traitement ou son représentant européen :
(a) S'il a connaissance d'une Faille de Sécurité ;
(b) S'il reçoit une demande de divulgation de données ;
(c) Si le droit applicable auquel il est soumis l'oblige à traiter les données personnelles autrement que conformément aux instructions du Responsable de Traitement et au présent Accord ;
(d) S'il considère qu'une instruction lui ayant été donnée par le Responsable de Traitement porte atteinte aux Lois Applicables en matière de Protection des Données, le présent Accord ou toute autre loi applicable à laquelle il est soumis ; ou
(e) S'il reçoit une réclamation, une demande ou toute autre forme de communication de la part d'une personne concernée ou de la part de l'Autorité, y compris les Demandes de Personnes Concernées sans répondre à ladite réclamation, demande ou communication.
5.3 Assistance et coopération
Le Sous-traitant fournira une assistance raisonnable et coopérera avec le Responsable de Traitement pour se conformer aux obligations qui incombent au Responsable de Traitement en vertu des Lois Applicables en matière de Protection des Données, notamment les obligations suivantes :
(a) réaliser des enquêtes, remédier à ou notifier rapidement l'Autorité et/ou les personnes concernées en cas de violations des données personnelles ;
(b) effectuer des analyses d'impact sur la protection des données ou des audits des traitements de données personnelles effectués par le Sous-traitant pour le compte du Responsable de Traitement ;
(c) répondre aux Demandes des Personnes Concernées ainsi qu'aux réclamations et demande de l'Autorité ; et
(d) consulter l'Autorité avant le traitement en ce qui concerne les activités de traitement faisant l'objet d'analyses d'impact sur la protection des données.
En tout état de cause, le Responsable de Traitement est seul responsable de l'exécution de ses obligations conformément aux Lois Applicables en matière de la Protection des Données.
5.4 Le personnel du Sous-traitant
Le Sous-traitant garantit que toutes les personnes ayant accès aux Données Personnelles d'Impact, ou impliquées d'une quelconque manière dans le traitement des Données Personnelles d'Impact, au nom du ou selon les instructions du Sous-traitant, sont informées des instructions du Responsable de Traitement et de la confidentialité des Données Personnelles d'Impact, à cet égard, le Sous-traitant :
(a) prendra des mesures raisonnables pour s'assurer de la fiabilité de toutes ces personnes ;
(b) s'assurera que toutes ces personnes ont signé un accord de confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;
(c) s'assurera que toutes ces personnes préserveront la confidentialité des Données Personnelles d'Impact après la résiliation du présent Accord et/ou après l'achèvement des activités de traitement ;
(d) s'assurera qu'aucune de ces personnes ne traitera les Données Personnelles d'Impact sauf instruction du Responsable de Traitement ; et
(e) formera ces personnes aux obligations émanant du présent Accord et des Lois en matière de Protection des Données, et veillera à ce que ces personnes soient informées de ces obligations et s'y conforment.
5.5 Mesures de sécurité des données
Le Sous-traitant s'engage à :
(a) ne pas divulguer les Données Personnelles d'Impact à un tiers à moins que (a) cela ne soit strictement nécessaire pour la fourniture des Services, (b) cela ne soit nécessaire pour se conformer à la loi applicable à laquelle il est soumis, ou (c) le Responsable de Traitement n'ait donné son consentement écrit préalable ;
(b) ne pas traiter les Données Personnelles d'Impact en dehors des systèmes informatiques déterminés par le Responsable de Traitement et à utiliser toutes les mesures techniques de sécurité mises en place par le Responsable de Traitement afin de sécuriser les Données Personnelles d'Impact ;
(c) mettre en œuvre et maintenir toutes les mesures organisationnelles et techniques appropriées :
(i) pour protéger la sécurité et la confidentialité des Données Personnelles d'Impact traitées par le Sous-traitant dans le cadre des Services ; et
(ii) protéger les Données Personnelles d'Impact contre tout traitement accidentel ou illicite, y compris la destruction ou la perte, l'altération, la divulgation ou l'accès non autorisé,
en tenant compte de la nature des risques éventuels et du niveau de dommage et/ou de préjudice qu'une personne concernée pourrait subir en cas de violation
de la confidentialité ou de traitement accidentel ou illicite. Ces mesures devront inclure les mesures de sécurité telles que prévues par les Parties à l'Annexe 2.
(d) aviser le Responsable de Traitement de la survenance d'une Faille de Sécurité et coopérer avec lui dans le traitement et la gestion de toute obligation raisonnable qui pourrait s'appliquer au Responsable de Traitement à la suite d'une Faille de Sécurité et ce dans les meilleurs délais.
6. Les droits des personnes concernees
6.1 Le Sous-traitant mettra en place les mesures techniques et organisationnelles nécessaires pour aider le Responsable du traitement à se conformer à son obligation de répondre aux Demandes des Personnes Concernées.
6.2 Le Sous-traitant informera immédiatement le Responsable de Traitement de toutes les Demande des Personnes Concernées reçues directement des personnes concernées. Le Responsable de Traitement sera seul responsable pour répondre aux Demandes des Personnes Concernées transmise par le Sous-traitant.
7. Audits
7.1 Le Sous-traitant mettra à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer que le Sous-traitant respecte les obligations énoncées dans le présent Accord.
7.2 Le Sous–traitant devra autoriser et contribuer à la conduite d’audits, y compris des inspections, par le Responsable de Traitement ou par un auditeur mandaté par le Responsable de Traitement. La fréquence de tels audits sera conduite à des intervalles raisonnables (i.e. une fois par an au maximum), avec un préavis d'au moins trente (30) jours. Le Responsable de Traitement devra assumer les couts liés à ces audits.
8. Sous-traitance
8.1 Le Responsable de Traitement autorise le Sous-traitant à engager des autres sous- traitants afin de respecter ses obligations au titre du présent Accord. Les informations sur ces sous-traitants sont précisées à l'Annexe 1.
8.2 Lorsqu'il engage un autre sous-traitant, le Sous-traitant devra s'assurer que ce sous- traitant est lié par un contrat écrit imposant les mêmes obligations que celles du présent Accord.
8.3 Le Sous-traitant demeure pleinement responsable de l’exécution des obligations de son sous-traitant ainsi que pour tous ses actes et omissions.
8.4 Le Responsable du traitement peut s'opposer au recours à un nouveau sous-traitant tel que proposé par le Sous-traitant en avisant le Sous-traitant par écrit dans les dix (10) jours suivant la réception de l'avis écrit du Sous-traitant précisant le nom du sous-traitant concerné et les activités qu'il effectuera. Le Sous-traitant doit aviser le Responsable de Traitement dans les trente (30) jours suivant la réception de l'avis d'opposition du Responsable de Traitement de sa décision finale concernant le recours au sous-traitant en question. Le Responsable de Traitement peut résilier son abonnement en avisant par écrit le Sous-traitant dans les quinze (15) jours suivant la réception de l'avis de son intention d'engager le sous-traitant en question et, à titre de seul et unique recours du
Responsable de Traitement, le Sous-traitant remboursera au prorata les frais d'abonnement prépayés couvrant le reste des Services indiqués sur le bon de commande correspondant après la date d'entrée en vigueur de la résiliation.
9. Transfert de donnees
9.1 Si le stockage et/ou le traitement des Données Personnelles d'Impact par le Sous-traitant implique le transfert de ces données à un autre sous-traitant établi en dehors de l'Espace Economique Européen (EEE), le Sous-traitant s'assurera que le sous-traitant en question respecte les mécanismes légaux de transfert de données tels qu'approuvés par la Commission européenne, notamment les clauses contractuelles types de l'UE et le Bouclier de protection des données UE-États-Unis.
9.2 Une liste des transferts des Données Personnelles d'Impact autorisés par le Responsable de Traitement à la conclusion des Conditions et du présent Accord est disponible sur xxxxx://xxxxxxxxxxx.xxx/xx/xxxxx-xxxxxx/. Le Sous-traitant notifiera promptement le Responsable de Traitement de tout transfert permanent ou provisoire des Données Personnelles d'Impact en dehors de l'EEE, qui peut être refusé par le Responsable de Traitement conformément à l'article 8.4 du présent Accord.
10. Responsabilite civile
La responsabilité totale combinée de l'une ou de l'autre des parties en vertu de l'Accord sera limitée au plafond de responsabilité établi à l'Article 14.2 des Conditions.
11. Suppression des donnees personnelles d'impact
11.1 En cas de résiliation ou d'expiration de l'abonnement aux Services par le Responsable de Traitement, le Responsable de Traitement conservera la possibilité de récupérer les Données Personnelles d'Impact dans les trente (30) jours suivant la date effective de résiliation ou d'expiration. Après cette période de trente (30) jours, le Sous-traitant supprimera toutes les Données Personnelles d'Impact, à moins que la loi, les tribunaux ou les exigences réglementaires ne l'interdisent.
11.2 Si le Sous-traitant ne peut pas supprimer ou restituer les Données Personnelles d'Impact en raison d'exigences légales ou réglementaires, il en informera immédiatement le Responsable de Traitement et prendra toutes les mesures nécessaires afin de garantir que les Données Personnelles d'Impact concernées restent confidentielles et ne soient pas traitées ultérieurement.
12. LOI ET JURIDICTION APPLICABLE
12.1 Le présent Accord et tout litige ou réclamation découlant de ou en relation avec celui-ci ou son objet ou sa formation (y compris les litiges ou réclamations non contractuels) seront régis par le droit français.
12.2 Les Parties conviennent irrévocablement que les tribunaux de Paris seront seuls compétents pour régler tout litige ou réclamation découlant du présent Accord ou de son objet ou de sa formation (y compris les litiges ou réclamations non contractuels).
Annexe 1
Détails concernant les traitements de Données Personnelles d'Impact
Nature et finalite du traitement de donnees
Le Sous-traitant traitera les Données Personnelles d'Impact afin de fournir les Services conformément aux Conditions.
Personnes concernees
Les personnes concernées incluent les personnes dont les données personnelles sont collectées par le Sous-traitant pour le compte du Responsable de Traitement via la Plateforme ou directement soumises par le Responsable de Traitement aux Services.
Categories de donnees personnelles
Les catégories des Données Personnelles d'Impact seront déterminées uniquement par le Responsable de Traitement.
CATEGORIES PARTICULIERES DE DONNEES PERSONNELLES
Des catégories particulières de données personnelles peuvent être collectées et traitées par le Sous-traitant selon les instructions du Responsable de Traitement, dont l'étendue sera uniquement déterminée par le Responsable de Traitement conformément à la Loi Applicable en matière de Protection des Données.
DUREE DU TRAITEMENT
Le Sous-traitant traitera les Données Personnelles d'Impact pendant la durée nécessaire à la fourniture des Services conformément aux Conditions et aux instructions du Responsable de Traitement, à moins que la Loi Applicable en matière de Protection des Données n'en dispose autrement.
Activites de traitement
Toutes les activités nécessaires à l'exécution du présent Accord, telles que, sans toutefois s'y limiter, la collecte, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition, le rapprochement ou la combinaison, la restriction, l'effacement ou la destruction.
SOUS-TRAITANTS ET TRANSFERT INTERNATIONAL
La liste des transferts des Données Personnelles d'Impact à des sous-traitants situés dans des pays tiers, y compris ceux-ci en dehors de l'EEE et n'ayant pas un niveau de protection adéquat, est disponible sur xxxxx://xxxxxxxxxxx.xxx/xx/xxxxx-xxxxxx/ .
Annexe 2 Mesures de sécurité
Le Sous-traitant s'engage à :
1. s'assurer que les Données Personnelles d'Impact ne sont accessibles qu'au personnel autorisé aux fins énoncées à l'Annexe 1 du présent Accord ;
2. prendre toutes les mesures raisonnables pour empêcher l'accès non autorisé aux Données Personnelles d'Impact par l'utilisation de contrôles d'entrée physiques et techniques (mots de passe) appropriés, de zones sécurisées pour le traitement des données et de procédures de contrôle de l'utilisation des installations relatives au traitement des données ;
3. intégrer le système et les pistes de vérification ;
4. tenir compte de tous les risques présentés par le traitement, par exemple en cas de destruction accidentelle ou illicite, de perte ou d'altération, de stockage, de traitement, d'accès ou de divulgation non autorisés ou illicites de Données Personnelles d'Impact ;
5. maintenir la capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
6. maintenir la capacité à rétablir la disponibilité et l'accès aux Données Personnelles d'Impact en temps opportun en cas d'incident physique ou technique ;
7. mettre en œuvre un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement des Données Personnelles d'Impact ;
8. surveiller la conformité sur une base continue ; et
9. mettre en œuvre des mesures visant à identifier les failles concernant le traitement des Données Personnelles d'Impact dans les systèmes utilisés pour fournir des Services au Responsable de Traitement.