Conditions générales d’hébergement et de sauvegarde de données à caractère personnel dans le cadre du Règlement Général de Protection des Données
Conditions générales d’hébergement et de sauvegarde de données à caractère personnel dans le cadre du Règlement Général de Protection des Données
Entrant en vigueur le 25 mai 2018
Version 1.1 – Mise à jour le 14 février 2020
Contexte et Objet
Le Client, Responsable de Traitement, a souscrit à un ou plusieurs services auprès d’Inovagora, dans le cadre d’un Contrat particulier.
Le Client héberge des données à caractère personnel sur les serveurs d’Inovagora ce qui donne à Inovagora le statut, conformément à la doctrine de la CNIL, de Sous-Traitant. C’est en ce terme qu’il sera qualifié dans les articles suivants.
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-Traitant s’engage à effectuer pour le compte du Responsable de Traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » dit RGPD).
Il est rappelé que dans le cadre de sa relation commerciale avec le Responsable de Traitement, Inovagora se limite à fournir de l’espace d’hébergement et de sauvegarde et n’intervient jamais directement sur les données à caractère personnel du client, en aucun cas Inovagora ne manipulera les données à caractère personnel du client, en dehors de ces traitements sauf demande spécifique du Responsable de Traitement.
En sa qualité d’hébergeur, Inovagora n’a pas d’obligation générale de surveillance du contenu qu’il héberge et, sauf souscription à un service particulier, ignore donc si ses clients hébergent des données à caractère personnel sur ses services.
Description du traitement faisant l’objet de la sous-traitance
Le Sous-Traitant est autorisé à héberger et à sauvegarder, pour le compte du Responsable de Traitement, les données à caractère personnel.
La nature des opérations réalisées sur les données est l’hébergement des données et la sauvegarde des données.
Les finalités du traitement sont ignorées par le Sous-Traitant, conformément à l’article 6-1-2 de la loi n°2004- 575 du 21 juin 2004. Le Responsable de Traitement peut toutefois, sous réserve de la mise en place d’un service distinct, porter à la connaissance du Sous-Traitant les données à caractère personnel qu’il héberge sur les serveurs du Sous-Traitant.
Les données à caractère personnel traitées sont ignorées par le Sous-Traitant, conformément à l’article 6-1-2 de la loi n°2004-575 du 21 juin 2004. Le Responsable de Traitement peut toutefois, sous réserve de la mise en place d’un service distinct, porter à la connaissance les données à caractère personnel qu’il héberge sur les serveurs gérés par le Sous-Traitant.
Les catégories de personnes concernées sont ignorées par le Sous-Traitant, conformément à l’article 6-1-2 de la loi n°2004-575 du 21 juin 2004. Le Responsable de Traitement peut toutefois, sous réserve de la mise en place d’un service distinct, porter à la connaissance les données à caractère personnel qu’il héberge sur les serveurs gérés par le Sous-Traitant.
Obligations du Sous-Traitant vis-à-vis du Responsable de Traitement
Le Sous-Traitant s'engage à :
- traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance, à savoir héberger et sauvegarder les données, qu’il s’agisse des serveurs de production et/ ou des serveurs de sauvegarde.
- traiter les données conformément aux services souscrits par le Client. Si le Sous-Traitant considère qu’une instruction constitue une violation de toute disposition légale en vigueur, il en informe immédiatement le Responsable de Traitement. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit applicable, il doit informer le Responsable de Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Contrat (dans la mesure où le Responsable de Traitement ne rend pas son hébergement accessible à des tiers non autorisés et veille à ce que les mesures de sécurité permettant la confidentialité soient prises, puisque le client a un total accès sur les données à caractère personnel hébergées par le Sous-Traitant)
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Contrat :
o s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
o reçoivent la formation nécessaire en matière de protection des données à caractère personnel
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
Sous-traitance
Le Sous-Traitant est autorisé à faire appel aux entités suivantes :
- O2Switch SARLU
- Aqua Ray SAS
- OVH SAS
- Amazon Web Services EMEA SARL
(ci-après, les « Sous-Traitants ultérieurs ») pour mener les activités de traitement suivantes :
- Mise à disposition d’espace d’hébergement et de stockage
L’ensemble des Sous-Traitants ultérieurs sont reconnus comme des acteurs majeurs de la mise à disposition de solutions d’hébergement et de stockage et possèdent leurs serveurs dont le Sous- Traitant fait usage, sur le territoire de l’Union Européenne, plus précisément en France.
En cas de recrutement d’autres Sous-Traitants ultérieurs, le Sous-Traitant doit recueillir l’autorisation écrite, préalable et spécifique du Responsable de Traitement.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant et les dates du Contrat de sous-traitance.
Le Responsable de Traitement dispose d’un délai maximum de 15 jours à compter de la date de réception de cette information pour présenter ses objections.
Cette sous-traitance ne peut être effectuée que si le Responsable de Traitement n'a pas émis d'objection pendant le délai convenu.
Les Sous-Traitants ultérieurs sont tenus de respecter les obligations du présent Contrat pour le compte et selon les instructions du Responsable de Traitement. Il appartient au Sous-Traitant initial de s’assurer que le Sous-Traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement Général sur la Protection des Données. Si les Sous-Traitants ultérieurs ne remplissent pas ses obligations en matière de protection des données, le Sous-Traitant initial demeure pleinement responsable devant le Responsable de Traitement de l’exécution par les autres Sous-Traitants de ses obligations.
Droit d’information des personnes concernées
Il appartient au Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Exercice des droits des personnes
Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse indiqué par le Client au moment de la souscription des services.
Notification des violations de données à caractère personnel
Le Sous-Traitant notifie au Responsable de Traitement toute violation de données à caractère personnel dans un délai maximum de 48h après en avoir pris connaissance et par courrier électronique à l’adresse indiquée par le client au moment de la souscription des services.
Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du Délégué à la Protection des Données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le Responsable de Traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Le Responsable de Traitement assume la communication auprès des personnes concernées des violations des données à caractère personnel. Il est rappelé que le Sous-Traitant n’a pas connaissance des données à caractère personnel qu’il héberge et qu’il n’est donc pas susceptible de déterminer si une violation des données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
Aide du Sous-Traitant dans le cadre du respect par le Responsable de Traitement de ses obligations
Le Sous-Traitant aide, dans la mesure de ses attributions, le Responsable de Traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Le Sous-Traitant aide, dans la mesure de ses attributions, le Responsable de Traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
Mesures de sécurité
Le Sous-Traitant s’engage spécifiquement à respecter l’ensemble des obligations de sécurité (notamment imposées par l’article 32) dans le traitement des données personnelles opérées pour le compte du Responsable de Traitement.
Sort des données à l’issue de la relation commerciale
Au terme de la prestation de services relatifs à l’hébergement et à la sauvegarde de ces données, le Sous-Traitant s’engage à :
Au choix des parties :
- détruire toutes les données à caractère personnel ou
- à renvoyer toutes les données à caractère personnel au Responsable de Traitement ou
- à renvoyer les données à caractère personnel au Sous-Traitant désigné par le Responsable de Traitement
Le renvoi s’accompagne de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant. Une fois détruites, le Sous-Traitant justifie par écrit de la destruction.
Obligations du Responsable de Traitement vis-à-vis du Sous-Traitant
Le Responsable de Traitement s’engage à :
- documenter par écrit toute instruction concernant le traitement des données par le Sous- Traitant
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-Traitant
- superviser le traitement auprès du Sous-Traitant conformément au Contrat
Portée des conditions générales d’échange de données
Les présentes conditions générales d’hébergement de données à caractère personnel dans le cadre du Règlement général de protection des données et les Conditions Générales ou le Contrat particulier conclu avec le Client forment un document contractuel unique.
Toutes les stipulations des Conditions Générales ou du Contrat particulier auxquelles les présentes Conditions Générales d’hébergement de données à caractère personnel ne déroge pas ou non contradictoires avec les termes des Conditions Générales d’hébergement de données à caractère personnel demeurent pleinement applicables entre les parties. En cas de divergence entre les Conditions Générales et les présentes Conditions Générales d’hébergement de données à caractère personnel, les présentes Conditions Générales d’hébergement de données à caractère personnel prévaudront à compter de leur date d’entrée en vigueur.
Si l'une des stipulations des conditions générales d’hébergement de données à caractère personnel s'avérait nulle, au regard d'une règle de droit en vigueur ou d'une décision judiciaire devenue définitive, elle serait réputée non écrite, sans pour autant entraîner la nullité des présentes conditions générales d’hébergement de données à caractère personnel ni altérer la validité de ses autres dispositions