Préambule

Le client utilisateur est responsable d’un traitement de données personnelles régi par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Ce règlement est ci-après désigné le RGPD.

Le traitement de données personnelles est également régi par la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée).

Le responsable du traitement souhaite confier au sous-traitant un traitement de données personnelles, conformément à l’article 28 du RGPD. Les parties s’engagent à se conformer strictement au RGPD, qui s’appliquera en toute circonstance, nonobstant toute éventuelle stipulation contraire.

Déclaration du sous-traitant

Le sous-traitant déclare qu’il présente les garanties nécessaires quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

Caractéristiques du traitement de données personnelles

Le responsable du traitement en définit comme suit les caractéristiques.

• Objet du traitement – Le traitement a pour objet le suivi comportemental sur site internet des visiteurs ayant donné leur consentement (acceptation des cookies), la récolte d’informations démographiques.
• Durée du traitement – Le traitement est effectué à compter du jour de l’ouverture du compte (voir contrat), jusqu’à son expiration (voir contrat).
• Nature et finalité du traitement – Le traitement des données utiles a pour finalité le bon suivi commercial, leur segmentation automatisée et l’envoi d’informations adaptées à leur profil et leur besoin.
• Type de données à caractère personnel – Propre à l’usage et à la configuration du responsable du traitement. Il s’assurera de respecter les principes de Privacy by design et Privacy by default requis par l’article 25 du RGPD.
• Catégories de personnes concernées – Prospects, clients et partenaires.

Le responsable du traitement s’assure que pour justifier et détailler les 5 éléments sus-cités, il a mis en place le registre des activités de traitement prévus par l’article 30 du RGPD.

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement comprenant :

• le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels Sous-traitants et, le cas échéant, du délégué à la protection des données ;
• les catégories de Traitements effectués pour le compte du Responsable du traitement ;
• le cas échéant, les transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles selon les besoins.

Obligations et droits du responsable du traitement

Le responsable du traitement détermine les finalités et les moyens du traitement de données personnelles.

Le responsable du traitement garantit que le traitement est licite et que les données personnelles sont collectées et traitées par ses soins conformément au RGPD et à la loi française. Le responsable du traitement garantit en particulier qu’il fournit les informations requises aux personnes concernées par les opérations de traitement, au moment de la collecte de données lorsque des données à caractère personnel sont collectées auprès de la personne concernée, ou dans les délais requis lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, conformément aux articles 12 à 14 du RGPD. Le responsable du traitement garantit le sous-traitant contre les conséquences d’un éventuel manquement du responsable du traitement à ses obligations au titre du RGPD.

Le responsable du traitement communiquera au sous-traitant toutes les informations nécessaires pour lui permettre d’effectuer ses services en conformité avec le RGPD et la loi française.

Obligations du sous-traitant

Le sous-traitant ne détermine en aucun cas les finalités et les moyens du traitement. À défaut, il est considéré comme un responsable du traitement pour ce qui concerne le traitement concerné.

Le sous-traitant et toute personne agissant sous son autorité ayant accès à des données à caractère personnel, ne peuvent pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligés par le droit de l’Union européenne ou le droit d’un État membre.

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers à l’Union européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’État membre de l’Union européenne auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Le sous-traitant prend toutes les mesures requises en vertu de l’article 32 du RGPD.

Le sous-traitant tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées par le traitement le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD.

Le sous-traitant aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du RGPD ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

En cas de violation des données personnelles

Le Sous-traitant notifie au Responsable de traitement toute Violation de Données dans les meilleurs délais après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Il revient au seul Client, en sa qualité de Responsable du traitement, de notifier cette Violation de Données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée. Le Sous-traitant s’abstient de communiquer sur l’incident sauf demande contraire du Responsable de traitement.

Le Sous-traitant communique, au nom et pour le compte du Responsable de traitement, la Violation de Données à la Personne Concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La communication à la Personne Concernée décrit, en des termes clairs et simples, la nature de la Violation de Données et contient au moins :

• la description de la nature de la Violation de Données y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données à Caractère Personnel concernées ;
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la Violation de Données ;
• la description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la Violation de Données, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

En outre, le Prestataire s’engage à prendre toutes les mesures nécessaires pour corriger toute Violation de Données dans les plus brefs délais. A cet égard, le Prestataire tient le Responsable informé au fur et à mesure des actions entreprises.

Conservation et destruction des données

Selon le choix du responsable du traitement, le sous-traitant supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union européenne ou le droit applicable d’un État membre n’exige la conservation des données à caractère personnel.

Audit

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent contrat et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Autre sous-traitant

Le sous-traitant respecte les conditions suivantes pour recruter un autre sous-traitant.

Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le présent contrat, sont imposées à cet autre sous-traitant par contrat ou le cas échéant au moyen d’un autre acte juridique au titre du droit de l’Union européenne ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Durée

Le présent contrat sera en vigueur pendant toute la durée de détention des données personnelles par le sous-traitant. Il régira la sous-traitance des données personnelles visées ici, à toute époque y compris après son terme.

Droit applicable et clause attributive de compétence

Le présent contrat est soumis au droit français et à la compétence exclusive des juridictions territorialement compétentes pour la ville d’Annecy, France.