Engagement de confidentialité

Le règlement (UE) 2016/679 adopté par le Parlement européen et le Conseil en date du 27 avril 2016  est applicable à compter du 25 mai 2018 (ci-après, « le Règlement »). Le Prestataire, (ci-après « Sous Traitant »), étant amené à traiter des Données à caractère personnel dans le cadre du Contrat, pour le  compte du Client (ci-après « Responsable de traitement »), les Parties souhaitent préciser les  obligations spécifiques au Sous-Traitant. Ceci exposé les Parties sont convenues de ce qui suit :

1 OBJET DES CONDITIONS GENERALES

Les présentes Conditions Générales ont pour objet de définir les conditions dans lesquelles le Sous Traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de  Traitement de Données à caractère personnel objet du Contrat. Dans le cadre de leurs relations  contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable en matière  de traitement de Données à caractère personnel et, en particulier, le Règlement. Les Conditions  Générales pourront faire l’objet de tout complément afin de prendre en compte les évolutions  ultérieures des textes applicables en application du Règlement ou autre disposition législative ou  règlementaire applicable, ce que le Sous-traitant accepte.

2 DEFINITIONS

Les définitions ci-après s’appliquent au Contrat susvisé :

2.1 DONNÉES À CARACTÈRE PERSONNEL OU DONNÉES OU DCP

Désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après  dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une  personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à  un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant  en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique,  génétique, psychique, économique, culturelle ou sociale.

2.2 RESPONSABLE DE TRAITEMENT

Désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui,  seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les  finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État  membre, le Responsable de traitement peut être désigné ou les critères spécifiques applicables à sa  désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

2.3 SOUS-TRAITANT

Désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui  traite des Données à caractère personnel pour le compte du Responsable du traitement

2.4 TRAITEMENT

Désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés  automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles  que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la  modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la  diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la  limitation, l’effacement ou la destruction.

3 DESCRIPTION DU TRAITEMENT FAISANT  L’OBJET DE LA SOUS TRAITANCE

Le Sous-Traitant est autorisé à traiter pour le compte du Responsable de traitement les Données à  caractère personnel nécessaires pour fournir le ou les service(s) définis au, et le cas échéant rappelé  en Annexe.

Sont également définis en Annexe :

• La nature des opérations réalisées sur les données,

• La finalité ou les finalités du traitement,

• Le type de données à caractère personnel traitées,

• Les catégories de personnes concernées,

• La durée du traitement.

Pour l’exécution du service objet du Contrat, le Responsable de traitement met à la disposition du  Sous-Traitant, en Annexe, les informations nécessaires suivantes :

• Le nom et les coordonnées du Responsable de traitement ou des Responsables de traitement  lorsque le traitement est opéré pour plusieurs responsables de traitement.

• Les références du Délégué à la Protection des Données du Responsable du traitement sont  définies en Annexe.

Ces informations permettront au Sous-traitant d’établir son registre dans le cas où il devrait l’établir,  lequel devra être complété par le Sous-Traitant par toutes informations complémentaires requises par  la règlementation applicable.

4 OBLIGATIONS DU SOUS TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT

Le Sous-Traitant s’engage à :

Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous traitance ;

Traiter les données conformément aux instructions documentées du Responsable de traitement  figurant, le cas échéant en Annexe ou par tout autre document accepté par les Parties. Il est ici précisé qu’à défaut, les Parties conviennent de définir la notion d’instruction comme étant  acquise lorsque le Sous-Traitant agit dans le cadre de l’exécution des présentes et du Contrat.

Si le Sous-Traitant considère qu’une instruction constitue une violation du Règlement ou de toute  autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des  Données, il s’engage à en informer immédiatement le Responsable de traitement.  Dans l’hypothèse où le Sous-Traitant serait tenu de procéder à un traitement de Données à caractère  personnel en vertu d’une disposition impérative résultant du droit communautaire ou du droit de l’Etat  membre auquel il est soumis, le Sous-Traitant informera le Responsable de traitement de cette  obligation juridique avant le traitement des Données, sauf si le droit concerné interdit une telle  information pour des motifs importants d’intérêt public.

En cas de transfert de Données à caractère personnel vers un pays tiers, n’appartenant pas à l’Union  européenne, ou vers une organisation internationale, le Sous-Traitant devra obtenir l’accord préalable  écrit du Responsable de traitement. Si cet accord est donné, le Sous-Traitant s’engage à coopérer avec  le Responsable de traitement afin d’assurer :

• Le respect des procédures permettant de se conformer à la réglementation DCP, par exemple  dans le cas où une autorisation de la part de l’autorité de contrôle compétente apparaîtrait  nécessaire ;

• Si besoin, la conclusion d’un ou plusieurs contrats permettant d’encadrer les flux  transfrontières de DCP. Le Sous-Traitant s’engage en particulier, si nécessaire, à signer de  tels contrats avec le Responsable de traitement et/ou à obtenir la conclusion de tels contrats  par ses Sous-Traitants Ultérieurs. Pour ce faire, il est convenu entre les Parties que les clauses  contractuelles types publiées par la Commission européenne seront utilisées pour encadrer les  flux transfrontières de Données.

Garantir la confidentialité des Données à caractère personnel traitées dans le cadre des présentes  Conditions Générales.

• Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu  des présentes Conditions Générales :

• S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée  de confidentialité ;

Reçoivent la formation nécessaire en matière de protection des Données à caractère personnel. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de  protection des DCP dès la conception et de protection des DCP par défaut.

4.1 SOUS TRAITANCE

Le Sous-Traitant peut faire appel à un autre sous-traitant (ci-après, « le Sous-Traitant Ultérieur »)pour  mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le  Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement  d’autres Sous-Traitants Ultérieurs. Cette information doit indiquer clairement les activités de  traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur, les dates du contrat  de sous-traitance et l’existence éventuelle de flux de DCP en dehors de l’Union européenne ou vers  une organisation internationale. Le Responsable de traitement dispose d’un délai maximum de deux  mois calendaires à compter de la date de réception de cette information pour présenter ses objections.  Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n’a pas émis d’objection  pendant ce délai.

Le Sous-Traitant Ultérieur est tenu de respecter les obligations du Contrat et des Conditions  Générales, et de ne traiter des Données à caractère personnel que pour le compte et selon les  instructions du Responsable de traitement. En conséquence, le Sous-Traitant initial s’engage à signer  avec son Sous-Traitant ultérieur un contrat écrit faisant référence au Contrat et aux Conditions  Générales, et imposant au Sous-Traitant ultérieur les mêmes obligations en matière de protection des  DCP que celles fixées dans le Contrat et les Conditions Générales.

Il appartient au Sous-Traitant initial de s’assurer, notamment à travers ce contrat écrit, que le Sous Traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures  techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences  du Règlement.

Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des DCP, le Sous Traitant initial demeure pleinement responsable à l’égard du Responsable de traitement de l’exécution  par le Sous-Traitant Ultérieur de ses obligations, notamment en ce qui concerne la notification des  violations de Données à caractère personnel.

4.2 DROIT D’INFORMATION DES PERSONNES CONCERNÉES

Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les  opérations de traitement au moment de la collecte des DCP ou, au choix du Responsable de traitement,  de demander au Sous-Traitant, au moment de la collecte des DCP, de fournir, aux personnes  concernées par les opérations de traitement, l’information relative aux traitements de DCP qu’il  réalise. Dans cette dernière hypothèse, la formulation et le format de l’information seront convenus  avec le Responsable de Traitement avant toute collecte de DCP.

4.3 EXERCICE DES DROITS DES PERSONNES

Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de traitement à s’acquitter de  son obligation de donner suite aux demandes d’exercice des droits des personnes concernées au titre  de la règlementation sur la protection des DCP, à savoir principalement : droit d’accès, de  rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des  DCP, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).  Lorsque les personnes concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs  droits, le Sous-Traitant doit adresser ces demandes dès réception par courrier électronique à la  personne désignée par le Responsable de traitement, en Appendice A ou communiqué par tout autre  moyen au choix du Responsable de traitement. Le Sous-Traitant ne pourra répondre directement à la  demande d’une personne concernée que sur instruction du Responsable de traitement.

4.4 NOTIFICATION DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

Une violation de Données à caractère personnel s’entend de toute violation de la sécurité entraînant,  de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée  de DCP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles  DCP. Lors d’une violation de Données à caractère personnel, le Sous-Traitant s’engage à procéder à  toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dès que  possible et de diminuer l’impact de tels manquements sur les personnes concernées.

Le Sous-Traitant notifie au Responsable de Traitement toute violation de Données à caractère  personnel dans les meilleurs délais et, en tout état de cause, dans un délai maximum de 24 heures  après en avoir pris connaissance et via l’application de la procédure définie par le Responsable de  Traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au  Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle  compétente. Sur ce point, le Sous-Traitant est informé qu’en cas de notification d’une violation de  Données à caractère personnel, par le Responsable de traitement à l’autorité de contrôle compétente,  la notification doit contenir au moins :

(i) La description de la nature de la violation de Données à caractère personnel y compris, si  possible, les catégories et le nombre approximatif de personnes concernées par la violation  et les catégories et le nombre approximatif d’enregistrements de Données à caractère  personnel concernés ;

(ii) Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de  contact auprès duquel des informations supplémentaires peuvent être obtenues ;  (iii) La description des conséquences probables de la violation de Données à caractère  personnel ;

(iv) La description des mesures prises ou que le Responsable de traitement propose de prendre  pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant,  les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps,  les informations peuvent être communiquées de manière échelonnée sans retard indu. En tout état  de cause, le Sous-Traitant s’engage à informer le Responsable de traitement de ses investigations  sur les manquements aux règles de protection ayant entraîné la violation de Données à caractère  personnel, de l’évolution de la nature et des conséquences de la violation, ainsi que des mesures  prises ou envisagées pour diminuer l’impact des manquements identifiés, et ce de manière  régulière. Le Sous-Traitant s’engage à collaborer activement avec le Responsable de traitement  pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Seul  le Responsable de traitement peut notifier la violation des Données à caractère personnel à  l’autorité de contrôle compétente et communiquer des informations sur cette violation aux  personnes concernées ; le Sous-Traitant s’interdit en conséquence, de procéder à une telle  notification et à une telle communication.

4.5 AIDE DU SOUS-TRAITANT DANS LE CADRE DU RESPECT PAR LE RESPONSABLE DE  TRAITEMENT DE SES OBLIGATIONS

Le Sous-Traitant aide le Responsable de traitement pour la réalisation d’analyses d’impact  relatives à la protection des Données que le Responsable de traitement déciderait d’effectuer. Le  Sous-Traitant aide le Responsable de traitement dans le cadre de la consultation préalable de  l’autorité de contrôle, suite à la réalisation des analyses d’impact.

4.6 MESURES DE SÉCURITÉ

Sans préjudice des dispositions du corps du Contrat, le Sous-Traitant met en œuvre toutes  mesures techniques et organisationnelles appropriées pour protéger les Données à caractère  personnel, en prenant en compte l’état des connaissances, les coûts de mise en œuvre et la nature,  portée, contexte et les finalités du traitement ainsi que les risques, dont le degré de probabilité et

de gravité varie, pour les droits et libertés des personnes physiques, afin de garantir un niveau de  sécurité adapté au risque.

Le Sous-Traitant s’engage ainsi, notamment, à prendre toutes précautions utiles au regard de la  nature des Données et des risques présentés par le traitement, pour préserver la sécurité des  Données des fichiers et notamment empêcher toute déformation, altération, endommagement,  destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non  autorisés préalablement.

En particulier le Sous-Traitant s’engage à assurer une étanchéité totale entre les Données du  Responsable de traitement et les données des autres clients du Sous-Traitant, par une séparation  physique et logique.

Les moyens mis en œuvre par le Sous-Traitant destinés à assurer la sécurité et la confidentialité  des Données incluent notamment les mesures suivantes suivant ce qui est précisé sur le contrat:  • pseudonymisation et le chiffrement des DCP,

• les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience  constantes des systèmes et des services de traitement,

• les moyens permettant de rétablir l’accès et la disponibilité des DC dans les délais  appropriés/définis en cas d’incident physique ou technique,

• une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures  techniques et organisationnelles pour assurer la sécurité du traitement.

Le Sous-Traitant s’engage à maintenir ces moyens tout au long de l’exécution du Contrat et, à  défaut, à en informer immédiatement le Responsable de traitement. En tout état de cause, le Sous Traitant s’engage en cas de changement des moyens visant à assurer la sécurité et la  confidentialité des DCP et des fichiers, à les remplacer par des moyens d’une performance  supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

4.7 SORT DES DONNÉES

Au terme de la prestation de services relatifs au traitement de ces Données, le Sous-Traitant  s’engage à :

• restituer toutes les Données à caractère personnel et les fichiers au Responsable de traitement  dans un format exploitable et dans les conditions spécifiées par le Responsable de traitement  ou

• adresser les Données à caractère personnel au sous-traitant désigné par le Responsable de  traitement, et ensuite.

• détruire toutes les DCP et les fichiers manuels ou informatisés comportant les informations  collectées dans un délai de deux (2) mois après la restitution, afin de permettre au Client de  disposer du temps nécessaires pour vérifier que les Données restituées sont exploitables et  lisibles, sauf disposition impérative contraire résultant du droit communautaire ou du droit d’un  Etat membre de l’Union européenne applicable aux traitements objets des présentes.

Le Client pourra demander que ce délai de deux (2) mois soit prolongé pour une nouvelle durée  maximale de deux (2) mois, sous réserve de respecter un délai de prévenance de quinze (15) jours  calendaires avant l’expiration du premier délai de deux (2) mois. Le renvoi doit s’accompagner  de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant.  Une fois détruites, le Sous-Traitant doit justifier par écrit de leur destruction au plus tard dans le  délai d’un mois.

4.8 DÉLÉGUÉ À LA PROTECTION DES DONNÉES DU SOUS-TRAITANT

Le Sous-Traitant communique au Responsable de traitement le nom et les coordonnées de son  délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du Règlement

4.9 REGISTRE DES CATÉGORIES D’ACTIVITÉS DE TRAITEMENT

Le Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement  effectuées pour le compte du Responsable de traitement comprenant :

(i) Le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit,  des éventuels sous-traitants Ultérieurs et, le cas échéant, du délégué à la protection des  Données ;

(ii) Les catégories de traitements effectués pour le compte du Responsable de traitement ; (iii) Le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une  organisation internationale, y compris l’identification de ce pays tiers ou de cette  organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1,  deuxième alinéa du Règlement, les documents attestant de l’existence de garanties  appropriées ;

(iv) Dans la mesure du possible, une description générale des mesures de sécurité techniques  et organisationnelles

4.10 DOCUMENTATION

Le Sous-Traitant met à la disposition du Responsable de traitement la documentation nécessaire pour  démontrer le respect de toutes ses obligations au titre des présentes Conditions Générales.  Le Responsable de traitement se réserve le droit de procéder à toutes vérifications qui lui paraissent  utiles pour constater le respect des obligations précitées, et notamment en procédant à un audit auprès  du Sous-Traitant ou directement auprès d’un Sous-Traitant ultérieur.

Le Sous-Traitant s’engage à répondre aux demandes d’audit du Responsable de traitement effectuées  par lui-même ou par un tiers de confiance qu’il aura sélectionné, reconnu en tant qu’auditeur  indépendant, c’est-à-dire indépendant du Sous-Traitant, ayant une qualification adéquate, et libre de  fournir les détails de ses remarques et conclusion d’audit au Responsable de traitement. Les audits  visés doivent permettre une analyse du respect par le Sous-Traitant de ses obligations visées par les  présentes.

Le Sous-Traitant, en application de ce qui précède, s’interdit également :

• D’insérer dans les fichiers des données étrangères ;

• D’effectuer une étude statistique sur les Données ou un traitement autre que celui demandé  par le Responsable de traitement ;

• De consulter, de traiter des Données autres que celles concernées par les présentes et ce, même  si l’accès à ces Données est techniquement possible ;

• De divulguer, sous quelque forme que ce soit, tout ou partie des DCP exploitées ;  • De prendre copie ou de stocker, quelles qu’en soient la forme et la finalité, tout ou partie des  informations ou données contenues sur les supports ou documents qui lui ont été confiés ou  recueillies par lui au cours de l’exécution du Contrat, en dehors des cas couverts par les  présentes.

5 OBLIGATION DU RESPONSABLE DE TRAITEMENT VIS-A VIS DU SOUS TRAITANT

Le Responsable de traitement s’engage à :

• Fournir au Sous-Traitant les données visées à l’article 3 ci-dessus des présentes  Conditions Générales ;

• Documenter par écrit toute instruction concernant le traitement des données par le Sous Traitant ;

• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations  prévues par le Règlement à la charge du Sous-Traitant ;

• Superviser le traitement.

6 COOPERATION EN CAS DE CONTRÔLE

En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et  avec l’autorité de contrôle.

Dans le cas où le contrôle mené ne concernerait que les traitements mis en œuvre par le Sous Traitant en tant que Responsable de traitement, le Sous-Traitant fera son affaire du contrôle et  s’interdira de communiquer ou de faire état des Données à caractère personnel du Responsable  de traitement.

Dans le cas où le contrôle mené chez le Sous-Traitant concernerait les traitements mis en œuvre  au nom et pour le compte du Responsable de traitement, le Sous-Traitant s’engage à en informer  immédiatement le Responsable de traitement et à ne prendre aucun engagement pour elle. En  cas de contrôle d’une autorité compétente chez le Responsable de traitement portant notamment  sur les prestations délivrées par le Sous-Traitant, ce dernier s’engage à coopérer avec le  Responsable de traitement et à lui fournir toute information dont il pourrait avoir besoin ou qui  s’avèrerait nécessaire.