Le règlement (UE) 2016/679 adopté par le Parlement européen et le Conseil en date du 27 avril 2016 est applicable à compter du 25 mai 2018 (ci-après, « le Règlement »). Le Prestataire, (ci-après « Sous Traitant »), étant amené à traiter des Données à caractère personnel dans le cadre du Contrat, pour le compte du Client (ci-après « Responsable de traitement »), les Parties souhaitent préciser les obligations spécifiques au Sous-Traitant. Ceci exposé les Parties sont convenues de ce qui suit :
1 OBJET DES CONDITIONS GENERALES
Les présentes Conditions Générales ont pour objet de définir les conditions dans lesquelles le Sous Traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de Traitement de Données à caractère personnel objet du Contrat. Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable en matière de traitement de Données à caractère personnel et, en particulier, le Règlement. Les Conditions Générales pourront faire l’objet de tout complément afin de prendre en compte les évolutions ultérieures des textes applicables en application du Règlement ou autre disposition législative ou règlementaire applicable, ce que le Sous-traitant accepte.
2 DEFINITIONS
Les définitions ci-après s’appliquent au Contrat susvisé :
2.1 DONNÉES À CARACTÈRE PERSONNEL OU DONNÉES OU DCP
Désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
2.2 RESPONSABLE DE TRAITEMENT
Désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le Responsable de traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
2.3 SOUS-TRAITANT
Désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement
2.4 TRAITEMENT
Désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
3 DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS TRAITANCE
Le Sous-Traitant est autorisé à traiter pour le compte du Responsable de traitement les Données à caractère personnel nécessaires pour fournir le ou les service(s) définis au, et le cas échéant rappelé en Annexe.
Sont également définis en Annexe :
• La nature des opérations réalisées sur les données,
• La finalité ou les finalités du traitement,
• Le type de données à caractère personnel traitées,
• Les catégories de personnes concernées,
• La durée du traitement.
Pour l’exécution du service objet du Contrat, le Responsable de traitement met à la disposition du Sous-Traitant, en Annexe, les informations nécessaires suivantes :
• Le nom et les coordonnées du Responsable de traitement ou des Responsables de traitement lorsque le traitement est opéré pour plusieurs responsables de traitement.
• Les références du Délégué à la Protection des Données du Responsable du traitement sont définies en Annexe.
Ces informations permettront au Sous-traitant d’établir son registre dans le cas où il devrait l’établir, lequel devra être complété par le Sous-Traitant par toutes informations complémentaires requises par la règlementation applicable.
4 OBLIGATIONS DU SOUS TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT
Le Sous-Traitant s’engage à :
Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous traitance ;
Traiter les données conformément aux instructions documentées du Responsable de traitement figurant, le cas échéant en Annexe ou par tout autre document accepté par les Parties. Il est ici précisé qu’à défaut, les Parties conviennent de définir la notion d’instruction comme étant acquise lorsque le Sous-Traitant agit dans le cadre de l’exécution des présentes et du Contrat.
Si le Sous-Traitant considère qu’une instruction constitue une violation du Règlement ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des Données, il s’engage à en informer immédiatement le Responsable de traitement. Dans l’hypothèse où le Sous-Traitant serait tenu de procéder à un traitement de Données à caractère personnel en vertu d’une disposition impérative résultant du droit communautaire ou du droit de l’Etat membre auquel il est soumis, le Sous-Traitant informera le Responsable de traitement de cette obligation juridique avant le traitement des Données, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
En cas de transfert de Données à caractère personnel vers un pays tiers, n’appartenant pas à l’Union européenne, ou vers une organisation internationale, le Sous-Traitant devra obtenir l’accord préalable écrit du Responsable de traitement. Si cet accord est donné, le Sous-Traitant s’engage à coopérer avec le Responsable de traitement afin d’assurer :
• Le respect des procédures permettant de se conformer à la réglementation DCP, par exemple dans le cas où une autorisation de la part de l’autorité de contrôle compétente apparaîtrait nécessaire ;
• Si besoin, la conclusion d’un ou plusieurs contrats permettant d’encadrer les flux transfrontières de DCP. Le Sous-Traitant s’engage en particulier, si nécessaire, à signer de tels contrats avec le Responsable de traitement et/ou à obtenir la conclusion de tels contrats par ses Sous-Traitants Ultérieurs. Pour ce faire, il est convenu entre les Parties que les clauses contractuelles types publiées par la Commission européenne seront utilisées pour encadrer les flux transfrontières de Données.
Garantir la confidentialité des Données à caractère personnel traitées dans le cadre des présentes Conditions Générales.
• Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu des présentes Conditions Générales :
• S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
Reçoivent la formation nécessaire en matière de protection des Données à caractère personnel. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des DCP dès la conception et de protection des DCP par défaut.
4.1 SOUS TRAITANCE
Le Sous-Traitant peut faire appel à un autre sous-traitant (ci-après, « le Sous-Traitant Ultérieur »)pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-Traitants Ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur, les dates du contrat de sous-traitance et l’existence éventuelle de flux de DCP en dehors de l’Union européenne ou vers une organisation internationale. Le Responsable de traitement dispose d’un délai maximum de deux mois calendaires à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n’a pas émis d’objection pendant ce délai.
Le Sous-Traitant Ultérieur est tenu de respecter les obligations du Contrat et des Conditions Générales, et de ne traiter des Données à caractère personnel que pour le compte et selon les instructions du Responsable de traitement. En conséquence, le Sous-Traitant initial s’engage à signer avec son Sous-Traitant ultérieur un contrat écrit faisant référence au Contrat et aux Conditions Générales, et imposant au Sous-Traitant ultérieur les mêmes obligations en matière de protection des DCP que celles fixées dans le Contrat et les Conditions Générales.
Il appartient au Sous-Traitant initial de s’assurer, notamment à travers ce contrat écrit, que le Sous Traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement.
Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des DCP, le Sous Traitant initial demeure pleinement responsable à l’égard du Responsable de traitement de l’exécution par le Sous-Traitant Ultérieur de ses obligations, notamment en ce qui concerne la notification des violations de Données à caractère personnel.
4.2 DROIT D’INFORMATION DES PERSONNES CONCERNÉES
Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des DCP ou, au choix du Responsable de traitement, de demander au Sous-Traitant, au moment de la collecte des DCP, de fournir, aux personnes concernées par les opérations de traitement, l’information relative aux traitements de DCP qu’il réalise. Dans cette dernière hypothèse, la formulation et le format de l’information seront convenus avec le Responsable de Traitement avant toute collecte de DCP.
4.3 EXERCICE DES DROITS DES PERSONNES
Dans la mesure du possible, le Sous-Traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées au titre de la règlementation sur la protection des DCP, à savoir principalement : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des DCP, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes dès réception par courrier électronique à la personne désignée par le Responsable de traitement, en Appendice A ou communiqué par tout autre moyen au choix du Responsable de traitement. Le Sous-Traitant ne pourra répondre directement à la demande d’une personne concernée que sur instruction du Responsable de traitement.
4.4 NOTIFICATION DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL
Une violation de Données à caractère personnel s’entend de toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de DCP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles DCP. Lors d’une violation de Données à caractère personnel, le Sous-Traitant s’engage à procéder à toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dès que possible et de diminuer l’impact de tels manquements sur les personnes concernées.
Le Sous-Traitant notifie au Responsable de Traitement toute violation de Données à caractère personnel dans les meilleurs délais et, en tout état de cause, dans un délai maximum de 24 heures après en avoir pris connaissance et via l’application de la procédure définie par le Responsable de Traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Sur ce point, le Sous-Traitant est informé qu’en cas de notification d’une violation de Données à caractère personnel, par le Responsable de traitement à l’autorité de contrôle compétente, la notification doit contenir au moins :
(i) La description de la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données à caractère personnel concernés ;
(ii) Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; (iii) La description des conséquences probables de la violation de Données à caractère personnel ;
(iv) La description des mesures prises ou que le Responsable de traitement propose de prendre pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. En tout état de cause, le Sous-Traitant s’engage à informer le Responsable de traitement de ses investigations sur les manquements aux règles de protection ayant entraîné la violation de Données à caractère personnel, de l’évolution de la nature et des conséquences de la violation, ainsi que des mesures prises ou envisagées pour diminuer l’impact des manquements identifiés, et ce de manière régulière. Le Sous-Traitant s’engage à collaborer activement avec le Responsable de traitement pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Seul le Responsable de traitement peut notifier la violation des Données à caractère personnel à l’autorité de contrôle compétente et communiquer des informations sur cette violation aux personnes concernées ; le Sous-Traitant s’interdit en conséquence, de procéder à une telle notification et à une telle communication.
4.5 AIDE DU SOUS-TRAITANT DANS LE CADRE DU RESPECT PAR LE RESPONSABLE DE TRAITEMENT DE SES OBLIGATIONS
Le Sous-Traitant aide le Responsable de traitement pour la réalisation d’analyses d’impact relatives à la protection des Données que le Responsable de traitement déciderait d’effectuer. Le Sous-Traitant aide le Responsable de traitement dans le cadre de la consultation préalable de l’autorité de contrôle, suite à la réalisation des analyses d’impact.
4.6 MESURES DE SÉCURITÉ
Sans préjudice des dispositions du corps du Contrat, le Sous-Traitant met en œuvre toutes mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel, en prenant en compte l’état des connaissances, les coûts de mise en œuvre et la nature, portée, contexte et les finalités du traitement ainsi que les risques, dont le degré de probabilité et
de gravité varie, pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté au risque.
Le Sous-Traitant s’engage ainsi, notamment, à prendre toutes précautions utiles au regard de la nature des Données et des risques présentés par le traitement, pour préserver la sécurité des Données des fichiers et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.
En particulier le Sous-Traitant s’engage à assurer une étanchéité totale entre les Données du Responsable de traitement et les données des autres clients du Sous-Traitant, par une séparation physique et logique.
Les moyens mis en œuvre par le Sous-Traitant destinés à assurer la sécurité et la confidentialité des Données incluent notamment les mesures suivantes suivant ce qui est précisé sur le contrat: • pseudonymisation et le chiffrement des DCP,
• les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement,
• les moyens permettant de rétablir l’accès et la disponibilité des DC dans les délais appropriés/définis en cas d’incident physique ou technique,
• une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Le Sous-Traitant s’engage à maintenir ces moyens tout au long de l’exécution du Contrat et, à défaut, à en informer immédiatement le Responsable de traitement. En tout état de cause, le Sous Traitant s’engage en cas de changement des moyens visant à assurer la sécurité et la confidentialité des DCP et des fichiers, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
4.7 SORT DES DONNÉES
Au terme de la prestation de services relatifs au traitement de ces Données, le Sous-Traitant s’engage à :
• restituer toutes les Données à caractère personnel et les fichiers au Responsable de traitement dans un format exploitable et dans les conditions spécifiées par le Responsable de traitement ou
• adresser les Données à caractère personnel au sous-traitant désigné par le Responsable de traitement, et ensuite.
• détruire toutes les DCP et les fichiers manuels ou informatisés comportant les informations collectées dans un délai de deux (2) mois après la restitution, afin de permettre au Client de disposer du temps nécessaires pour vérifier que les Données restituées sont exploitables et lisibles, sauf disposition impérative contraire résultant du droit communautaire ou du droit d’un Etat membre de l’Union européenne applicable aux traitements objets des présentes.
Le Client pourra demander que ce délai de deux (2) mois soit prolongé pour une nouvelle durée maximale de deux (2) mois, sous réserve de respecter un délai de prévenance de quinze (15) jours calendaires avant l’expiration du premier délai de deux (2) mois. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant. Une fois détruites, le Sous-Traitant doit justifier par écrit de leur destruction au plus tard dans le délai d’un mois.
4.8 DÉLÉGUÉ À LA PROTECTION DES DONNÉES DU SOUS-TRAITANT
Le Sous-Traitant communique au Responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du Règlement
4.9 REGISTRE DES CATÉGORIES D’ACTIVITÉS DE TRAITEMENT
Le Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement comprenant :
(i) Le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants Ultérieurs et, le cas échéant, du délégué à la protection des Données ;
(ii) Les catégories de traitements effectués pour le compte du Responsable de traitement ; (iii) Le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du Règlement, les documents attestant de l’existence de garanties appropriées ;
(iv) Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
4.10 DOCUMENTATION
Le Sous-Traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations au titre des présentes Conditions Générales. Le Responsable de traitement se réserve le droit de procéder à toutes vérifications qui lui paraissent utiles pour constater le respect des obligations précitées, et notamment en procédant à un audit auprès du Sous-Traitant ou directement auprès d’un Sous-Traitant ultérieur.
Le Sous-Traitant s’engage à répondre aux demandes d’audit du Responsable de traitement effectuées par lui-même ou par un tiers de confiance qu’il aura sélectionné, reconnu en tant qu’auditeur indépendant, c’est-à-dire indépendant du Sous-Traitant, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit au Responsable de traitement. Les audits visés doivent permettre une analyse du respect par le Sous-Traitant de ses obligations visées par les présentes.
Le Sous-Traitant, en application de ce qui précède, s’interdit également :
• D’insérer dans les fichiers des données étrangères ;
• D’effectuer une étude statistique sur les Données ou un traitement autre que celui demandé par le Responsable de traitement ;
• De consulter, de traiter des Données autres que celles concernées par les présentes et ce, même si l’accès à ces Données est techniquement possible ;
• De divulguer, sous quelque forme que ce soit, tout ou partie des DCP exploitées ; • De prendre copie ou de stocker, quelles qu’en soient la forme et la finalité, tout ou partie des informations ou données contenues sur les supports ou documents qui lui ont été confiés ou recueillies par lui au cours de l’exécution du Contrat, en dehors des cas couverts par les présentes.
5 OBLIGATION DU RESPONSABLE DE TRAITEMENT VIS-A VIS DU SOUS TRAITANT
Le Responsable de traitement s’engage à :
• Fournir au Sous-Traitant les données visées à l’article 3 ci-dessus des présentes Conditions Générales ;
• Documenter par écrit toute instruction concernant le traitement des données par le Sous Traitant ;
• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement à la charge du Sous-Traitant ;
• Superviser le traitement.
6 COOPERATION EN CAS DE CONTRÔLE
En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle.
Dans le cas où le contrôle mené ne concernerait que les traitements mis en œuvre par le Sous Traitant en tant que Responsable de traitement, le Sous-Traitant fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données à caractère personnel du Responsable de traitement.
Dans le cas où le contrôle mené chez le Sous-Traitant concernerait les traitements mis en œuvre au nom et pour le compte du Responsable de traitement, le Sous-Traitant s’engage à en informer immédiatement le Responsable de traitement et à ne prendre aucun engagement pour elle. En cas de contrôle d’une autorité compétente chez le Responsable de traitement portant notamment sur les prestations délivrées par le Sous-Traitant, ce dernier s’engage à coopérer avec le Responsable de traitement et à lui fournir toute information dont il pourrait avoir besoin ou qui s’avèrerait nécessaire.