1. Définitions
DéfinitionsLes termes « Données à Caractère Personnel » (ou « DCP »), « Responsable du traitement », « Sous-traitant », « Sous-traitant Ultérieur, « personne concernée », « violation des données à caractère personnel », « traitement » et « autorité de contrôle » auront le sens qui leur est donné dans le RGPD, et les mots apparentés seront interprétés en conséquence.
2. Contexte et rôles
Dans le cadre des Prestations, objets du Contrat et des informations qu’elles s’échangent ou auxquelles elles ont accès en application du Contrat et notamment de l’article 9 des CGU :
- Pour tout traitement de DCP, chacune des Parties s’engage à se conformer à ses obligations en application de la Législation DCP.
- Les Parties s’échangent des DCP constituées des données de contacts (identification professionnelle) de l’autre Partie, utiles à l’exécution du Contrat, et chacune agit dans ce cas en tant que Responsable de Traitement.
- Le Client a la qualité de Responsable de Traitement s’il détermine les finalités et les moyens du traitement de Données Client qui comportent des DCP.
- Lorsque le Prestataire traite des Données Client qui comportent des DCP pour le compte du Client, il a la qualité de Sous-traitant.
- Le Prestataire est Sous-traitant Ultérieur si le Client agit lui-même en qualité de Sous-traitant.
La présente Annexe définit :
- Le cas d’échange de DCP des données de contact professionnel entre les Parties les droits et obligations des Parties lorsque le Prestataire a la qualité de Sous-traitant (ou Sous-traitant Ultérieur).
- Le traitement est détaillé dans l’Annexe A « Description du traitement des DCP » et les mesures de sécurité sont précisées en Annexe B.
3. Echange de DCP - contacts professionnels
Chaque Partie est amenée à traiter les DCP dites de « contact professionnel » de l'autre Partie dans le cadre de l’exécution du Contrat. Il peut s’agir des données d’identification suivantes : noms, titres, coordonnées professionnelles (adresse mail, adresse IP) des personnes physiques de chaque Partie intervenant dans le cadre du partenariat construit par les Parties.
Chaque Partie traitera les DCP de contact professionnel de l'autre Partie en tant que Responsable du traitement aux fins suivantes :
(i) fournir des services d'administration, de gestion de la relation client ou partenaire, y compris à des fins de communication sur les offres de services de chaque Partie, de suivi contractuel, de support technique pour les systèmes informatiques utilisés par chaque Partie pour ses activités ;
(ii) l'hébergement desdits systèmes et la fourniture de services de maintenance, d'archivage ou sauvegarde;
(iii) la réalisation de revues qualité et toutes études statistiques ;
(iv) le respect de toutes les exigences fixées par la loi, les règlements ou un organisme professionnel ;tous ensemble et ci-après les " Finalités du Traitement ".
Chacune des Parties s’engage à respecter la Législation DCP relative au traitement de ces DCP et notamment :
- traiter les DCP de manière licite, loyale et transparente, dans la limite des Finalités du Traitement, en respectant le principe de minimisation des données, et mettant à jour les données si nécessaire,
- ne pas conserver les DCP au-delà de la durée nécessaire au regard des Finalités du Traitement,
- traiter les DCP au sein de l’UE ou en respectant les modalités de transfert prévues par le RGPD,
- ne recourir à des Sous-Traitants dans le cadre de ce traitement qu’en s’étant assurée qu’ils présentaient les garanties suffisantes,
- mettre en œuvre les mesures organisationnelles et techniques appropriées visant à assurer la sécurité, l’intégrité et la confidentialité des DCP et être en mesure de démontrer que le traitement est effectué conformément au RGPD.
4. Traitement de DCP pour le compte du Client
4.1) Obligations du Client
Le Client, en tant que Responsable de Traitement, est responsable en matière de mise en conformité effective des données traitées et des traitements qu’il met en œuvre et qu’il sous-traite notamment auprès du Prestataire. Dans le cadre de l’objet du Contrat, le Prestataire ne saurait être tenu de veiller à cette mise en conformité effective ou de conseiller le Client au regard de la Législation DCP concernant les traitements mis en œuvre par le Client.Le Client garantit au Prestataire que le traitement en cause repose sur les fondements juridiques au traitement prévus par la Législation DCP et satisfait aux exigences de la Législation DCP, qu’il a procédé à l’ensemble des obligations qui lui incombent, notamment que les DCP ont été collectées loyalement et de manière licite et adéquate par rapport à la finalité du traitement, qu’il a informé les personnes concernées de l’usage qui est fait de leurs DCP, qu’il détient et maintiendra pendant toute la durée du Contrat l’ensemble des droits, permissions, inscriptions et consentements nécessaires prévus par la Législation DCP concernant le traitement par le Prestataire des DCP au titre du Contrat de sorte que le Prestataire puisse légitimement utiliser, traiter et transférer les DCP aux fins de l’exécution du Contrat et de l’exercice par le Prestataire de ses droits et obligations. Le Client garantit le Prestataire à première demande contre tout préjudice qui résulterait de la mise en cause du Prestataire par un tiers pour une violation de ces garanties. Le Client s’engage à documenter, par écrit, toute instruction concernant le traitement de DCP par le Prestataire. Il donne à ce titre instruction au Prestataire d’effectuer les traitements décrits en Annexe A. Le Client s’engage à mettre à la disposition du Prestataire toute information nécessaire pour la bonne exécution de la sous-traitance et notamment communique dans un délai de cinq (5) jours à compter du Contrat les coordonnées (nom, prénom, email) de son Délégué à la Protection des Données (ou du correspondant DCP le cas échéant).Le Client veille, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Législation DCP de la part du Prestataire, notamment au travers de la réalisation d’audits conformément à l’Article « Audit ».
4.2) Obligations du Prestataire
Sous réserve des dispositions de l’article Responsabilité des CGU, le Prestataire fera ses meilleurs efforts pour préserver la sécurité, l’intégrité et la confidentialité des Données Client au regard des obligations légales qui lui incombent. Le Prestataire, lorsqu’il a la qualité de Sous-Traitant, garantit qu’il mettra en œuvre, pour celles qui le concernent, les mesures techniques et organisationnelles appropriées de manière à ce que les traitements, réalisés pour le compte du Client, répondent aux exigences de la Législation DCP. Elles sont listées en Annexe B.
Il est expressément convenu que le Prestataire:
- traite les DCP uniquement pour la/les finalité(s) qui font l’objet de la Sous-traitance en application de l’Annexe A ;
- ne traitera les DCP que sur instruction documentée du Client, et concernant les transferts vers les pays hors Union européenne ou à une organisation internationale, conformément aux dispositions de l’article « Transferts ». En outre, si le Prestataire est tenu de procéder à un transfert de DCP vers un pays hors Union européenne ou à une organisation internationale en vertu du droit de l’Union ou du droit de l’Etat-Membre auquel le Prestataire est soumis, elle informe le Client de cette obligation juridique avant le traitement, sauf si la législation concernée interdit une telle information pour des motifs importants d’intérêt public ;
- informe immédiatement le Client si le Prestataire considère, selon elle, qu’une instruction donnée par le Client constitue une violation de la Législation DCP. ; le Prestataire aura le droit de suspendre le traitement des DCP jusqu’à ce que l’instruction du Client soit clarifiée, dans la mesure où ladite instruction ne constituerait plus une violation de la Législation DCP. Les Parties précisent que dans le cadre de l’objet du Contrat, le Prestataire ne saurait être tenue de veiller à la mise en conformité effective ou de conseiller le Client au regard de la Législation DCP concernant les traitements mis en œuvre par le Client ;
- veille à ce que les personnes autorisées à traiter les DCP s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée ;
- notifie au Client toute violation de DCP au sens de la Législation DCP, dans les meilleurs délais à compter du moment où elle en a eu connaissance, auprès du contact Client, étant précisé qu’il appartient au Client de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées, le cas échéant. Néanmoins, une assistance pourra être assurée par le Prestataire dans le cadre de ces notifications, sur demande du Client et selon des modalités discutées entre les Parties ;
- selon le choix du Client, supprime toutes les DCP ou les renvoie au Client au terme des Prestations, et détruit les copies existantes sauf disposition légale contraire ;
- met à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations dans le cadre des prestations de sous-traitance de DCP qu’elle effectue pour le compte du Client et pour permettre la réalisation d’audits conformément à l’article « Audit ».
Dans le cadre de son obligation d’assistance vis-à-vis du Client, le Prestataire s’engage, sur demande raisonnable du Client et aux frais de ce dernier, à :
- aider le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes des personnes concernées relatives à leurs droits. A ce titre, en cas de réception directement par le Prestataire d’une telle demande, il est convenu que le Prestataire transmet la demande au Client, à qui revient la charge d’y apporter une réponse dans les délais prévus par la Législation DCP ;
- aider le Client à garantir le respect des obligations de sécurité. Il est entendu entre les Parties que les engagements du Prestataire ne portent que sur les moyens qu’elle est à même de mettre en œuvre pour assurer la confidentialité et la sécurité des DCP ;
- aider le Client dans le cadre des notifications des violations de DCP au sens de la Législation DCP et lorsque celui-ci décide de mener une analyse d’impact relative à la protection des DCP ainsi que, le cas échéant, pour la réalisation de la consultation préalable à l’autorité de contrôle, en fournissant toute documentation utile à sa disposition que le Client ne détient pas.
Les Parties s’accordent sur le principe que l’assistance fournie au Client par le Prestataire au titre de la présente clause est effectuée compte tenu de la nature du traitement et du niveau d’information dont le Prestataire bénéficie de la part du Client et dans les limites des obligations qui lui incombent. Les demandes d’assistance donneront lieu à un accord spécifique entre les Parties.
4.3 Transferts
En cas d’instruction donnée par le Client impliquant un transfert de DCP vers un pays hors Union européenne, le Client garantit au Prestataire que ces éventuels transferts seront réalisés dans le respect des conditions posées par la Législation DCP. Le Client accepte le transfert par le Prestataire de DCP en dehors de l’Union Européenne à la condition que ce transfert soit fondé (i) sur une décision de la Commission européenne constatant que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat, ou (ii) sur des Clauses Contractuelles Types de la Commission Européenne, le Client mandatant le Prestataire pour signer avec ses sous-traitants situés hors Union Européenne lesdites Clauses Contractuelles Types au nom et pour le compte du Client, ou (iii) sur les garanties appropriées décrites à l’article 46 du RGPD ou (iv) sur l’une des conditions posées par l’article 49 du RGPD.
4.4 Audit
Le Prestataire mettra à la disposition du Client, sur demande écrite, toutes informations raisonnablement nécessaires à la démonstration du respect de la présente Annexe par le Prestataire.
Le Client peut en outre, si les informations mises à sa disposition sont insuffisantes, au cours de l’exécution du Contrat, dans la limite d’une (1) fois par année contractuelle et pour justes motifs, faire procéder à ses frais et sous sa responsabilité à un audit dont le seul objet est de vérifier la conformité à la Législation DCP.
Cet audit est notifié par Le Client au Prestataire par lettre recommandée avec accusé de réception détaillant le protocole qui sera déroulé, les méthodes utilisées et données auditées, trente (30) Jours Ouvrés avant la date projetée de sa mise en œuvre.
L’audit est effectué par Le Client ou par un tiers désigné par lui, à la double condition que ce tiers ne soit pas un concurrent direct ou indirect du Prestataire et qu’il ait conclu un accord de confidentialité dont copie sera remise au Prestataire pour approbation.
Les audits sur site devront être réalisés pendant les heures normales de travail du Prestataire sur une durée raisonnable n’excédant pas 2 jours ouvrables. Ils seront soumis aux politique de sécurité du Prestataire. Le Client veillera à ce que ses auditeurs s’efforcent de minimiser les perturbations des activités du Prestataire. En tout état de cause, le Client supportera les conséquences éventuelles de l’audit sur les activités du Prestataire en lien avec les Prestations au titre du Contrat.
Il est expressément convenu que la collaboration active du Prestataire à cet audit ne peut pas le conduire à devoir communiquer des documents internes notamment de nature financière, comptable ou tenant à ses relations avec d’autres clients. Le Client reste seul responsable des éventuelles conséquences de cet audit sur la réalisation des Services.
Les résultats d’audit feront l’objet d’un débat contradictoire et d’une validation par les Parties. Les frais d'audit demeureront à la charge du Client, ainsi que les éventuels frais engagés et temps passé par le Prestataire.
4.5 Sous-traitance
Le Prestataire se réserve le droit de faire appel à un Sous-Traitant Ultérieur notamment à un tiers hébergeur, aux fins de la fourniture des Prestations ; ils sont listés en Annexe A.
Le Prestataire impose les obligations équivalentes en matière de protection des DCP que celles prévues aux présentes par contrat à son sous-traitant. Il reste responsable vis-à-vis du Client dans les conditions des présentes.
Le Prestataire devra respecter les conditions de recrutement d’un autre Sous-Traitant Ultérieur. En cas de changement prévu concernant l'ajout ou le remplacement d’un ou plusieurs Sous-Traitant Ultérieur de la liste en Annexe A, le Prestataire en informe le Client, lui donnant ainsi la possibilité d'émettre des objections à l'encontre de ces changements. Cette information est réalisée par notification. Le Client doit émettre ses objections dans un délai de 10 jours calendaires, en indiquant les motifs raisonnables et documentés tenant au non-respect par ce ou ces sous-traitant(s) de la Législation DCP. A défaut, le changement opéré dans la liste par le Prestataire est accepté par le Client. En cas d’objection du Client, les Parties coopèreront de bonne foi afin de trouver une modification commercialement raisonnable de sorte à empêcher le traitement des DCP par le Sous-traitant Ultérieur contesté. A défaut d’accord, le Client pourra, à titre de seul recours, mettre un terme aux Prestations concernées nécessitant le recours audit Sous-traitant Ultérieur.
5. Evolutions
Les Parties pourront ponctuellement ajuster/modifier la présente Annexe (i) en cas d’exigence émanant d’une autorité de contrôle ou de toute autre entité gouvernementale ou règlementaire, (ii) si cela est nécessaire au respect de la Législation DCP, (iii) dans la mesure où elles le jugeraient raisonnablement nécessaire.
L’Annexe A pourra également évoluer par voie de notification aux fins (i) de mise à jour des instructions de traitement (ii) du changement ou ajout de Sous-traitants Ultérieurs.
Les mesures techniques et organisationnelles de sécurité mises en œuvre par le Prestataire sont détaillées en Annexe B dans leur version en vigueur ; le Prestataire se réserve la possibilité de mettre à jour régulièrement cette annexe technique; le Prestataire informe le Client par notification.
Les modifications seront discutées de bonne foi, elles pourront avoir une incidence sur le prix des Prestations ou leur déroulement, notamment, si des exigences spécifiques nouvelles résultant du traitement de DCP accroissaient la charge de travail du Prestataire, les Parties conviendraient d’un avenant pour envisager les conditions, notamment financières, de cette extension.
