Les Partiess’assurent du respect de la législation applicable en matière de protection des données personnelles, conformément au RGPD et la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « Législation sur les Données Personnelles »).
Aux fins des présentes, les termes « responsable de traitement », « sous-traitant », « traitement », « traiter », « personnes concernées » et « données personnelles » ont la même définition que dans la Législation sur les Données Personnelles.
Les Parties conviennent qu’aux termes des présentes, chaque Partie sera amenée à traiter des données personnelles pour le compte de l’autre Partie.
En fonction des finalités des traitements de données personnelles décrits à l’article 4 des présentes, il est expressément convenu que les Parties auront alternativement la qualité de responsable de traitement (le « Responsable de Traitement ») ou de sous-traitant (le « Sous-Traitant »).
Chacune des Parties doit se conformer à la Législation sur les Données Personnelles.
En particulier, le Responsable de Traitement doit obtenir et conserver toute autorisation, notification et/ou déclaration règlementaires nécessaire aux termes de la Législation sur les Données Personnelles.
Le Responsable de Traitement garantit que :
a. Toutes les données personnelles fournies pour une utilisation en relation avec les traitements objet des présentes sont conformes à la Législation sur les Données Personnelles, notamment en ce qui concerne leur collecte, leur stockage et leur traitement ;
b. Toutes les instructions qu’il donne au Sous-Traitant en lien avec des données personnelles sont conformes à la Législation sur les Données Personnelles ;
c. Les opérations de traitement des données personnelles par le Sous-Traitant conviennent aux fins pour lesquelles il entend utiliser les Services ;
d. Il est satisfait du degré d’expertise, de la fiabilité et des ressources du Sous-Traitant visant à mettre en œuvre les mesures techniques et organisationnelles conformément à la Législation sur les Données Personnelles.
Le Sous-Traitant traite des données personnelles pour le compte du Responsable de Traitement. En conséquence, le Sous-Traitant :
a. devra traiter les données personnelles uniquement sur et conformément aux instructions documentées et écrites du Responsable de Traitement, celles-ci pouvant être mises à jour à tout moment (les « Instructions de Traitement ») ;
b. devra informer le Responsable de Traitement de toute obligation légale imposée par la Législation sur les Données Personnelles l’obligeant à traiter les données personnelles d’une autre manière que conformément aux Instructions de Traitement (sauf si d’autres obligations légales interdisent au Sous-Traitant de divulguer cette information) ;
c. devra informer le Responsable de Traitement si, selon lui, une Instruction de Traitement contrevient à la Législation sur les Données Personnelles. Le cas échéant, le Sous-Traitant ne saurait être tenu responsable de tout dommage résultant :
i. de son échec à informer le Responsable de Traitement ;
ii. de tout traitement ou refus de traitement de données personnelles conformément aux Instructions de Traitement, postérieurement à la réception par le Responsable de Traitement de cette information.
Les traitements de données personnelles pour lesquels la Société est Responsable de Traitement et le Prestataire Sous-Traitant sont réalisés comme suit :
Les traitements de données personnelles pour lesquels le Prestataire est Responsable de Traitement et la Société Sous-Traitant sont réalisés comme suit :
Le Sous-Traitant, conformément à la Législation sur les Données Personnelles, fournit des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées concernant le traitement des données personnelles objet des présentes de telle sorte à ce que le traitement satisfasse aux exigences de la Législation sur les Données Personnelles et assure la protection des droits des personnes concernées.
Le Sous-Traitant doit implémenter et maintenir lesdites mesures techniques et organisationnelles de telle sorte à ce que :
a. le traitement soit conforme à la Législation sur les Données Personnelles et assure la protection des droits des personnes concernées ;
b. elles assurent un niveau de sécurité approprié par rapport aux risques que présentent le traitement objet des présentes ;
c. elles lui permettent d’apporter son assistance, dans une mesure raisonnable, au Responsable de Traitement afin que celui-ci puisse répondre à ses obligations à l’égard des personnes concernées visées à l’article 9 des présentes.
Le Sous-Traitant peut faire appel à un autre sous-traitant ( le « Sous-Traitant Ultérieur ») pour mener des activités de traitement spécifiques.
Dans ce cas, il informe préalablement et par écrit le Responsable de Traitement de tout changement envisagé concernant l’ajout ou le remplacement de Sous-Traitants Ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur et les dates du contrat de sous-traitance. Le Responsable de Traitement dispose d’un délai maximum de quinze (15) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de Traitement n'a pas émis d'objection pendant ce délai.
Le Responsable de Traitement reconnaît que l'impossibilité d'utiliser un Sous-Traitants Ultérieurs particulier peut entraîner un retard dans l'exécution des Services, l'impossibilité de les exécuter ou une augmentation du prix.
Le Sous-Traitant et le Sous-Traitant Ultérieur seront liés par un contrat contenant les mêmes obligations que celles visées par les présentes.
La Société autorise d’ores et déjà le Prestataire à recourir à titre de Sous-Traitants Ultérieurs à :
Le Sous-Traitant s’engage à ce que les personnes autorisées à traiter les données personnelles soient liées par un accord de confidentialité.
Le Sous-Traitant doit, conformément à la Législation sur les Données Personnelles, prendre les mesures nécessaires afin d’assurer que toute personne physique agissant sous son autorité et ayant accès aux données personnelles objet des présentes ne les traite que conformément aux Instructions de Traitement.
Aux fins des présentes, le terme « Requête d’une Personne Concernée » désigne une demande faite par une personne concernée en vue d’exercer ses droits en vertu de la Législation sur les Données Personnelles et visant à :
(a) confirmer que ses données personnelles sont traitées, lorsque ses données personnelles sont traitées ;
(b) accéder aux données personnelles la concernant et obtenir du Responsable de Traitement les informations prescrites par la Législation sur les Données Personnelles ;
(c) assurer la transparence, les modalités, l'information et l'accès aux données, la rectification, l'effacement et la limitation du traitement, la portabilité des données, le droit d'opposition et la prise de décisions individuelles automatisées.
Le Sous-Traitant s'efforcera d'enregistrer et de renvoyer au Responsable de Traitement toutes les Requêtes de Personnes Concernées qu'il aura reçues dans les trois jours ouvrables suivant la réception de ladite demande.
Lorsque le nombre de Requêtes de Personnes Concernées soumises dépasse 10 par mois, le Responsable de Traitement doit payer les frais du Sous-Traitant aux tarifs à définir entre les Parties pour l'enregistrement et le renvoi des Requêtes de Personnes Concernées conformément au présent article.
Sans préjudice de l’article 2 des présentes et sous réserve du paiement des frais visés ci-dessous, le Sous-Traitant doit, conformément à la Législation sur les Données Personnelles, fournir une assistance raisonnable (selon la nature du traitement et l'information à la disposition du Sous-Traitant) au Responsable de Traitement afin que celui-ci respecte ses obligations en vertu de la Législation sur les Données Personnelles sur les sujets suivants :
a. la sécurité du traitement, conformément aux articles 6 et 8 des présentes ;
b. la notification de violation et sa communication à la personne concernée, conformément à l’article 15 des présentes ;
c. les études d'impact sur la protection des données ; et
d. la consultation préalable de la CNIL concernant les traitements à haut risque et la facilitation de l'exercice par la CNIL des pouvoirs qui lui sont conférés par la Législation sur les Données Personnelles.
Le Responsable de Traitement paiera les frais raisonnables et préalablement validés du Sous-Traitant pour fournir l'assistance prévue aux présentes.
Le Sous-Traitant s'engage à traiter l'ensemble des données personnelles exclusivement sur le territoire de l’Union Européenne (UE), le territoire d’un pays de l’Espace Economique Européen (EEE), d’un pays reconnu comme adéquat par la Commission Européenne et/ou auprès d’une entreprise adhérente au Privacy Shield.
A défaut, le Sous-Traitant s’assurera d’être lié contractuellement avec ses prestataires en vue d’apporter des garanties appropriées, notamment par le biais de clauses contractuelles types de protection des données adoptées par la Commission européenne.
Les données personnelles sont conservées en France dans un environnement sécurisé auprès d’un hébergeur disposant d’une infrastructure basée sur des processus de chiffrement et de sécurité conformes aux standards de protection Européenne.
Le Responsable de Traitement ne commercialise aucune donnée personnelle auprès des tiers.
Dans le cadre de la fourniture de ces services, les données des Internautes et des Emetteurs sont transmises aux prestataires et institutions énumérées ci-après, et ce, afin d’assurer le fonctionnement des services proposés :
Le Sous-Traitant devra tenir un registre des activités de traitements effectués pour le compte du Responsable de Traitement, tel que cela est exigé par la Législation sur les Données Personnelles.
Le Sous-Traitant doit, conformément à la Législation sur les Données Personnelles, mettre à la disposition du Responsable de Traitement les informations raisonnablement nécessaires pour démontrer sa conformité aux obligations des sous-traitants en vertu de la Législation sur les Données Personnelles, et ne pas s’opposer et contribuer aux audits diligentés par le Responsable de Traitement (ou un autre auditeur mandaté par lui) à cette fin.
Le Responsable de Traitement pourra diligenter un tel audit/demande d’information/vérification/inspection sous réserve de :
a. donner au Sous-Traitant un préavis raisonnable ;
b. s'assurer que tout auditeur est soumis à des obligations contraignantes de confidentialité ;
c. s'assurer que cette vérification ou inspection est entreprise avec un minimum de perturbation pour l'entreprise du Sous-Traitant et ses clients ; et
d. payer les coûts raisonnables du Sous-Traitant pour aider à la fourniture d'informations et permettre et contribuer aux audits.
En cas de violation de données personnelles liée aux Services impliquant le Sous-Traitant, le Sous-Traitant doit en informer sans délai le Responsable de Traitement dès qu'il en a connaissance et fournir des détails de la violation.
Le Sous-Traitant doit, à la demande écrite du Responsable de Traitement, soit supprimer, soit restituer les données personnelles objet des présentes au Responsable de Traitement en copie papier ou électronique dans un délai raisonnable après la fin des Services liés au traitement, et supprimer les copies existantes (à moins que le stockage des données soit requis par la loi applicable).
Le Responsable de Traitement paiera au Sous-Traitant les frais raisonnables de suppression et/ou de restitution des données personnelles, en particulier si les données doivent être retournées dans un format particulier non standard ou dans des formats multiples.
Si une Partie reçoit une demande d'indemnisation d'une personne concernée relative au traitement des données personnelles objet des présentes, elle doit promptement en informer l’autre Partie et lui fournir tous détails appropriés.